SKT
Politikalarımız
paylaş:

Tedarikçi Bilgi Güvenliği ve Tedarikçi Yönetimi Politikası 

 

Amaç
Bu Politikanın amacı SKT’nin ve hizmet sunduğu birimlerin sahip olduğu bilgi varlıklarının gizlilik, bütünlük ve erişilebilirlik özelliklerinin korunması ve uygun biçimde yönetilmesidir.


Kapsam


Mal ve hizmetlerin sağlanmasında, paylaştığımız bilgilerimizi ve bilgi varlıklarımızı bilerek veya bilmeyerek oluşabilecek bilgi güvenliği tehditlerine karşı korumak amacıyla işbirliğimiz olan her türlü tedarikçi ve/veya (alt) yüklenicimize yönelik tedarikçi güvenlik politikamız aşağıdaki şekilde tanımlanmıştır. Bu politikanın uygulanması, bilgi varlıklarımızın gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamak için önemlidir. Tedarikçi ilişkilerinde bilgi güvenliğinin korunması için uyulması gereken kuralları kapsar.


Uygulanabilirlik

 

  • Tedarikçi ve/veya (alt) yüklenici ile paylaşılan bilgilerin bütünlüğünün, gizliliğinin, kullanılabilirliğinin korunması,
  • Tedarikçi ve/veya (alt) yükleniciden alınan hizmetlerle bilgi sistemleri altyapısının sağlıklı çalışması ve yürütülen her türlü iş ve işlemlerin sürekliliğinin sağlanması,
  • Gizlilik ve İfşa etmeme anlaşmaları ile paylaşılan kurumsal ve kişisel bilgilerin gizliliğinin korunması,
  • Hizmet kapsamında veri koruma, fikri mülkiyet hakları ve telif hakları dâhil yasal ve düzenleyici gereksinimlere uyulması,
  • Mal ve hizmet alım sözleşmelerinin, üzerinde mutabık kalınan bakım/onarım şartları, çözüm süresi, müdahale süresi, temin süresi gibi şartları ve söz konusu şartlar karşılanamadığında cezai şartları içermesi,
  • Gizlilik ve İfşa etmeme anlaşmaları imzalanamayan durumlarda risk analizlerinin yapılması, tedarikçi ile alınacak önlemler konusunda mutabık kalınması,
  • Sözleşmelerin bilgi transfer kurallarını ele alınması,
  • Hizmet kapsamında yükümlü olunan mevzuatlarda (kanun, tüzük, tebliğ, genelge vb.) meydana gelebilecek yenilik ve değişikliklerin bilgi güvenliği uygulamalarında sebep olacağı farklılıklara uyum sağlanması,
  • Bilgi Sistemlerine uzaktan erişimler için SKT tarafından onaylanan uzaktan erişim araçlarının kullanılması, uzaktan erişim aktivitelerinin kayıt altına alınması ve raporlanması,
  • Hizmet alımı sırasında oluşan Bilgi Güvenliği İhlallerinin kayıt altına alınması,
  • Hizmet alımı sırasında tedarikçi ve/veya (alt) yüklenicilerin uzaktan erişim için kullanılan bilgisayarlarında zararlı yazılımlardan korunması, güvenlik açıklıklarının kapatılması konusunda gerekli tedbirlerin alınması,
  • Tedarikçilerin bilgi güvenliği kriterleri ile düzenli olarak değerlendirilmesi ve değerlendirmelerin tedarikçilerle paylaşılması,
  • İhtiyaç duyulduğunda Bilgi Güvenliği Farkındalık eğitimleri ve Bilgi güvenliği tetkikleri düzenleyerek tedarikçilerin Bilgi Güvenliği farkındalığının arttırılması, bilgi güvenliğinin sağlanması,
  • Tedarikçi ve/veya (alt) yüklenici tarafından sağlanan ürünler ya da sunulan hizmetlerde meydana gelecek değişikliklerin (personel değişikliği, versiyon güncellemeleri, barındırma koşulu güncellemeleri vb.) SKT‘ye bildirilmesi ve mutabık kalınması.

Hedefler

 

  • Uygun risk değerlendirmesi aracılığıyla bilgi varlıklarının değerini tespit etmek, zayıf noktalarını ve onları riske atabilecek tehditleri anlamak ve riskleri kabul edilebilir düzeylere indirmek.
  • Bilgi Güvenliği Yönetim Sisteminin tasarımı, uygulaması ve sürdürülmesi aracılığıyla yasalarında gerekliliğini yerine getirmek.
  • Kurum güvenilirliğini ve sahip olduğu imajını korumak.
  • Bilgi güvenliği ile ilgili tüm müşteri sözleşme şartlarına uymak.
  • Kurumun iş sürekliliğini sağlamak.
  • TS ISO IEC 27001 uygunluğunu sağlamak ve sürdürmek.

Gözden Geçirme


Bu politika yılda bir kere düzenli olarak, önemli güvenlik zafiyetleri ve tehditler göz önüne alınarak, süreç veya teknik altyapı değişiklikleri ile ilgili kontroller temel alınarak SKT Bilgi Güvenliği Kurulu tarafından gözden geçirilir. Gözden geçirilen ve güncellenen bu politika SKT Yönetimi tarafından onaylanır. Gözden geçirmeler kaydedilmiş güvenlik zafiyetlerinin yapısını sayısını ve etkinliğini, denetimlerin iş verimliliği üzerindeki etkisini ve teknolojik değişiklik etkilerini içerir.
 

Tüm SKT A.Ş. Çalışanları Adına,
Genel Müdür