NovaTek Bilişim Hizmetleri Bilgi Güvenliği Politikası
Son Güncelleme Tarihi : 01.01.2021
Bilgi Güvenliği Yönetim Sistemi ve Politikaları :
NovaTek Bilişim Hizmetleri’nde iş ihtiyaçlarına, kanunlara ve yasal düzenlemelere uygun şekilde bilgilerin güvenliğini sağlamak amacıyla üst yönetim gözetiminde bilgi güvenliği yönetim sistemi mevcuttur. NovaTek Bilişim Hizmetleri Yönetimi, NovaTek’de bilgi güvenliği yönetim sisteminin hayata geçmesi konusunda destek sağlar, gerekli durumlarda atama ve yönlendirme yapar. Bilgi güvenliği yönetim sistemi, tanımlı bir risk yönetim yaklaşımı ve temel kuralların belirlendiği bilgi güvenliği politikaları ile sağlanmaktadır. Bu politikalar, tüm Turkcell çalışanlarının erişebileceği şekilde şirket içerisinde paylaşılmıştır. Bilgi güvenliği politikalarının amacı, Bilgi Güvenliği risklerinin yönetilmesi ve bilginin yeterli seviyede güvenliğinin sağlanmasıdır. Tüm NovaTek Bilişim Hizmetleri çalışanları, sorumlusu oldukları iş süreçleri ve bilgi varlıklarında bu politikalarda yazan kuralların uygulanmasından sorumludur.
NovaTek Bilişim Hizmetleri’nin bilgi güvenliği yönetim sisteminin uygunluğu, yeterliliği ve etkinliğinin bağımsız olarak gözden geçirilmesi sağlanır. Bağımsız gözden geçirme sonuçları, yönetime raporlanır ve ilgili kayıtlar saklanır.
Gizlilik Anlaşmaları :
Her NovaTek Bilişim Hizmetleri çalışanının iş akdinde bilgi gizliliğini korumakla sorumlu olduğu belirtilir. Tedarikçilerle çalışmaya başlanmadan önce gizlilik anlaşması imzalanır. NovaTek Bilişim Hizmetleri’nde devamlı ve/veya geçici olarak hizmet veren tedarikçiden alınan hizmetin/ürünün içeriği ve kapsamına göre NovaTek Bilişim Hizmetleri’nin karşılaşacağı riskler öngörülerek uygun olan güvenlik konuları gizlilik sözleşmesine eklenir. Söz konusu gizlilik sözleşmesi, bilgilerin güvenliğinin sağlanması ile ilgili gereksinimleri yansıtır ve ticari yaptırımları içerir. Korunması gereken bilgiler, ihlaller ile ilgili yaptırımlar sözleşmede tanımlanır. Tedarikçiler ve tedarikçi çalışanları görev alanları ve ilgili işteki görevleri ile sınırlı olarak bilgi varlıklarına erişmeleri gerektiği kadarıyla, minimum süreyle ve minimum erişim haklarıyla erişmeye yetkilidir.
Yasal Uyumluluk :
NovaTek Bilişim Hizmetleri yasal düzenlemeler doğrultusunda güvenlik gereksinimlerini belirler ve uygular. NovaTek Bilişim Hizmetleri müşterilerine ait tüm kişisel bilgilerini, Türkiye Cumhuriyeti kanun ve düzenlemelerine uygun şekilde korunur. Kişisel bilgilerin kaydedilmesinde, işlenmesinde ve paylaşılmasında veri gizliliği ilkesine uygunluk için yürürlükteki yasa ve mevzuata uygun hareket edilir. NovaTek Bilişim Hizmetleri’nin önemli kayıtları, kayıp ve bozulmalara karşı koruma altına alınır. Kayıtların saklama süreleri belirlenirken mevzuattaki yükümlülükler dikkate alınır.
Bilgi Güvenliği Risklerinin Yönetimi :
NovaTek Bilişim Hizmetleri’nde bilgi güvenliği risklerinin etkin şekilde yönetilmesi için servisler ve bu servislere yönelik riskler tanımlanır. Belirlenen risklerin değerlendirilmesi ve önceliklendirilerek yönetilmesi sağlanır. Bilgi güvenliği risk yönetimi, tipik olarak risk değerlendirmeyi, risk işlemeyi, risk kabulünü ve risk iletişimini içerir.
Bilgi Güvenliği Vakalarının Yönetimi :
NovaTek Bilişim Hizmetleri’nde bilgi varlıklarının güvenliğini sağlamak için teknolojik çözümler ve süreçler seviyesinde önlemler alınarak, düzenli kontrol, test ve izlemeler yapılır. Çalışanlar bu konuda bilgilendirilir ve eğitilir. NovaTek Bilişim Hizmetleri bilgi varlıkları ile ilgili meydana gelen vakaların nasıl belirleneceği, kimlere iletileceği ve nasıl ele alınacağı belirlenmiştir. Ayrıca tespit edilen güvenlik zafiyetlerinin ilgililerine nasıl iletilmesi gerektiği, vakanın oluşmasına neden olan eksiklikler ve muhtemel risklerin değerlendirilmesi ile ilgili sorumluluklar tanımlanmıştır.