Bilgi Güvenliği Yönetim Sistemi
Bilgi Güvenliği Yönetim Sistemi

1 Amaç

ÇEDAŞ tarafından kullanılan ve oluşturulan bilgi varlıklarının gizliliğinin, bütünlüğünün ve erişilebilirliğinin sağlanması bu politikanın ana amacıdır.

ÇEDAŞ kurumsal vizyonu ve misyonu doğrultusunda ISO/IEC 27001:2013 ile uyumlu Bilgi Güvenliği Yönetim Sistemi (BGYS) işletilmesi ile aşağıdaki kazanımların elde edilmesi amaçlanmaktadır:

  • Kurum prestijinin arttırılması
  • Rekabet avantajı elde edilmesi
  • Bilgi güvenliği farkındalığını arttırılması
  • Olası riskleri sınırlandırılması

-

2 Kapsam

Bu politika bilgi güvenliği gereksinimlerinin çerçevesini çizmekte ve yazılı kuralların oluşturulması için temel dayanağı oluşturmaktadır. Ayrıca, yönetimin bilgi güvenliği yönetimi konusundaki kararlılığını ve kurumun bilgi güvenliği ile ilgili yaklaşımlarını içermektedir.

Uygulama alanı ÇEDAŞ çalışanları, geçici çalışanları, danışmanları ve destek hizmeti veren firma çalışanları için verilmiş yetkilerin, bilgisayarların, bilgi kaynaklarının ve haberleşme olanaklarının nasıl kullanılacağını belirlemek, sorumluluklarını ve sonuçlarını tanımlamaktır.

2.1 BGYS Kapsamı

Bilgi Güvenliği Yönetim Sistemi için coğrafi kapsam Sivas Genel Merkez ve ÇEDAŞ veri merkezleri olarak belirlenmiş olup, mantıksal kapsam aşağıdaki birimlerin ana iş koluna dair olan faaliyetlerini kapsamaktadır:

  • Ar-Ge
  • Çağrı Merkezi
  • Genel Koordinatörlük
  • Hukuk
  • ISG Koordinatörlüğü
  • BT
  • İdari İşler
  • İK
  • Kayıp Kaçak
  • Muhasebe Direktörlüğü
  • Müşteri Hizmetleri
  • Özel Güvenlik
  • Satın Alma
  • Sistem İşletme
  • Ticari Saha Kayıp
  • Yatırım Direktörlüğü

-

3 Sorumluluklar

Bu politika ile tanımlanan çalışmaların yürütülmesin amacı ile belirlenen ana sorumluluklar aşağıdaki tabloda belirtilmiştir:

Taraf

Sorumluluk

Üst Yönetim

  • Bilgi Güvenliği Yönetim Sistemi’nin kurulması ve işletilmesi için gerekli kaynak ve yetki / sorumluluk tahsislerini gerçekleştirir.
  • Sertifikasyon kapsamı için yönetim sistemine sahiplik ve sponsorluk yapmak.
  • Yönetim kararı gerektiren sorunları çözmek ve karar taleplerini karara bağlamak.
  • BGYS kapsam ve politikasını onaylamak.

Bilgi Güvenliği Sorumlusu / Yöneticisi

  • BGYS kurulum çalışmalarını koordine etmek.
  • BGYS kurulum ve operasyon çıktılarını gözden geçirmek ve geri bildirimde bulunmak.
  • Bilgi güvenliği uzman bakış açısı ile riskleri giderici uygun kontrollerin seçimini sağlamak.
  • BGYS’nin temelini oluşturan varlık envanteri hazırlama ve risk analizi çalışmalarının uygun şekilde gerçekleştirilmesini koordine etmek.
  • BGYS işletim modelini ve uygulanan süreçlerin uyumluluğunu gözden geçirmek.
  • Çalışanların BGYS hakkında bilgilenmelerini sağlayacak mekanizmaların işletilmesini sağlar.
  • Çalışanların bilgi güvenliğine ilişkin olarak karşılaşabileceği riskleri anlamasını ve tanımasını gerçekleştirecek eğitici yöntemlerin kullanımını koordine eder.
  • Güvenliği sağlamaya yönelik olarak tespit edilen ihtiyaçların karşılanmasını talep eder.
  • Bilgi güvenliği standartlarının kontrolü ve denetimini yapar.

İK & İdari İşler

  • İnsan Kaynakları ve İdari İşler süreçlerini bilgi güvenliği kontrollerine uygun olarak işletir.
  • Bilgi Güvenliği ve İç Denetim tarafından hazırlanmış olan ÇEDAŞ Kabul Edilir BT Kullanım Standartları’nı işe alınacak ve henüz imzalamamış çalışanlara okutur ve imzalatır.

Hukuk

  • İş ve yasal gereksinimlerin takibini sağlamak ve Bilgi Güvenliği ile ilgili konularda Üst Yönetimi bilgilendirir
  • Sözleşmelerde bilgi güvenliği gereksinimlerinin yer almasını sağlamak.

Çalışan

  • BGYS’nce belirlenen uyulması gereken ve yapılmaması gereken davranışlara riayet eder.
  • BGYS’nin sağlıklı işlemesi için gerekli görülen önerileri ilgilisine iletir ve sistemin iyileştirilmesine katkıda bulunur.
  • İş Süreçlerini bilgi güvenliği gereksinimlerine uygun olarak işletir.

İş Ortakları

  • BGYS’nce belirlenen uyulması gereken ve yapılmaması gereken davranışlara riayet eder.

-

4 Terimler

Bu politika ve prosedürlerde geçen bazı terimler aşağıdaki tabloda tanımlanmıştır.

Terim

Tanım / Açıklama

Bilgi

İnsan(lar)ın çalışması sonucu ortaya çıkan karar verme aşamasında kullanılan, anlam taşıyan ve doğru olan, işlenmiş veriye bilgi denir.

Bilgi Varlığı

İş süreçleri sonucunda üretilen, kullanılan, iletilen, arşivlenen fiziksel veya sanal ortamdaki her türlü bilgi ve bunları barındıran her türlü ortama verilen isimdir.

Bilgi Güvenliği

Bilgi ve bilgiyi işleyen/saklayan tüm ortamların gizliliğini, bütünlüğünü ve erişilebilirliğinin korunmasıdır.

Gizlilik

Bilginin yalnızca yetki sahibi olan kişilerce erişilebilir olması durumudur.

Bütünlük

Bilginin içeriğinde yetkisiz bir eksiltme veya değiştirme olmaması, tamamen hatasız ve eksiksiz olarak korunması durumudur.

Erişilebilirlik

Yetki sahibi kişilerin, iş süreçlerinde kullanılan kaynaklara ve bilgilere, ihtiyaç duydukları anda, gereken başarım düzeyinde erişebilmesi durumudur.

Bilgi Güvenliği Yönetim Sistemi

ÇEDAŞ süreçlerinde bilginin güvenli kullanımı, iletimi, depolanması ve sahipliğinin korunmasını sağlamak üzere oluşturulan sistematik yapı ve bu yapıyı tarif eden belgeler (politika, prosedür vb.) bütünüdür.

Varlık Sahibi

Bilginin hangi gizlilik derecesine sahip olduğunu ve hangi yetkilerle hangi taraflarca erişileceğini belirlemekle yükümlü olan kişilerdir. Bu kişiler, fiziksel ve elektronik ortamdaki bilgilerin oluşturulmasından, kullanımından ve korunmasından öncelikli olarak sorumludur.

Operasyon Sahibi

Varlık sahiplerince verilen sorumlulukları yerine getirmek ile görevli, ilgili bilgi güvenliği kontrollerinin kurulması ve işletilmesinden sorumlu roldür.

Çalışan

ÇEDAŞ ile iş akdi imzalamak suretiyle tam veya yarı zamanlı, geçici veya uzun dönemli olarak çalışan kişilerdir.

İş Ortakları

ÇEDAŞ dışı hizmet ve/veya ürün sağlamak amacıyla bir çalışma yürüten gerçek kişiler ve/veya tüzel kişilikler ile bunların alt yüklenicileri ve çalışanlarıdır.

Veri

Bilgisayar dosyaları, e-posta mesajları, kullanıcı adı ve şifrelerini de kapsayan kavramdır. Bilgisayarlar ile oluşturulan ve bilgisayarlar üzerinde saklanan her türlü elektronik bilgidir.

Yerel Ağ

Sadece ÇEDAŞ bilgisayar sistemlerini kapsayan, internetten izole edilmiş olan bilgisayar ağıdır. Bu ağ için intranet adlandırılması da yapılmaktadır.

-

5 Kısaltmalar

Bu politika ve prosedürlerde geçen bazı kısaltmalar aşağıdaki tabloda tanımlanmıştır.

Kısaltma

Tanım / Açıklama

BGYS

Bilgi Güvenliği Yönetim Sistemi

LAN

Yerel Ağ (Local Area Network)

IP

Internet Protokolü

-

6 Genel Kurallar

  1. Bu politika ile belirlenen genel kurallar, aksine istisnalar belirtilmedikçe stajyerler de dâhil tüm çalışanlar ve iş ortakları için geçerlidir.
  2. Özel bir görev/koşul gereği bu kurallara istisna oluşturacak durumlar için, ilgili standart ve talimatlarla gerekli güvenlik kuralları tanımlanır.
  3. Bu politika ile çerçevesi çizilen bilgi güvenliği gereksinimleri ve kurallarına ilişkin ayrıntılar referans verilen BGYS Prosedürleri ile düzenlenir. Çalışanlar ve iş ortakları bu prosedürleri bilmek ve çalışmalarını bu kurallara uygun şekilde yürütmekle yükümlüdürler.
  4. Bu kural ve prosedürlerin, aksi belirtilmedikçe, kâğıt veya elektronik ortamda depolanan ve işlenen tüm bilgiler ile bütün endüstriyel kontrol sistemleri ve bilgi işlem sistemlerinin kullanımı için dikkate alınması esastır.
  5. ÇEDAŞ Bilgi Güvenliği Yönetim Sistemi, TS ISO/IEC 27001:2013 “Information Technology — Security Techniques — Information Security Management Systems — Requirements" standardını temel alarak yapılandırılır ve işletilir.
  6. BGYS’nin hayata geçirilmesi, işletilmesi ve iyileştirilmesi çalışmalarını, ilgili tarafların da katkısıyla Bilgi Güvenliği Sorumlusu / Yöneticisi yürütür.
  7. Şirket tarafından çalışanlara veya firmalara sunulan her türlü endüstriyel kontrol sistemleri ve bilgi işlem sistemi ve altyapısı ile bu sistemler kullanılarak üretilen her türlü bilgi, belge ve ürün, aksini gerektiren kanun hükümleri veya sözleşmeler bulunmadıkça ÇEDAŞ ’e aittir.
  8. Uyulması Gereken Genel Kullanım Kuralları ÇEDAŞ Kabul Edilebilir BT Kullanım Standartları dokümanı içerisinde tanımlanmıştır.
  9. Bu politika en az yılda bir kez veya gerek görüldüğünde güncellenecektir.

-

7 İlgili Prosedürler

  • Ağ ve Sistemlerin Güvenli İşletimi Prosedürü: Endüstriyel kontrol sistemleri ve bilgi işlem sistemlerinin ağ içerisinde güvenlik gereksinimlerine uygun kullanımının sağlanmasına ilişkin kuralları belirler.
  • Bilgi Güvenliği Denetimi Prosedürü: BGYS’nin uygulamaya geçirilmesindeki eksiklik ve hataları, şirket endüstriyel kontrol sistemleri ve bilgi işlem sistemlerindeki açık ve zafiyetleri ve olası iyileştirmeleri belirlemeye yönelik olarak yapılacak iç ve dış güvenlik denetimlerine ilişkin kuralları belirler.
  • BGYS Yönetişim ve İşletim Modeli Prosedürü: Mevcut ve bundan sonra kurulacak olan BGYS oluşumları için işletim modelini ve bu oluşumları koordine ve kontrol edecek yönetişim yapısını belirler.
  • Bilgi Güvenliği Sürekliliği Prosedürü: Bilgi güvenliği süreçlerinin mümkün olduğunca kesintisiz sürdürülebilmesi ve veri kayıplarının engellenmesi için alınması gereken önlemleri, yapılması gereken hazırlıkları, müdahale ve çözüm yöntemleri ile bunlara ilişkin araç ve yöntemleri belirler.
  • Bilgi İçeren Taşınabilir Cihazların Kullanımı Prosedürü: Bilgi içeren taşınabilir cihazların kullanımı sırasında göz önüne alınması gereken güvenlik konularını belirler.
  • Bilgi Sınıflandırma ve İşleme Prosedürü: . Bilgi varlıklarının belirlenmesi, sahipliklerinin atanması ve sahiplik sorumluluklarının tanımlanması sürecinde izlenecek yolu tanımlar. Bilgi sınıflandırması, bilgi sınıflarına uygun kontrol kurallarını belirler. Bu kontrollere göre bilginin, gerektirdiği güvenlik düzeyine uygun olarak işlenmesi, aktarılması, depolanması ve yok edilmesini süreçlerini yönetir.
  • Donanım Değişikliklerinin Uygulanması Prosedürü: Donanım sistemlerinde yapılacak yükseltme, yenileme, devreye alma, devreden çıkarma vb. işlemlerde göz önüne alınacak güvenlik kurallarını belirler.
  • Fikri Mülkiyet Haklarının Korunması Prosedürü: İş süreçlerinde kullanılan bilginin yasal sahipliğine ve bu kapsamda ortaya çıkabilecek yasal gereksinim ve sorumluluklara ilişkin kuralları belirler.
  • Fiziksel Güvenlik Prosedürü: Bilgi güvenliği gereksinimlerine bağlı olarak ortaya çıkan fiziksel güvenlik gereksinimlerini ve bunlara dair kuralları belirler.
  • Güvenlik İhlalleri Bildirimi ve Müdahalesi Prosedürü: Bilgi güvenliği gereklerinin sağlanmasına engel olabilecek durum ve davranışların tespiti, bildirilmesi, analiz edilmesi ve ortadan kaldırılmasına ilişkin adımları belirler.
  • İlgili Yasa ve Düzenlemelere Uyum Prosedürü: Şirketin ana sözleşmesinde yer alan maksat ve iştigal konularını gerçekleştirmek üzere, ilgili yasa ve yönetmelik düzenlemelerine oluşabilecek olası aykırılıkların engellenmesi ve şirket çalışanlarının uymakla yükümlü oldukları ilgili yasa ve yönetmeliklerdeki düzenlemelerden bilgilendirilmelerini amaçlamaktadır.
  • İnsan Kaynakları Güvenliği Prosedürü: Çalışanların ve/veya firmaların ÇEDAŞ için görevlendirdiği çalışanların işe alım, görev değişimi ve işten ayrılmaları sırasında bilgi güvenliği açısından ele alınması gereken gereksinimleri belirler.
  • Internet ve Intranet Kaynaklarının Kullanımı Prosedürü: Internet ve intranet ortamında bilgi alışverişi, bilgi yayınlama ve bu bilgiye erişim ve kullanım sırasında göz önüne alınması gereken güvenlik konularını tanımlar.
  • İş Ortakları Hizmet Sağlama Prosedürü: Şirket hizmetlerinin yürütülmesi, sürdürülmesi ve yapılacak yatırımlar için ihtiyaç duyulan her türlü hizmetin satın alınmasına ilişkin BGYS ile ilişkili maddeleri belirler.
  • Kullanıcı Tanıma ve Yetkilendirme Prosedürü: Yetkilendirme ve kullanıcı hesapları yönetimi gibi erişim kontrolüne ilişkin kuralları belirler.
  • Risk Yönetimi Prosedürü: BGYS kapsamında yapılacak risk değerlendirme işlemlerine ilişkin yöntem ve sorumlulukları belirler.
  • Veri Şifreleme Uygulamaları Prosedürü: Verilerin şifrelenerek saklanması ve iletimi için kullanılacak yöntem ve araçlarla, bunların kullanım biçimlerini belirler.
  • Veri Yedekleme Prosedürü: Şirket verilerinin kaybını engellemek için yürütülmesi gereken veri yedekleme işlemlerinin kapsamını ve yöntemlerini belirler.
  • Yazılım Geliştirme, Değişiklik ve Satın Alma Prosedürü: Yazılımların geliştirmesine, değişikliğine ve satın alınmasına ilişkin çerçeveyi tanımlar.
  • Zararlı Yazılımlardan Korunma Prosedürü: Virüs ve benzeri zararlı yazılımlara karşı alınacak önlemler ve bu tür yazılımların endüstriyel kontrol sistemleri ve bilgi işlem sistemlerine bulaşması durumunda yapılacak işlemleri belirler.

-

8 Politika ve Prosedürlere Uyum

Çalışanların ve Firmaların BGYS’ne uygun davranıp davranmadığı, endüstriyel kontrol sistemleri ve bilgi işlem sistemlerinin güvenlik gereksinimlerine uyum, Bilgi Güvenliği Denetimi Prosedürü’ne uygun şekilde kontrol edilir.

-

9 BGYS Belgelerine Erişim

BGYS’ni oluşturan politika ve prosedürlerin güncel ve geçerli sürümleri, ortak alanda olarak erişilebilir haldedir.

Herhangi bir kaydedilmiş / basılı hale getirilmiş belgenin güncelliğinden emin olunmadığı durumlarda, ortak alandaki ITSM uygulaması üzerindeki bilgilere başvurulmalıdır.

-

10 Yaptırım

ÇEDAŞ BGYS’ne ilişkin süreçleri kanunen uygunluk çerçevesinde denetleme sorumluluğuna sahiptir. Denetleme veya bildirimler sonucunda tespit edilen olay ve bulgular değerlendirilir.

ÇEDAŞ çalışanlarının bu politikaya aykırı kasti ve kasıtsız davranışları, yol açtığı olumsuz sonuç ile birlikte değerlendirilir ve sorumluluğu saptananlar ÇEDAŞ Disiplin Prosedürü çerçevesinde uygun görüldüğü şekilde disiplin süreçlerine tabii tutulur.

Haberler
Elektriği Dağıtan Mesleklerin Belgelendirilmesi Projesi’ne katılan ÇEDAŞ’ın 38 personeli Mesleki Yeterlilik Belgesini alırken, ÇEDAŞ en başarılı elektrik dağıtım şirketi oldu. Proje kapsamında ÇEDAŞ personelinin yeterlilik belgesi almasıyla ilgili konuşan ÇEDAŞ Genel Müdürü Ahmet Sait Akboğa, “Tüketicilerimize kaliteli hizmet sunma noktasında personelimizin aldığı bu belgelerin çok önemli olduğuna inanıyor, bu nedenle gösterdikleri başarıdan dolayı çalışanlarımızı tebrik ediyorum” dedi.
ÇEDAŞ, geçtiğimiz yıllarda “Her Sokak Aydınlık” projesi ile başlatmış olduğu aydınlatma çalışmalarını 2017 yılında da sürdürerek, aydınlatma kapsamında 7 milyon 500 bin TL yatırım planlıyor.
ÇEDAŞ, müşterilerine kaliteli, kesintisiz ve sürdürülebilir elektrik dağıtım hizmeti vermek için kış mevsiminde yapmış olduğu 2017 yatırım planı doğrultusunda çalışmalarını sürdürürken, biten tesislerin devreye alınması çalışmaların aksatmadan gerçekleştiriyor. Arıza sayı ve sürelerinin azalmasının hedeflendiği bu çalışmalarda planlı kesintilerin duyurulması, iş sağlığı ve güvenliği tedbirlerinin alınmasına da önem veriyor.
ÇEDAŞ, müşteri memnuniyeti odaklı hizmet kalitesini belgelemek amacıyla KalDer tarafından yürütülen Ulusal Kalite Hareketi’ne, İyi Niyet Bildirgesini imzalayarak dâhil oldu. ÇEDAŞ Genel Müdürlüğü’nde gerçekleştirilen imza törenine bazı kamu-kurum ve kuruluşlarının yetkilileri de katılarak ÇEDAŞ’a destek oldu.
Duyurular

Bilgi Toplumu Hizmetleri

Çamlıbel Elektrik Dağıtım A.Ş.