Kurumumuz, faaliyet alanı çerçevesinde, vizyonuna, misyonuna ve “Bilgi Güvenliği” ve “Kişisel Veri Gizliliği” kavramlarına uygun olarak hareket etmektedir. “Bilgi Güvenliği” ve “Kişisel Veri Gizliliği” kavramları, “bilginin ve kişisel verilerin izinsiz ve/veya yetkisiz bir şekilde erişilmesi, kullanılması, değiştirilmesi, ifşa edilmesi, yok edilmesini, sızmasını engelleyici faaliyetlerde bulunmak” olarak tanımlanmıştır. Kurumumuz, Bilgi Güvenliği ve Kişisel Veri Gizliliği’nin, Gizlilik, Bütünlük ve Erişilebilirlik olarak 3 ana perspektifi olduğunu kabul etmiştir ve bilgi varlıkların ve kişisel verilerin gizliliğine, bütünlüğüne ve erişilebilirliğine önem vermekte, özen göstermektedir.
Bu doğrultuda yönettiği, sahip olduğu, işlediği, kullandığı bilgi varlıklarının kritiklik durum ve derecesine uygun olarak kurulmuş olan ISO27001 Bilgi Güvenliği Yönetim Sistemi’ni (BGYS) ve ISO27701 Kişisel Veri Yönetim Sistemi’ni (KVYS) işletmektedir. BGYS’nin ve KVYS’nin gerektirdiği tüm süreçleri uygulamakta ve kontrolleri yapmaktadır. Bu kapsamda oluşturulmuş olan tüm politika, prosedür, talimat ve diğer dokümanlar ile birlikte;
- Bilgi varlıklarını ve kişisel verileri gizlilik, bütünlük ve erişilebilirlik açılarından korumayı,
- Bilgi Güvenliği Yönetim Sistemi’nin ve Kişisel Veri Yönetim Sistemi’nin işletilmesi ve sürekliliğinin sağlanması için ihtiyaç duyulan kontrollerin, muafiyet ve istisnaların hayata geçirilmesi ve takibini, işbu politikaya bağlı diğer politikalar, prosedürler ve talimatlar ve uygun görülen yöntemler vasıtasıyla sağlamayı,
- Bilgi güvenliğinin ve kişisel veri gizliliğinin sağlanması için gereksinim duyulan yetkinlik ve yeterlilikteki kaynakları sağlayarak kurum içindeki rol ve sorumlulukları belirlemeyi,
- Bilgi güvenliğinin ve kişisel veri gizliliğinin sağlanması için hali hazırdaki ve olası yeni riskleri tanımlamayı ve etkili bir bilgi güvenliği ve kişisel veri gizliliği risk yönetim yaklaşımı ile bunları değerlendirip gerekli aksiyonları almayı,
- İş sürekliliği, acil durum ve kriz yönetimine dönük süreç ve senaryoları tanımlamayı, işletmeyi ve sürekli iyileştirmeyi,
- Kurum personeline ve ilgili paydaşlara bilgi ve iletişim güvenliğinin ve kişisel veri gizliliğinin sağlanması amacıyla bilinç ve farkındalık arttırıcı, bilgilendirici ve yönlendirici faaliyetler planlamayı ve gerçekleştirmeyi,
- Bilgi güvenliği ve kişisel veri gizliliği kavram ve ihtiyaçlarını kurumumuzun iş ve teknik süreçlerinin ayrılmaz bir parçası olarak uygulamayı,
- Bilgi güvenliği ve kişisel veri gizliliği odaklı hedefler belirleyerek risk yönetim faaliyetleri kapsamında bu hedeflere dönük faaliyetleri yerine getirmeyi, sonuçlarını değerlendirmeyi ve uygulamayı,
- Bilgi güvenliği ve kişisel veri gizliliği konusunda ilgili tüm yasal mevzuata ve sözleşmelerden kaynaklanan beklenti ve gereksinimlere uyumu garanti altına almayı,
- Bilgi güvenliği ve kişisel veri gizliliği ihlallerini yönetmek için gerekli süreç ve sistemleri kurgulamayı ve olduğu taktirde bir ihlalin tekrarlanmasını önlemek için gerekli tedbirleri alıp uygulamayı,
- İşbu politikanın kapsam ve ihtiyaçlar dahilinde uygulanmasını ve kurum içi/dışı ilgili tüm paydaşlarca/taraflarca ulaşılabilir/erişilebilir olmasını,
amaç olarak edinmiştir ve taahhüt eder.