Bilgi Güvenliği Politikası

İşbu Bilgi Güvenliği Politikası, Nacsoft Yazılım- Nurcan Babalık (“Şirket”) tarafından bilgi varlıklarının güvenliğini sağlamak, bu varlıkları korumak, yasal yükümlülüklere uymak ve iş süreçlerinin sürekliliğini temin etmek amacıyla oluşturulmuştur. Politika, tüm çalışanlar, tedarikçiler, iş ortakları ve tüm dış paydaşları kapsamaktadır.

1. Bilgi Güvenliğinin Temel Prensipleri

• Gizlilik: Bilgilerin sadece yetkili kişiler tarafından erişilebilir olmasını sağlamak.
• Bütünlük: Verilerin doğruluğunu ve tutarlılığını korumak.
• Erişilebilirlik: Verilere gerektiği zaman erişilebilir olmasını sağlamak.
• Yasal Uyumluluk: İlgili tüm yasal düzenlemelere ve standartlara uymak.
• Risk Yönetimi: Güvenlik tehditlerini belirlemek, değerlendirmek ve önlemek.

2. Bilgi Güvenliği Sorumlulukları

• Bilgi güvenliğinin sağlanmasından üst düzey yönetim sorumludur. Yönetim, bu politikanın uygulanmasını denetler ve gerekli kaynakları sağlar.
• Tüm çalışanlar, şirketin bilgi güvenliği politikalarına uymakla yükümlüdür. Çalışanlar, güvenlik açıklarını bildirmek ve güvenlik tehditlerine karşı proaktif bir yaklaşım sergilemekle sorumludur.
• Bilişim Teknolojileri Departmanı sistemlerin güvenliğini sağlamak, yazılım ve donanım güncellemelerini takip etmek ve güvenlik izleme araçlarını kurmakla sorumludur.
• Bilgi güvenliği ile ilgili iç ve dış denetimler düzenli olarak yapılacak ve politika ihlalleri tespit edildiğinde gerekli cezai işlemler uygulanacaktır.

3. Bilgi Güvenliği İlkeleri
   • Bilgilere erişim, yalnızca yetkilendirilmiş kişilere sağlanacaktır. Erişim, rol tabanlı yetkilendirme sistemleri ile yönetilecektir.
   • Hassas bilgiler, iletim ve depolama sırasında güçlü şifreleme yöntemleri ile korunacaktır. Şifreler karmaşık olmalı ve periyodik olarak değiştirilmelidir.
   • Bilgi varlıklarının fiziksel güvenliği sağlanacak, ofisler ve sunucu odaları güvenlik önlemleri ile korunacaktır. Erişim, biyometrik ve kartlı geçiş sistemleri ile kontrol edilecektir.
   • Tüm kritik veriler düzenli aralıklarla yedeklenecek ve yedekler güvenli ortamlarda saklanacaktır. Yedekleme işlemleri, veri kaybı riski olmadan gerçekleştirilecektir.
   • Şirket ağları, güvenlik duvarları, antivirüs yazılımları ve izleme sistemleri ile korunacaktır. Şirket ağına giriş, sanal özel ağlar (VPN) kullanılarak güvence altına alınacaktır.
   • Çalışanlar, yalnızca iş amaçlı yazılımlar kullanmalı, dışarıdan alınan yazılımlar virüs taramasından geçirilmelidir. E-posta ve dosya aktarım sistemlerinde güvenlik önlemleri uygulanacaktır.
   • Tüm çalışanlar, bilgi güvenliği konusunda düzenli eğitimlere tabi tutulacaktır. Bu eğitimlerde güvenlik tehditlerine karşı korunma yöntemleri, sosyal mühendislik saldırıları, parola güvenliği ve gizlilik ilkeleri anlatılacaktır.
   • Çalışanlar, şirketin bilgi güvenliği politikaları hakkında periyodik olarak bilgilendirilecek ve güncel güvenlik tehditleri hakkında uyarılacaktır.
   • Bilgi güvenliği ihlalleri veya şüpheli durumlar derhal Bilişim Teknolojileri Departmanına bildirilecektir. Tüm çalışanlar, ihlallerin hızlıca tespit edilmesi için aktif bir şekilde katkı sağlamak zorundadır.
   • İhlal durumu tespit edildikten sonra, olayın ciddiyetine göre hızlıca bir inceleme başlatılacak ve gerekli müdahaleler yapılacaktır.
   • Güvenlik ihlali sonrasında, benzer olayların tekrar etmemesi için düzeltici faaliyetler uygulanacak ve süreçler yeniden değerlendirilecektir.
   • Politikanın ihlali, disiplin cezalarına yol açabilir. Cezalar, ihlalin ciddiyetine ve etkisine bağlı olarak değişecektir. İhlalin bir güvenlik riski oluşturması durumunda, şirketin itibarını korumak için gerektiğinde hukuki yollara başvurulacaktır.

4. Politikanın Güncelliği

Bu politika, sürekli olarak gözden geçirilecek ve güncellenecektir. Bilgi güvenliği riskleri değiştikçe, politika da buna paralel olarak güncellenecek ve geliştirilecektir. Politikanın güncel hali kurumsal internet sitesinde yayımlanmasıyla yürürlüğe girecektir.