EticSoft Bilgi Güvenliği Tanımları

EticSoft Bilgi Güvenliği Kurulu (Kurul)

  • Toplam üye sayısı tek sayı olmak üzere en az üç asil ve iki yedek üyeden oluşur. Üyeler bilgi güvenliği alanındaki tecrübelerine göre şirket çalışanları arasından yönetim kurulunca seçilerek atanır. Bu kurula dışarıdan danışman üyeler atanabilir. Kurul üyeleri yönetim kurulunca belirlenir.
  • Kararları oy çokluğu ile alır. Üyeler eşittir. Kurul başkanı yoktur. Toplantılar ve kararlar tutanak ile kayıt edilir.
  • Personelin görev ve sorumluluklarına göre erişim izinlerini proje özelinde ve/veya genel olarak belirler ve yazılı olarak bildirir.
  • Yılda iki defadan az olmamak şartı ile olağan şekilde toplanır.
  • Bilgi güvenliği ile ilgili risk durumlarında acil şekilde toplanır.
  • Toplantılar fiziki veya dijital ortamlarda yapılabilir.
  • Kurulun bilgi güvenliği ile ilgili şirket içi yönetmelikleri (prosedürleri) değiştirme, güncelleme ve yeni yönetmelik oluşturma yetkisi ve sorumluluğu vardır.
  • Tasnif edilmemiş bilgi varlıklarını Gizli/Hassas veya Şeffaf olarak sınıflandırır.

Ağ Yöneticisi

EticSoft çalışanlarının bilgi sistemleri ve sunuculara erişimi sağlamak, kısıtlamak veya kapatmak görevlerinden sorumlu olan çalışanlardır.

Bilgi Güvenliği Yöneticisi

EticSoft bilgi güvenliği departmanını yöneten çalışandır. Aşağıdaki prosedürlerin uygulanmasını sağlamak ve izlemek ile görevlidir. Kurulun belirlediği erişim yetkilerinin dışında, ön tanımı yapılmış veya yapılmamış acil durum müdahale senaryolarında erişim sağlanmasına onay verir.

Gizli/Hassas Bilgi Varlığı

Aşağıdaki bilgi varlıkları Gizli veya Hassas veri olarak sınıfındadır. Bu varlıkların görüntülenmesi için Kurul’dan yazılı olarak izin alınması ve erişimin kayıt edilmesi gereklidir. Gizli verilerin taşınması, değiştirilmesi ve paylaşılması ise kesin şekilde yasaktır.

  • Aksi şekilde sınıflandırılmadığı sürece her türlü proje, çizim, veri tabanı, mimari, kod, tasarım varlığı,
  • Birden fazla müşteri veya iş ortağını içeren her türlü dijital veya fiziksel belge,
  • Çalışanların özlük dosyaları, sağlık kayıtları, mazeret raporları, kişisel iletişim bilgileri, yapılan görüşmeler ve aile/sosyal bilgilerini içeren her türlü kayıt, kişisel cihazlarındaki her türlü bilgi,
  • Çalışanların ve adayların iş başvurusu amacıyla gönderdiği özgeçmiş dosyaları ve yaptıkları iş görüşmelerine ait bilgi varlıkları,
  • Genel e-posta adresine veya çalışanın kendi e-posta adresine gönderilmemiş her türlü e-posta,
  • Müşteriler ve iş ortakları ile yapılmış her türlü etkinlik, toplantı ve yazışmalara ait tutanak, e-posta, ses, telefon veya video kayıtları,
  • Müşterilerin, iş ortaklarının ve her türlü diğer kişi ile kurumun kişisel bilgi varlıkları, erişim izni tanımı dışındaki her türlü ürün ile hizmetlerine ait bilgileri, ticari veya finansal veya bunların çalışanlarına veya bunların müşterilerine ait kişisel, ticari veya finansal bilgiler, bunlarla ilişkilendirilebilecek diğer bilgileri
  • Şirketin ve/veya iş ortağının ve/veya müşterinin finansal ve ticari ilişkileri,
  • Patent, marka tescili, tasarım, prototip ve henüz yayınlanmamış finansal bilgiler,

Şeffaf Bilgi Varlığı

  • EticSoft şeffaflık ilkesi gereği EticSoft çalışanları aşağıdaki bilgilerin tümüne, müşteriler ve iş ortakları ise 4. , 5. ve 6. maddelerdeki bilgilere erişebilirler,
  • Şirketin çeyrek ve yıllık gelirler – giderlerini içeren raporlar,
  • Şirketin dönemlik bütçesi,
  • Ürün ve hizmetlerin toplam kullanıcı sayısı gibi anonim istatistikleri,
  • Şirketin organizasyon şeması,
  • Ürün ve hizmetlerin mevcut ve eski versiyonları, özellikleri, planlı bakım süreçleri, planlı veya plansız gerçekleşmiş kesintileri.
  • Şirketin toplam sermayesi
  • İstisnalar: Şeffaf bilgiler, Kurul tarafından gerekçesi belirtilmek sureti ile geçici ve/veya kalıcı olarak erişime kısıtlanabilir.

Tasnif Edilmemiş Bilgi Varlığı

Bu dökümanın Gizli Bilgi Varlıkları veya Şeffaf Bilgi Varlıkları maddelerinde bulunamayan her türlü bilgi varlığı “Tasnif edilmemiş” olarak kabul edilir. Bu tür verilere erişim Bilgi Güvenliği Yöneticisinin iznine bağlıdır. Bilgi Güvenliği Yöneticisi bu tür bir varlığa erişim talebi ile karşılaştığında Kurula yazılı olarak müracaat eder.