Security Policies
Senior Management Commitment
Pisano Senior Management undertakes to fulfill the requirements for the realization, operation, monitoring, review, maintenance and improvement of information security, and the fulfillment of applicable legal requirements and ISO / IEC 27001 standard.
Pisano adopts the following principles regarding information security management;
- Pisano values ensuring the safety of its activities regarding the products and services it offers to its customers and stakeholders.
- All business processes are aimed to be integrated, compatible and balanced with each other. Integrated and dynamic business strategy requires the security and continuity of information assets.
- Pisano adopts as a principle to take precautions against risks that may threaten the confidentiality, integrity and accessibility of its products and services that provide value to its customers and stakeholders.
- Intended outcomes of information security in line with this policy and the purpose of the organization are determined and continuous improvement opportunities are evaluated by measuring compliance at regular intervals.
Information Security Policy
Information security is possible by ensuring the confidentiality, integrity and accessibility of information assets.
- The necessity of confidentiality, that the information is accessible only by authorized people,
- Integrity requirement, ensuring the completeness and accuracy of information assets, protecting them from unauthorized changes,
- Accessibility requirement implies that information assets are available to authorized users when needed.
Information assets are properly classified in Pisano. The assets are valued and the value of the assets is calculated to develop an appropriate level of control.
Pisano creates principles that regulate its own corporate functioning in order to ensure information security. Determining the Information Security Policy, defining security roles and making all relevant updates are carried out with the support of the Senior Management and the coordination of all business units. Pisano may seek the opinions of internal and external experts when necessary.
Information Security Objectives
Pisano aims to carry out information security studies for the following purposes without compromising the principles mentioned above;
- Information Security Management System (ISMS) is planned, implemented and developed in line with the internationally accepted ISO / IEC 27001: Information Security Management System standard requirements,
- Necessary studies are carried out to comply with the relevant laws and regulations,
- Necessary actions for internal audit, management review, corrective actions and identifying risks and opportunities required for continuous improvement of ISMS are provided by the management and the teams that the management gives responsibility for information security,
- All roles and responsibilities related to information security are determined and authorizations are made by the management,
- The resources are provided by the management to carry out the necessary work within the framework of the information security management system,
- Together with its stakeholders, material and moral losses that may adversely affect the competitive advantage of the organization are prevented,
- The scope of Information Security Management System is decided by determining information assets, evaluating the information security expectations of related parties such as customers, suppliers and business partners, analyzing legal and contractual obligations, if any, and determined by the management in line with business strategies,
- An asset inventory is created in order to classify information assets and evaluate the confidentiality, integrity and accessibility of these assets,
- To manage information security risks, risk assessment, risk analysis and risk processing studies are carried out, necessary measures are developed and studies are carried out to prevent possible risks,
- Information security objectives in line with this policy and the purpose of the organization are determined, compliance is measured at regular intervals and opportunities for continuous improvement are evaluated,
- Confidentiality of personal information of employee is ensured,
- Customer information is prevented from being accessed by unauthorized people,
- Data integrity is ensured,
- Information security is provided at the supplier,
- Continuous development and protection of operational know-how is ensured,
- End user awareness of information security and this awareness are continuously increased,
- By managing information security effectively, possible damages arising from information security are minimized,
- Necessary studies are carried out to reduce the possibility of experiencing an information security violation, and if it occurs, a coordinated response is provided,
- Necessary arrangements are made to prevent interruptions in critical business processes, in case it cannot be exceeded, it is ensured that it can be operated again within the targeted recovery period,
- Confidentiality, integrity and accessibility of our customers' information assets are ensured within the scope of the Information Security Management System. Continuity of critical business processes related to the customer is ensured,
- Continuous improvement of the Information Security Management System is ensured,
- In human resources management, processes where rules are determined in terms of ensuring security before, during and after employment are established,
- It is ensured that necessary measures are taken to ensure security in internal working areas such as safe working areas, office areas, warehouses and around the institution,
- In order to conduct supplier relations safely; procedures are established for reviewing the procurement services and managing the changes that occur. Security requirements are determined especially in agreements with information technology suppliers that express information security risks.
Last Revision Date: 25 Feb 2021
BİLGİ GÜVENLİĞİ POLİTİKALARI
1. Üst Yönetim Taahhüdü
Pisano Üst Yönetimi bilgi güvenliğinin gerçekleştirilmesi, işletimi, izlenmesi, gözden geçirilmesi, bakımı ve iyileştirilmesi, bilgi güvenliğiyle ilgili uygulanabilir yasal şartların ve ISO/IEC 27001 standardı şartlarının yerine getirilmesi için gerekenin yapılacağını taahhüt eder.
Pisano bilgi güvenliği yönetimi ile ilgili olarak aşağıdaki ilkeleri benimsemektedir;
- Müşterilerine ve paydaşlarına sunduğu ürün ve hizmetlere ilişkin faaliyetlerinin güvenliğinin sağlanmasına önem vermektedir.
- Tüm iş süreçlerinin birbiri ile entegre, uyumlu ve dengeli olması hedeflenmektedir. Entegre ve dinamik iş stratejisi bilgi varlıklarının güvenliğini ve sürekliliğini gerekli kılmaktadır.
- Müşteri ve paydaşlarına değer sağlayan ürün ve hizmetlerinin gizlilik, bütünlük ve erişilebilirliğini tehdit edebilecek risklere karşı tedbir almayı ilke edinir.
- Bu politika ve organizasyonun amacı ile uyumlu bilgi güvenliği hedefleri belirlenir ve düzenli aralıklarla uyumluluk ölçülerek, sürekli iyileştirme fırsatları değerlendirilir.
2. Bilgi Güvenliği Politikası
Bilgi güvenliği, bilgi varlıklarının gizliliğinin, bütünlüğünün ve erişilebilirliğinin sağlanması ile mümkündür.
Bilginin;
- Gizlilik gerekliliği, bilginin sadece yetkili kişiler tarafından erişilebilir olmasını,
- Bütünlük gerekliliği, bilgi varlıklarının tam ve doğruluğunun sağlanmasını, yetkisiz değişimlerden korunmasını,
- Erişilebilirlik gerekliliği, bilgi varlıklarının ihtiyaç duyulduğu anda yetkili kullanıcılar tarafından kullanılabilir olmasını ifade eder.
Pisano’da bilgi varlıkları uygun şekilde sınıflandırılır. Varlıkların değerlemesi yapılır ve uygun seviyede kontrol geliştirmek için varlıkların değeri hesaplanır.
Pisano bilgi güvenliğini sağlamak amacıyla kendi kurumsal işleyişini düzenleyici prensipler oluşturur. Bilgi Güvenliği Politikasının belirlenmesi, güvenlik rollerinin tanımlanması ve ilgili tüm güncellemelerin yapılması Üst Yönetim’in desteği ve tüm birimlerin koordinasyonuyla gerçekleştirilir. Pisano gerekli durumlarda iç ve dış uzmanların görüşüne başvurabilir.
3. Bilgi Güvenliği Amaçları
Pisano yukarıda belirtilen ilkelerden taviz vermeden bilgi güvenliği çalışmalarını aşağıda belirtilen amaçlarla gerçekleştirmeyi hedefler;
- Bilgi Güvenliği Yönetim Sistemi (BGYS), uluslararası olarak kabul edilmiş olan ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardı şartları doğrultusunda planlanır, gerçekleştirilir ve geliştirilir,
- İlgili kanun ve yönetmeliklere uyumlu hale gelinmesi için gereken çalışmalar yapılır,
- BGYS’nin sürekli iyileştirilmesi için gerekli iç denetim, yönetimin gözden geçirmesi, düzeltici faaliyetler ile risklerin ve fırsatların belirlenmesi için gerekli aksiyonlar yönetim ve yönetimin bilgi güvenliği sorumluluğu verdiği ekipler tarafından sağlanır,
- Bilgi güvenliği ile ilgili tüm rol ve sorumluluklar belirlenir ve yönetim tarafından yetkilendirmeler yapılır,
- Bilgi güvenliği yönetim sistemi çerçevesinde gerekli çalışmaların gerçekleştirilmesi için kaynaklar yönetim tarafından sağlanır,
- Paydaşları ile birlikte kuruluşun rekabet avantajını olumsuz yönde etkileyebilecek maddi ve manevi kayıplar engellenir,
- Bilgi Güvenliği Yönetim Sistemi kapsamı bilgi varlıkları belirlenerek, müşteriler, tedarikçiler ve iş ortakları gibi ilgili tarafların bilgi güvenliği beklentileri değerlendirilerek, varsa yasal ve sözleşmeler yükümlülükler analiz edilerek yönetim tarafından iş stratejileri doğrultusunda belirlenir,
- Bilgi varlıklarının sınıflandırılması ve bu varlıkların gizlilik, bütünlük ve erişilebilirlik değerlendirmesinin yapılabilmesi için varlık envanteri oluşturulur,
- Bilgi güvenliği risklerini yönetmek için risklerini değerlendirme, risk analizi ve risk işleme çalışmaları gerçekleştirilerek, gerekli tedbirler geliştirilir ve olası riskleri önlemek için çalışmalar gerçekleştirilir,
- Bu politika ve organizasyonun amacı ile uyumlu bilgi güvenliği hedefleri belirlenir ve düzenli aralıklarla uyumluluk ölçülerek, sürekli iyileştirme fırsatları değerlendirilir,
- Çalışan özlük bilgilerinin mahremiyeti sağlanır,
- Müşteri bilgilerinin yetkisiz kişilerin eline geçmesi engellenir,
- Veri bütünlüğü sağlanır,
- Tedarikçi nezdinde bilgi güvenliği sağlanır,
- Operasyonel Know-How’ın sürekli geliştirilmesi ve korunması sağlanır,
- Son kullanıcı bilgi güvenliği farkındalığını ve bu farkındalığın sürekli arttırılması sağlanır,
- Bilgi güvenliğini etkin biçimde yöneterek bilgi güvenliği kaynaklı yaşanabilecek zararlar asgariye indirilir,
- Bilgi güvenliği ihlal olayı yaşama ihtimalini düşürmek için gerekli çalışmalar yapılır, yaşanması durumunda koordineli şekilde yanıt verilir,
- Kritik iş süreçlerinde yaşanabilecek kesintilerin önüne geçilmesi için gerekli düzenlemeler yapılır, geçilemediği durumda hedeflenen kurtarma süresi içerisinde tekrar çalışabilir hale gelmesi sağlanır,
- Bilgi Güvenliği Yönetim Sistemi kapsamında müşterilerimizin bilgi varlıklarının gizliliği, bütünlüğü ve erişilebilirliği sağlanır. Müşteri ile ilgili kritik iş süreçlerinin devamlılığı sağlanır,
- Bilgi Güvenliği Yönetim Sisteminin sürekli iyileştirilmesi sağlanır,
- İnsan kaynakları yönetiminde istihdam öncesi, sırası ve sonrasında güvenliği sağlama açısından kuralların belirlendiği süreçler oluşturulur,
- Güvenli çalışma alanları, ofis alanı, depo gibi kurum içi çalışma bölgelerinde ve kurum çevresinde güvenliğin sağlanması için gerekli önlemlerin alınması sağlanır,
- Tedarikçi ilişkilerinin güvenli bir şekilde yürütülmesi amacıyla; tedarik hizmetlerinin gözden geçirilmesi, meydana gelen değişikliklerin yönetilmesi için prosedür oluşturulur, özellikle bilgi teknolojileri tedarikçileri ile yapılan/yapılacak olan ve bilgi güvenliği risklerinin ifade edildiği anlaşmalarda güvenlik gereksinimleri belirlenir.
Son Revizyon Tarihi: 25 Şubat 2021