ISO
27001:2013 Bilgi Güvenliği Yönetim Sistemin ana teması; Kuruluşun hizmet
verdiği sektöre yönelik; destekleme, sınıflandırma, teşvik, kayıt, denetim,
izleme ve arşiv faaliyetlerinin sunumunda; insan, alt yapı, yazılım, donanım,
vatandaş bilgileri, kuruluş bilgileri, üçüncü şahıslara ait bilgiler ve
finansal kaynaklar içerisinde bilgi güvenliği yönetiminin sağlandığını
göstermek, risk yönetimini güvence altına almak, bilgi güvenliği yönetimi süreç
performansını ölçmek ve bilgi güvenliği ile ilgili konularda üçüncü taraflarla
olan ilişkilerin düzenlenmesini sağlamaktır.
Bu doğrultuda Bilgi Güvenliği Politikamızın amacı;
- Bilgi varlıkları, değerleri, güvenlik ihtiyaçları, zafiyetleri, varlıklara yönelik tehditlerin, tehditlerin sıklıklarının saptanması için yöntemlerin belirleyeceği çerçeveyi tanımlamak,
- Tehditlerin; varlıklar üzerindeki gizlilik, bütünlük, erişilebilirlik etkilerini değerlendirmeye yönelik bir çerçeveyi tanımlamak,
- Risklerin işlenmesi için çalışma esaslarını ortaya koymak, hizmet verilen kapsam bağlamında teknolojik beklentileri gözden geçirerek riskleri sürekli takip etmek,
- Tabi olduğu ulusal veya uluslararası düzenlemelerden, yasal ve ilgili mevzuat gereklerini yerine getirmekten, anlaşmalardan doğan yükümlülüklerini karşılamaktan, iç ve dış paydaşlara yönelik kurumsal sorumluluklarından kaynaklanan bilgi güvenliği gereksinimlerini sağlamak,
- Hizmet sürekliliğine yönelik bilgi güvenliği tehditlerinin etkisini azaltmak ve sürekliliğe katkıda bulunmak,
- Gerçekleşebilecek bilgi güvenliği olaylarına hızla müdahale edebilecek ve olayın etkisini minimize edecek yetkinliğe sahip olmak,
- Optimum maliyetli bir kontrol altyapısı ile bilgi güvenliği seviyesini zaman içinde korumak ve iyileştirmek,
- Kurum itibarını
geliştirmek ve BGYS ile ilgili olarak personelin bilinç düzeyini arttırmak.
