BG-PL.01 BİLGİ GÜVENLİĞİ POLİTİKASI

1. GENEL BAKIŞ

Bilgi Güvenliği; gizlilik, bütünlük ve erişilebilirlik ilkeleri doğrultusunda hayati öneme sahip bilginin korunması, bütünlüğünün sağlanması, erişebilir olmasının sağlanması için alınan gerekli ve önemler ve tedbirlerdir.

  • Gizlilik: Bilginin yetkisiz kişilerin eline geçmeme ve yetkisiz erişime karşı korunmasıdır.
  • Bütünlük: Bilginin yetkisiz kişiler tarafından değiştirilmemesidir.
  • Erişilebilirlik: Bilginin yetkili kişilerce ihtiyaç duyulduğunda ulaşılabilir ve kullanılabilir durumda olmasıdır.

2. KAPSAM

Bu politika, BASE9’ın tüm çalışanları, stajyerleri ile dış kaynak çalışanlarını kapsar. Tüm kullanıcılar bu politika içeriğinde yer alan sorumluluk ve yasal zorunluluklarının bilincinde hareket etmek zorundadırlar.

3. HEDEF

Bu politikanın hedefi; kurumun güvenilirliğini ve temsil ettiği makamın imajını korumak, üçüncü taraflarla yapılan sözleşmelerde uygunluğu sağlamak, kurumun temel ve destekleyici iş faaliyetlerinin en az kesinti ile devamlılığını sağlamaktır.

4. SORUMLULUK

Bilgi Güvenliği Yönetim Kurulu kapsam çerçevesinde şirket bilgi varlıklarına yönelik risklerin üst yönetim tarafından onaylanan kabul edilebilir seviyede tutulmasından sorumludur.

5. BİLGİ GÜVENLİĞİ İLKELERİ

  • Gizli bilgilerin korunması ilkesi ile diğer politika ve dokümanlara öğrenmek ve bunlara uymak.
  • Kişisel ve elektronik iletişimde şirkete ait bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak.
  • Şirket içi bilgi kaynaklarını (doküman, duyuru vb.) yetkisiz olarak 3.kişiler ile paylaşılmaması.
  • Base9 müşterileri, iş ortakları, tedarikçiler veya üçüncü kişilere ait bilgilerin gizliliğini, bütünlüğünü ve erişilebilirliğini korumak.
  • Şirket bilgi sistemlerini altyapılarını mevzuata aykırı faaliyetler amacıyla kullanmamak.
  • Bilgi Güvenliği ihlal olaylarını raporlamalı, bu ihlalleri önleyecek önlemler alınmalıdır.
  • Bilgi Güvenliği politikasının uygulanabilirliği, koyulan kurallar ve alınan önlemlerin işleyişi sekteye uğratmaması adına belirli aralıklarla bu yapılar gözden geçirilmeli, sürekli geliştirilmesi yapılmalı ve aksiyon planları hazırlanmalıdır.
  • Bilgi Güvenliğinin riskleri tanımlanmalı, değerlendirilmeli ve bunlara göre risk işleme planı hazırlamaktır.

6. KURALLARIN İHLALİ VE YAPTIRIMLAR

Bu politikanın ihlal edilmesi durumunda Base9 Bilgi Güvenliği ekibi tarafından gerekli personel desteği de alınarak ihlal nedeni incelenir. İhlal kasıtsız olup personelin eğitim vb. bir eksikliğinden kaynaklanıyorsa problemin kaynağını oluşturan eksikliği kapatmak için çalışma yapılır. Bilgi Güvenliği politikasına, prosedürlerine ve talimatlarına uyulmaması halinde kurum uyarma, kınama, para cezası ve sözleşme feshi gibi aksiyonları uygulayabilir.

7. GENEL BİLGİ GÜVENLİĞİ YAKLAŞIMI

Base9 Bilişim Teknolojileri Ticaret Anonim Şirketi olarak; bilgi güvenliğimize, iş sürekliliğimize ve bilgi varlıklarımıza yönelik olarak her türlü riski yönetmek amacıyla;

  • Bilgi güvenliği yönetim sisteminin, düzenli aralıklarla denetlenme ve sürekli iyileştirmesinin sağlanması,
  • Kurumsal verilerimizi ve bilgilerimizi (personel özlük bilgileri, müşteri ve tedarikçi verileri ve diğer) değerli ve kritik kabul ederek bilgi güvenliğiyle ilgili yasaların ve standartların gerektirdiği zorunlulukları yerine getirmeyi,
  • Kurumsal faaliyetlerimizin gerçekleşmesinde kullanılan bilgi teknolojileri hizmetlerinin kesintisiz olarak sürdürülmesi ve bilgilere sadece yetkili kişiler tarafından erişilebilmesini sağlayacak gerekli altyapıyı sağlamayı ve güvenlik önlemlerini almayı,
  • TS ISO/IEC 27001:2022 standardının gereği olan Bilgi Güvenliği Yönetim Sistemi'ni kurmayı, dokumante etmeyi ve sürekli iyileştirmeyi,
  • Bilgi güvenliği ile ilgili yasal mevzuat ve şartları takip etmeyi,
  • Bilgi güvenliği farkındalığını artırmak amacıyla gerekli eğitimleri gerçekleştirmeyi,
  • Dış kaynaklı hizmet sağlayıcılarının bilgi güvenliği sisteminin gerektirdiği ihtiyaçlarını ve gereklilikleri yerine getirmesini sağlamayı,
  • Üçüncü taraflar, müşteriler ve tedarikçilerin bilgi güvenliği gereksinimlerini tanımlamayı ve bilgi güvenliği yönetim sistemine uymalarını sağlamayı,
  • Şirketimizin bilgi güvenliği standartlarını belirlemeyi, düzenli aralıklarla; denetleme ve uygunluğunu sağlamayı, taahhüt ederiz.