Bu politika, RHG Enertürk Enerji Üretim ve Ticaret A.Ş., Muradiye Elektrik Üretim A.Ş., Sibelres Elektrik Üretim A.Ş., Betim Enerji Yatırım Üretim ve Ticaret A.Ş., Gün Güneş Enerjisi Elektrik Üretim Sanayi Ve Ticaret A.Ş.’nin iş sürekliliğini sağlamak ve güvenlik ihlal olaylarından doğan zararların ve riskin en aza indirilmesini amaçlamaktadır.
Kapsam:
Bu politika RHG Enertürk Enerji Üretim ve Ticaret A.Ş merkez ve amaç içeriğindeki tüm şirketler, ilgili lokasyonlarında bilgi güvenliği yönetim sistemini, çalışanlarını ve iş fonksiyonlarını kapsar.
Bilgi Güvenliği Politikası
Aşağıdakileri sağlamak RHG Enertürk Enerji Üretim ve Ticaret A.Ş merkez ve amaç içeriğindeki tüm şirketlerin politikasıdır.
- Bahse konu şirketler ilgili tüm taraflara ait bilgilerin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlar.
- Şirketlerin tümü bilgi varlıklarıyla bu bilgiyi işleyen, saklayan veya taşıyan tüm varlıklara ilişkin güncel bir varlık envanteri tutar. Bu varlık envanterindeki varlıklara ilişkin risk analizi yapar, bu risklere yönelik riskleri minimize edici önlemler alır.
- Bilgiye sadece yetki dâhilinde erişim verilerek gizliliği sağlanır.
- Bilgi, yetkisiz değişikliklere karşı korunarak ve yapılan değişiklikler kayıt altına alınarak bütünlüğü sağlanır.
- Bilgiye gereksinim duyulduğunda yetkili kullanıcıların erişimine hazır bulundurularak erişilebilirliği sağlanır.
- Bu politikayı destekleyen tüm politika ve prosedürler her birim tarafından uygulanır. Yasal tüm gereklilikler yerine getirilir.
- Tüm çalışanlar için bilgi güvenliği hakkında sürekli eğitimler verilerek bilinçlendirme sağlanır.
- Tüm bilgi güvenliği açıkları ve tespit edilen şüpheli durumlar ilgililere rapor edilir. İlgililerce sürekli iyileştirme ve kontroller sağlanır.
Yukarıdaki belirtilen maddelerin yönetim tarafından desteklendiğini taahhüt ederim.
Uygulanabilirlik:
Bilgi güvenliği yönetim sistemi kapsamındaki bilgi varlıklarına erişimi veya etkisi olan tüm RHG Enertürk Enerji Üretim ve Ticaret A.Ş merkez ve amaç içeriğindeki tüm şirketlerin çalışanları, bu politikanın uygulanmasından sorumludur ve politikayı onaylayan bu şirketlerin yönetimlerinin desteğini taahhüt ederler.
Hedefler:
1. Uygun risk değerlendirmesi aracılığıyla bilgi varlıklarının değerini tespit etmek, zayıf noktalarını ve onları riske atabilecek tehditleri anlamak ve riskleri kabul edilebilir düzeylere indirmek.
- Bilgi Güvenliği Yönetim Sisteminin tasarımı, uygulaması ve sürdürülmesi aracılığıyla yasalarında gerekliliğini yerine getirmek.
- Kurumun Güvenilirliğini ve sahip olduğu imajını korumak.
- Bilgi Güvenliği ile ilgili tüm müşteri sözleşme şartlarına uymak.
- Kurumun İş sürekliliğini sağlamak.
- TS ISO IEC 27001 uygunluğunu sağlamak ve sürdürmek.
Sürekli İyileştirme:
RHG Enertürk Enerji Üretim ve Ticaret A.Ş merkez ve amaç içeriğindeki tüm şirketler, denetim sonuçlarını, izlenen bilgi güvenliği olaylarının analizini, düzeltici ve önleyici faaliyetleri ve yönetim gözden geçirmelerini kullanarak Bilgi Güvenliği Yönetim Sistemini sürekli olarak iyileştirir.
BG Kurulu Toplantısı:
BGYS Roller ve Sorumluluklar dokümanında yer aldığı şekilde yapılmaktadır.
Sorumluluklar ve Yaptırımlar:
RHG Enertürk Enerji Üretim ve Ticaret A.Ş merkez ve amaç içeriğindeki tüm şirketlerin yönetimi bu politikayı oluşturur, uygulanmasını sağlar ve gözden geçirir. Tüm ilgili şirketlerin çalışanları bu politikaya ve bu politikayı destekleyen prosedür ve talimatlara uymakla sorumludur. Yönetim; Bilgi Güvenliği Yönetim Sistemi kapsamında oluşturulan, politika, prosedür ve talimatlarına uyulmaması halinde kurum personelini uyarma, kınama, para cezası ve sözleşme feshi gibi yaptırımlardan bir ya da birkaçını uygulayacaktır.
RHG Enertürk Enerji Üretim ve Ticaret A.Ş merkez ve amaç içeriğindeki tüm şirketler güvenlik ve işleyiş politikalarının personel tarafından ihlali halinde ilgili şirketlerin yönetimi tarafından personel hakkında gerekli disiplin önlemleri alınır. Söz konusu ihlaller sebebiyle ilgili şirketler veya hizmet sağladığı kimseler herhangi bir şekilde zarar görürse bu şirketlerin yönetimi sorumlu personele zararı tazmin ettirebilir.
RHG Enertürk Enerji Üretim ve Ticaret A.Ş merkez ve amaç içeriğindeki tüm şirketler, müşterilerine ya da tedarikçilerine ait bilgilerin güvenliğini tehlikeye atacak herhangi bir kasti hareket, disiplin cezasına ve/veya hukuki önleme tabidir.
Bilgi Güvenliği Yöneticisi uygun standartlar ve prosedürler aracılığı ile bu politikanın uygulanmasını destekler. RHG Enertürk Enerji Üretim ve Ticaret A.Ş merkez ve amaç içeriğindeki tüm şirketler BT Yönetimi BGYS altyapısını günceller ve sürekliliğini sağlar. Tüm personel ve sözleşmeli tedarikçiler Bilgi Güvenliği Politikasına tabidir. Tüm personel güvenlik olaylarını raporlamaktan ve tespit edilen zayıf noktaları bildirmekten sorumludur.
Gözden Geçirme:
BGYS olarak uyguladığımız diğer yönetim sistemleri ile birlikte bütünleşmiş bir şekilde yönetilmesi, markalarımızın bilgi güvenliği açısından öncülüğümüzde örnek bir kuruluş olmak için güvenilirliği ve sahip olduğu imajını korumak hedeflenir. RHG Enertürk Enerji Üretim ve Ticaret A.Ş merkez ve amaç içeriğindeki tüm şirketlerin yönetimi olarak, ilgili şirketlerin Bilgi Güvenliği Politikası’nın uygulanmasının sağlanması, yasal mevzuatlara uyum kontrollerinin yapılması ve güvenlik ihlallerinde gerekli yaptırımların icra edilmesinin, sürekli iyileştirmenin ve Bilgi Güvenliği süreçlerinde gerekli kaynakların temin edilerek süreçlerin iyileştirilmesinin yönetim tarafından desteklendiğini beyan ederim.
Liderlik
RHG Enertürk Enerji Üretim ve Ticaret A.Ş merkez ve amaç içeriğindeki tüm şirketlerin üst yönetimi, bilgi güvenliği yönetim sistemi ile ilgili olarak aşağıdakileri yerine getirerek, liderlik ve bağlılık göstermektedir:
a) Bilgi güvenliği politikası ve bilgi güvenliği amaçlarının oluşturulmasını ve kuruluşun stratejik yönü ile uyumlu olmasının temin edilmesi,
b) Bilgi güvenliği yönetim sisteminin şartlarının kuruluşun süreçleri ile bütünleştirilmesinin temin edilmesi,
c) Bilgi güvenliği yönetim sistemi için gerekli olan kaynakların erişilebilirliğinin temin edilmesi,
ç) Etkin bilgi güvenliği yönetiminin ve bilgi güvenliği yönetim sisteminin şartlarına uyum sağlamanın öneminin duyurulması,
d) Bilgi güvenliği yönetim sisteminin hedeflenen çıktılarının başarılmasının temin edilmesi,
e) Bilgi güvenliği yönetim sisteminin etkinliğine katkı sağlamaları için kişilerin yönlendirilmesi ve
desteklenmesi,
f) Sürekli iyileştirmenin desteklenmesi,
g) Kendi sorumluluk alanlarında liderliklerini sergileyebilmeleri için diğer ilgili yönetim rollerinin desteklenmesi.