BİLGİ GÜVENLİĞİ POLİTİKASI

Amaç ve Kapsam

Bilgi Güvenliği Politikası (“Politika”) İstanbul Pazarlama A.Ş.’in Bilgi Güvenliği Yönetim Sistemi kapsamı ve politikasının belirlenmesi amacıyla hazırlanmıştır. Amaç Bilgi Güvenliği kural ve politikalarının öneminin tüm kuruluş ve ilgili taraflar nezdinde duyurulmasını sağlamaktır.

Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu dahil diğer Bilgi güvenliği ile ilgili mevzuat ve İstanbul Pazarlama A.Ş. Etik İlkeleri dikkate alınarak hazırlanmıştır.

Tanımlar

BT: Bilgi Teknolojileri ifadesinin kısaltmasıdır.

Bilgi Varlığı: Bilginin üretildiği, işlendiği, saklandığı, transfer edildiği tüm süreçler, kişiler, cihazlar ve ortamları kapsar. Basılı çıktı gibi fiziksel ortamlarda, bilgisayar gibi dijital ortamlarda, görsel – işitsel formlarda da bulunabilir.

Bütünlük: Bilginin yetkisi olmayan kişilerce veya yanlışlıkla değiştirilmesinin, silinmesinin veya eklemeler ile çıkarmalar yapılmasının tespit edilmesi ve tespit edilebilirliğin garanti altına alınmasıdır.

Erişebilirlik: Yetkili bir kullanıcı tarafından talep edildiğinde, bilgi varlığının erişebilir ve kullanılabilir olma özelliğidir. Varlığın ihtiyaç duyulduğu her an kullanıma hazır olmasıdır. Diğer bir ifade ile sistemlerin sürekli hizmet verebilir halde bulunması ve sistemlerdeki bilginin kaybolmaması ve sürekli erişilebilir olmasıdır.

Gizlilik: Bilginin içeriğinin görüntülenmesinin, sadece bilgiyi/veriyi görüntülemeye izin verilen kişilerin erişimi ile kısıtlanmasıdır.

Gizli Bilgi: Çalışan, tedarikçi / taşeron ve 3. Taraf anlaşmalarına göre Gizli Bilgi; iş verenin / bilgiyi ifşa eden tarafın ve bağlı kuruluşlarının, iştiraklerinin müşterilerinin, tedarikçilerinin ve diğer iş ortaklarının işi, operasyonları, programları, planları, ürünleri, iş stratejileri, stratejik ittifaklar ve ortaklıkları, ekipmanları, müşterileri, tedarikçileri, varlıkları, müseccel hakları, yatırımları, know-how, patent, lisans ve telif hakları gibi bütün fikri ve sınai mülkiyet hakları, ticari markaları, ticari sır, kabiliyet ve uzmanlığı, maliyet yapısı, teknolojileri, finansal bilgileri ve finansal analizlerine ilişkin olarak, kısıtlama olmaksızın, sözlü olarak, sunum şeklinde, cihaz, aparat, model, numune, bilgisayar yazılımı, veri tabanı, manyetik ortam veya belge dahil ancak bunlarla sınırlı olmamak kaydıyla, iş verenin / bilgiyi ifşa eden tarafça Alıcı Tarafa ifşa edilen her türlü bilgiyi ifade eder.

İstanbul Pazarlama A.Ş. çalışanları için “Gizli Bilgi” şu örneklerle anlaşılabilir: İstanbul Pazarlama A.Ş.’nin rakipleri için cazip olan, ifşa edilmesi durumunda İstanbul Pazarlama A.Ş.’nin rekabet avantajını kaybedeceği veya yasal yaptırımlarla karşılaşabileceği her türlü bilgi GİZLİ’dir. Know-how, bir işin yapılış şekli, teklifler, satın alma ve satış bilgileri, faturalar, tedarikçi ve müşteri bilgileri, katıldığımız ihaleler, yaptığımız ihaleler, teklif

reçeteleri, stratejik bilgiler, hedef ve taktikler, iş sürekliliği planları, teknoloji ve alt yapı bilgileri, yürütülen projeler gibi basılı veya dijital halde bulunan pek çok değerli bilgi varlığı gizli bilgi sınıfındadır. Ayrıca çalışanların, danışmanların, tedarikçi ve müşterilerin kişisel bilgileri de kanun ile koruma altındadır ve gizli tutulmalıdır.

Zafiyet: Bir sistem, süreç veya varlıkta bulunan ve tehditlerin bu varlık üzerinde olumsuz etkiler yaratmasına olanak tanıyan zayıflık veya açık noktadır.

İş Ortağı: İstanbul Pazarlama A.Ş. ile doğrudan veya dolaylı olarak iş ilişkisi bulunan, ürün veya hizmet sağlayan, danışmanlık sunan ya da belirli bir iş sürecine katkı sağlayan gerçek veya tüzel kişilerdir.

Genel İlkeler

Bilgi güvenliğini kurumsal sürdürülebilirliğin temel unsurlarından biri olarak gören yaklaşımımız ve uluslararası standartlara bağlılığımız doğrultusunda, bu Politika aşağıdaki ilkeleri esas almaktadır:

Bilgi güvenliği sistemlerinin sürekli iyileştirilmesi

İstanbul Pazarlama A.Ş., bilgi güvenliği altyapısını, süreçlerini ve teknolojilerini sürekli geliştirerek değişen tehdit ortamına, yasal gerekliliklere ve iş ihtiyaçlarına uyum sağlar.

Veri bütünlüğünün ve korunmasının sağlanması

Fiziksel ve dijital ortamlarda yer alan tüm kurumsal veriler; yetkisiz erişim, değişiklik ve yok edilmelere karşı korunur. Bu kapsamda gizlilik, bütünlük ve erişilebilirlik ilkeleri esas alınır.

Bilgi güvenliği tehditlerinin izlenmesi ve yanıtlanması

Potansiyel bilgi güvenliği tehditleri aktif olarak izlenir, tespit edilen risklere hızlı ve etkili müdahaleler gerçekleştirilir.

Bilgi güvenliği sorumluluklarının tanımlanması

Kuruluş genelinde bilgi güvenliği sorumlulukları tüm çalışanlar için açık ve anlaşılır şekilde tanımlanır. Çalışanlara bu kapsamda farkındalık ve görev bilinci kazandırılır.

İş Ortakları için bilgi güvenliği gereksinimlerinin belirlenmesi

İş ortakları dâhil tüm üçüncü taraflar için bilgi güvenliği gereklilikleri tanımlanır ve uyumları takip edilir.

Bilgi Güvenliği Yönetim Programı

Kuruluşumuz, kapsamlı bir Bilgi Güvenliği Yönetim Programı yürütmektedir. Bu program aşağıdaki temel unsurları kapsamaktadır:

Risk Değerlendirme Süreci:

Teknoloji Riskleri çatısı altında yer alan siber güvenlik, bilgi teknolojileri ve BT tedarikçilerine ilişkin riskler periyodik olarak değerlendirilir. Gerekli kontroller belirlenerek riskler yönetilir ve değerlendirme sonuçları yönetime raporlanır.

Bilgi güvenliğiyle ilişkili iş sürekliliği planları:

Kritik iş süreçleri ve bilgi sistemleri için bilgi güvenliği odaklı iş sürekliliği planları mevcuttur.

Bilgi güvenliği zafiyet analizleri:

Düzenli olarak sistematik zafiyet taramaları ve değerlendirmeleri yapılır.

BT altyapısı ve bilgi güvenliği yönetim sistemlerinin denetimleri:

Kurumsal düzeyde periyodik iç denetim faaliyetleri uygulanmaktadır. BT altyapısı ve bilgi güvenliği sistemleri, bağımsız kuruluşlar tarafından ayrıca denetlenmektedir.

Olay bildirimi süreci:

Çalışanlar ve iş ortakları şüpheli faaliyet, zafiyet veya güvenlik ihlallerini bilgiihlal@istpaz.com.tr adresi üzerinden bildirilmelidir.

Bilgi güvenliği farkındalık eğitimi:

Tüm çalışanlara bilgi güvenliği konularında düzenli eğitimler verilmektedir.

Yetki ve Sorumluluklar

Tüm İstanbul Pazarlama A.Ş. çalışanları bu Politika’ya uymakla yükümlüdür. İstanbul Pazarlama A.Ş., İş Ortaklarının da ilgili taraf ve işleme uygulanabilir olduğu ölçüde, bu Politika’ya uyumlu davranmasını bekler ve bunun için gerekli adımları atar.