Bilgi Güvenliği Yönetim Sistemi Politikamız

İzibiz Bilgi Güvenliği Yönetimi, ilgili tüm yasal ve düzenleyici mevzuata uyum sağlamayı, Bilgi Güvenliği Standartlarının gerekliliklerini gerçekleştirmeyi, Üçüncü taraflarla yapılan sözleşmelerde belirlenmiş uygunluğu sağlamaya yönelik gereklilikleri yerine getirmeyi amaç edinmiştir.
 
Bu amaca yönelik olarak kurumun temel ve destekleyici iş faaliyetlerinin en yüksek hizmet seviyesi, en az kesinti ile devam etmesini sağlamak amacıyla E-Fatura Özel Entegratör Hizmetlerinin gerçekleştirilmesinde kullanılan tüm fiziksel ve elektronik bilgi varlıklarının bilgi güvenliğini sağlamak yükümlülüğünü üstlenmiştir.
 
Müşterilerimizin, verdiğimiz kurum / kuruluşların beklentilerini yüksek düzeyde karşılamak, bilgi işlem yeteneklerini artırmak, teknolojik gelişmelerden haberdar ederek faaliyet / proses / performans hedeflerine ulaşmalarına yardımcı olunması BGYS kapsam ve sınırları içinde sürdürülecektir.

BGYS kapsamı ve sınırları içinde hizmet verdiğimiz tüm bilgi teknolojileri sistemlerinde işlenen  her türlü gizli / ticari / özel bilginin, hizmet verdiğimiz kurum / kuruluşun müşterisinin mahremiyeti olduğunu kabul ederek, bu bilginin herhangi bir yerde / kişi / kurum / kuruluşta müşterinin bilgisi / onayı olmaksızın Gizlilik / Bütünlük / Elverişlilik şartlarına bağlı kalarak elde edilemezliği  sağlanacaktır.
 
İZİBİZ, yukarıda ifadesini bulan çerçeve içinde Bilgi Güvenliği Yönetim Sisteminin (BGYS) kurulumuna, gerçekleştirilmesine, işletimine, izlenmesine, gözden geçirilmesine, bakımına ve iyileştirilmesine olan bağlılığını aşağıdaki hususları gerçekleştirerek kanıtlayacağını beyan eder:

BGYS amaçları ve gereklilikleri tanımlanacak ve planları yapılacaktır.
Bilgi güvenliği amaçlarını karşılamanın ve bilgi güvenliği politikalarına uyumun önemini, yasaya karşı sorumluluklarını ve sürekli iyileştirmeye olan gereksinimi tanımlanacaktır.

BGYS’yi kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için yeterli kaynakları (finansal, insan kaynakları, ekipman, yazılım, danışmanlık, eğitim vs.) sağlanacaktır.

Risk analizlerini yapacak, analiz sonuçlarına bağlı olarak risk değerlendirmelerini ve risk kriterlerini ortaya koyacak, bu çerçevede risk yönetimini sağlanacaktır. Riskleri kabul etme ölçütlerini ve kabul edilebilir risk seviyelerini belirlemek üzere gerekli çalışmaları organize edilecek ve yönetilecektir. 

Risk Yönetim Çerçevesi

Bilgilerin etkileşimde bulunduğu varlıklar ile ilgili açıklıklar, bu açıklıklara yönelik tehditler ve bu tehditlerin gerçekleşme olasılığı ile gerçekleşmesi sonucunda oluşacak zararın önlenmesi veya en aza indirilmesi için yapılacakların planlanması risk yönetim yaklaşımımızdır. Risk yönetimi, bilgi varlıklarının değerini, zayıf noktalarını, tehditleri belirlemeyi, onlara yönelik risklerin tanımlanmasını, değerlendirilmesini ve işlenmesini ve gerekli önlemlerin alınmasını kapsar. Risk Değerlendirmesi, RiskAnalizi, Risk Yönetimi Kuralları ve Uygulanabilirlik Bildirgesi bilgi güvenliği risklerinin nasıl kontrol edileceğini gösterir.
 
Bilgi Güvenliği İlkeleri

Kurum bilgi işlem altyapısını kullanan ve bilgi kaynaklarına erişen herkes:
 

  • Kişisel ve elektronik iletişimde ve üçüncü taraflarla yapılan bilgi alışverişlerinde kuruma ait bilginin gizliliğini sağlamalı,
  • Kritiklik düzeylerine göre işlediği bilgiyi yedeklemeli,
  • Bilgi güvenliği ihlal olaylarını raporlamalı ve Bilgi Güvenliği Birimi’ne bildirmeli, bu ihlalleri engelleyecek önlemleri almalı.
  • Kurum içi bilgi kaynakları (duyuru, doküman vb.) yetkisiz olarak 3.kişilere iletmemeli.
  • Kurum bilişim kaynakları, T.C. yasalarına ve bunlara bağlı yönetmeliklere aykırı faaliyetler amacıyla kullanılmamalıdır. 

İZİBİZ in Bilgi Güvenliği politikaları, çalışma rejiminden bağımsız olarak kurum bilgilerini veya iş sistemlerini kullanan tüm personel için, coğrafi konumdan veya iş biriminden bağımsız olarak geçerli ve zorunludur. Bu sınıflandırmalara girmeyen ve İZİBİZ bilgilerine erişimi olan üçüncü şahıs hizmet sağlayıcıları ve bunların bağlı destek personeli gibi tüm kişilerin, bu politikanın genel ilkelerine ve uymak zorunda oldukları diğer güvenlik sorumluluklarına ve yükümlülüklerine bağlı kalması şarttır.
 

9001k

ISO 27001:2013 [Bilgi Güvenliği Yönetim Sistemi]

Bilgi varlıklarını etkin bir şekilde koruyan , izinsiz erişilme olasılığını
en aza indiren , ilgili taraflara güven veren, yeterli ve orantılı
güvenlik kontrollerini sağlamak için tasarlanmış yönetim sistemidir.