Bilgi Güvenliği Politikası
Sigorta Bilgi ve Gözetim Merkezi (SBM), bilgi varlıklarının iş süreçleri ve fonksiyonları için çok önemli olduğunun bilinci ile;
- Bilgi varlıklarının gizliliğinin, bütünlüğünün ve erişilebilirliğinin; sürekliliğinin ve kontrolünün sağlanmasını,
- Sigorta Bilgi ve Gözetim Merkezi bilişim sistemlerinde saklanan ve işlenen bilginin yetkisiz erişimini ve ifşasını engellemeyi,
- Bilgi varlıklarının kaybolmasından, bozulmasından veya kötüye kullanılmasından doğan risklere maruziyetinin sınırlanmasını, yasa ve yönetmeliklere uygunluğunun sağlanmasını,
- Bilgi varlıklarına yönelik, içeriden ya da dışarıdan, bilerek ya da bilmeyerek meydana gelebilecek her türlü tehdide karşı korumayı, bilgi varlıklarının silinmesi veya değiştirilmesini önlemeyi,
- Bilgi güvenliği ile ilgili uygulanabilir şartların karşılanmasını amaçlar.
Bilgi güvenliği politikası, Sigorta Bilgi ve Gözetim Merkezi bilgisine erişen veya bilişim sistemlerini kullanan kişiler (çalışanlar, sistem yöneticileri veya sorumluları, kullanıcılar, denetçiler, sözleşmeli çalışanlar, tedarikçiler, üçüncü partiler vb. tüm yetki verilmiş/verilmemiş tüm özel ve tüzel kişiler) için geçerlidir.
SBM, aşağıda belirtilen konuların yerine getirilmesini sağlayacak mekanizmaları kurmaktadır:
- Bilgi güvenliği konularında; yasaların, bilgi güvenliği yönetim sisteminin ISO/IEC 27001 standardının gerekliliklerini etkin ve güvenli işletilmesini yerine getirecek şekilde dokümante edilmesi, belgelendirilmesi ve sürekli iyileştirilmesi,
- Bilgi güvenliği politikalarının ve tüm sorumluluklarının belirli periyotlar ile gözden geçirilmesi ve onay mekanizmasına tabi tutulması,
- Bilgi güvenliği ile ilgili tüm yasal mevzuat ve sözleşmelere uyulması,
- Bilgi kaynaklarına yönelik tehditlerin periyodik olarak değerlendirilmesi,
- Bilgi varlıklarına yönelik risklerin tanımlanması, tespit edilmesi, değerlendirilmesi ve periyodik olarak kontrol edilmesi,
- Bilgi varlıklarına yönelik risklerin sistematik olarak yönetilmesi,
- Bilgi güvenliği yönetim sistemine uyum ve sürekli iyileştirme için düzenli olarak denetimler gerçekleştirilmesi ve sonuçların üst yönetim tarafından gözden geçirilmesi,
- Bilgi varlıklarını korumak için, mevcut en iyi uygulamaları baz alarak varlıkların saklanması, iletilmesi, değiştirilmesi, erişilmesi, işlenmesi faaliyetlerinin kontrol altına alınması, görevler ayrılığı prensibi ile süreç içi kontrollerin kurulmuş olmasının sağlanması,
- Bilgi güvenliği yönetim sistemi kapsamında paydaşlarımızın bilgi varlıklarının gizliliğinin ve bütünlüğünün sağlanması,
- Bilgi güvenliğinin ihlaline ilişkin raporlamaların yapılabilmesi ve en kısa sürede aksiyonların alınması amacıyla, gerekli organizasyonel yapı, kaynak ve altyapının oluşturulmasının sağlanması,
- Bilgi güvenliği ihlal durumlarında gerekli yaptırımların icra edilmesi,
- Tedarikçi firma ve 3. taraf seçiminde, firma ve alt yüklenicilerinin bilgi güvenliği performansının dikkate alınması ve bilgi güvenliği konularında iş birliği sağlanması,
- Bilgi güvenliği politikasının tüm paydaşlara duyurulması ve farkındalığı arttıracak çalışmaların desteklenmesi.
Bilgi güvenliği politikası kapsamında, bilgi sistemlerinden kaynaklanan güvenlik risklerinin yeterli düzeyde yönetildiğinden emin olmak için, güvenlik kontrol süreci değerlendirmeye tabi tutulur ve uygunluğu onaylanır.
