Information security risks are assessed by all departments/functions of the company in line with Çelebi Group policies which are published in Çelebi Group’s intranet. Each department/function shall be aware of sharing the responsibility of assessing the Information Security risks. The priority of risks shall be determined, and necessary measures shall be taken.
Confidentiality, integrity, and accessibility should be maintained at all levels in accordance with the requirements of the work and the business including but not limited with the processing, transmission and storage of the relevant information.
The Top Management shall allocate sufficient resources to bring the security measures of the information systems to the appropriate level and ensure that the necessary security controls are established in accordance with this and Information Security related procedures.
The establishment of security measures is based on the layered security architecture to protect against multiple threat vectors through multiple layers of security.
IT department ensures current developments in security, new threats and vulnerabilities are monitored and, the necessary software updates and patches are applied.
IT department ensures the incidents related with the Information Security violations are monitored continuously and reviewed periodically.
The use of reliable objective information and all possibilities of technology are given importance and priority in decisions and actions. It is guaranteed that the data in the current IT systems shall be up to date and accurate.
All and any of customer information, patentable, copyrightable, trade secret, know-how and other proprietary information, licenses, account information, pending patent applications, concepts, designs, techniques, specifications, sketches, drawings, models, inventions, apparatuses, equipment, financial data, marketing plans, hardware and software, organization, infrastructure, processes and technology information whether orally, visually and/or in writing are protected by accurate and updated security measures.
Information systems and the data processed, stored and transmitted on information systems are classified according to their degree of security sensitivity and information ownership is assigned. The appropriate level of security controls are established for each information classification by Information Asset Owner.
Each department within Çelebi Group should be the custodian of the data it generates and uses to conduct its business.
Information is not shared without the having written approval from the Information Asset Owner.
Each Employee is responsible to mark the Information Asset and any Corporate Information which have a confidential nature.
Employees are prevented from the unauthorized access to information assets by the necessary measures implemented on IT systems.
IT department ensures appropriate security measures are taken to protect the IT systems against network attacks.
The Corporate Information shall only be used for Çelebi Group’s purposes, interests, values and principles approved by the Top Management.
In order to provide appropriate and high-quality solutions with good commercial and industrial practice to each of our customers, Çelebi Group takes all necessary measures to make its infrastructures and systems up and running. The relevant legal requirements are followed and applied by all units and functions of Çelebi Group.
Penetration test of company information systems is performed by an appropriate and qualified team at least once a year. Actions are planned and implemented accordingly.
Information Security requirements are defined by procedures and are regularly communicated to all Employees and related third parties. Çelebi Group takes all necessary measures to ensure all Employees comply with these procedures and each Employee has a direct access to this procedure.
Employees receive the information security awareness training at least once a year.
This procedure applies to Çelebi Group, related third parties and their employees. Each party is primarily responsible for fulfilling the requirements of this procedure.
The Top Management is committed to establish and continiously improve Information Security Management System.
Bilgi Güvenliği Politikası
Şirketin tüm birimleri tarafından, süreçler göz önünde bulundurularak bilgi güvenliği riskleri değerlendirilir; risklerin önceliği belirlenir ve gereken önlemler alınır.
Bilgi işlenirken, iletilirken, muhafaza edilirken, tüm aşamalarında gizlilik, bütünlük ve erişilebilirlik özelliklerinin işin ve ilgili bilginin gereklerine uygun seviyede korunması gerekir.
Üst yönetim, bilgi sistemlerine ilişkin güvenlik önlemlerinin uygun düzeye getirilmesi için yeterli kaynağı tahsis eder ve güvenlik politikasıyla uyumlu olacak şekilde gerekli güvenlik kontrollerinin tesis edilmesini sağlar.
Güvenlik önlemlerinin tesis edilmesinde, bir güvenlik katmanının aşılması halinde diğer güvenlik katmanının devreye girdiği katmanlı güvenlik mimarisi esas alınır.
Güvenlik alanındaki güncel gelişmeler, yeni tehditler ve zafiyetler takip edilir, gerekli yazılım güncellemelerinin ve yamaların uygulanması sağlanır.
Bilgi güvenliği ihlaline ilişkin olaylar izlenir ve periyodik olarak değerlendirilir.
Karar ve eylemlerde, güvenilir nesnel bilgiler ile teknolojinin tüm olanaklarının kullanılmasına önem ve öncelik verilir. Kullanılan bilgi teknolojileri sistemlerindeki verinin güncel ve doğru olması sağlanır.
Kurumsal değerlerin gereği olarak gizliliğe önem verilir; her türlü müşteri bilgisi, kuruma rekabet avantajı sağlayan organizasyon, alt yapı, süreç ve teknoloji bilgisi, her tür kişisel bilginin gizliliği politikalar, süreçler ve ileri teknoloji başta olmak üzere gereken güvenlik önlemleri ile sağlanır.
Bilgi güvenliği hususunda hem kurum içinde hem de kullanıcılar ve üye işyerleri nezdinde farkındalığı artıracak çalışmalar gerçekleştirilir.
Bilgi sistemleri ve bilgi sistemleri üzerinde işlenen, saklanan ve iletilen veriler, güvenlik hassasiyet derecelerine göre sınıflandırılır ve her bir sınıf için uygun düzeyde güvenlik kontrolleri tesis edilir.
Bilginin sahibi istemedikçe, yetki verilmedikçe veya yasal gereklilikler oluşmadıkça bilgi paylaşılmaz.
Çalışanlar gizli bilgi içeren ortamları etiketlemeli ve gözetimsiz bırakmamalıdır.
Çalışanların yetkilerinin olmadığı bilgi varlıklarına erişimi engellenir.
Ağa karşı yapılacak saldırılardan korunmak için uygun güvenlik önlemleri alınır.
Şirket bilgileri sadece yönetimin onayladığı amaçlar için kullanılabilir.
Çözümlerin müşteri ihtiyaçlarına ve uluslararası standartlara uygunluğunu garanti edebilmek için, kendi alt yapımızın sürekliliği sağlanır.
İlgili yasal gereklilikler takip edilir ve uygulanır.
Bilgi güvenliği gereklilikleri politikalar ile tanımlanır, tüm çalışanlara duyurulur ve tüm çalışanların bu politikalara uyması sağlanır.
Bilgi güvenliği politikası tüm çalışanlara ve ilgili üçüncü taraflara duyurulur.
Tüm çalışanlar ve ilgili üçüncü taraflar bilgi güvenliği politikasının gereklerini yerine getirmekten bizzat sorumludur.
Bilgi güvenliği politikasının uygulanmaması veya ihmal edilmesi durumunda disiplin prosedürü ve ilgili sözleşmelerin yasal gerekleri uygulanır.
Şirketimizin bilgi sistemlerine yılda en az bir kez sızma testi dış kaynak tarafından yapılır. Saptanan bulgular için aksiyonlar planlanır.
Her yıl çalışanlarımıza en az bir kez bilgi güvenliği farkındalık eğitimi verilir. Çalışanlarımız, bilgi güvenliği politika ve prosedürlerine erişim yetkileri olan ortak alan üzerinden erişir.
Bilgi güvenliği politika ve prosedürleri ilgili sorumlular tarafından yılda bir kez gözden geçirilerek içeriğin güncelliği sağlanır. Güncellenen dokümanlar çalışanlara ve ilgili üçüncü taraflara duyurulur.
Üst yönetim, Bilgi Güvenliği Yönetim Sistemini kurmaya ve sürekli iyileştirmeye kararlıdır.
Home
Information Security Policy
