TEDARİKÇİ İLİŞKİLERİ İÇİN BİLGİ GÜVENLİĞİ FORMU

AMAÇ

Bu Tedarikçi İlişkileri İçin Bilgi Güvenliği Politikasının amacı şirketin ve iş stratejileri doğrultusunda müşterilerinin bilgi varlıklarını iç veya dış, bilerek veya bilmeyerek oluşabilecek bütün tehditlere karşı korumaktır. Bu politikanın uygulanması, rekabet avantajı sağlamak için bilgi varlıklarımızın gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamak için önemlidir.

Uygun risk değerlendirmesi yoluyla bilgi varlıklarının değerini tespit etmek ve bu varlıkların açıklarını ve onları riske maruz bırakabilecek tehditleri anlamak.

Bilgi Güvenliği, tasarlama, uygulama, bakım ve iyileştirme yoluyla riskleri yönetmek, kontrol etmek ve kabul edilebilir bir seviyeye indirmek.

Ecem Kalori’nin müşterileriyle olan sözleşme yükümlülüklerine uymak.

Ecem Kalori’nin kurumsal direktiflerine uymak.

KAPSAM

Tedarikçi ilişkilerinde bilgi güvenliğinin korunması için uyulması gereken kuralları kapsar.

1. SORUMLULAR

• Prosedürün Kullanıldığı Birimler: Ecem Kalori Çalışanları, Ecem Kalori Tedarikçi Sözleşmeli İş Ortakları.
• Prosedürün Yürütülmesi için Sorumlular: Ecem Kalori Çalışanları, Ecem Kalori Tedarikçi Sözleşmeli İş Ortakları.
• Tedarikçinin tüm personeli bu güvenlik politikasını korumak için prosedür ve kurallara uyacaktır.
• Tedarikçinin tüm personeli algılanan güvenlik zayıflıklarını rapor edecektir.
• Tedarikçinin tüm personeli, ilgili güvenlik politikalarına uymak için, Ecem Kalori’nin internet sitesindeki en son sürümlerine bakarak güvenlik politikaları ile ilgili bilgilerini güncel tutmakla yükümlüdür.

1. YÜKÜMLÜLÜKLER

Ecem Kalori bilgi güvenliği politikası aşağıdaki maddeleri sağlamak üzere hazırlanmıştır: Bilgi yetkisiz erişime karşı korunacak.

• Bilginin gizliliği muhafaza edilecek.
• Bilgi bilerek veya bilmeyerek yetkisiz kişilere ifşa edilmeyecek.
• Bilginin bütünlüğü yetkisiz değişikliğe karşı korunacak.
• Gerektiğinde yetkili kullanıcılar bilgiye erişebilecek.
• Düzenleyici ve yasal gereklilikler yerine getirilecek.
• İş sürekliliği planları oluşturulacak, sürdürülecek ve test edilecek.
• Şirket içinde çalışan tüm tedarikçi çalışanlarına bilgi güvenliği eğitimi verilecek.
• Tüm bilgi güvenliği ihlal şüpheleri raporlanacak ve incelenecek.

5. TANIMLAR

6. İş ortağı: Tedarikçinin Ecem Kalori kaynaklarına erişen personeli/çalışanı. Sözleşmeli personel, stajyerler, geçici personel, dış danışmanlar ve Ecem Kalori dahilinde çalışan üçüncü parti personel buna dahildir.
7. Bilgi Güvenliği Yönetim Sistemi (BGYS): Bilgi güvenliği oluşturmak, uygulamak, işletmek, izlemek, gözden geçirmek, korumak ve artırmak için, iş riski yaklaşımına dayalı genel yönetim sisteminin bir parçasıdır. Yönetim sistemi; organizasyon yapısını, politikaları, planlama faaliyetlerini, sorumlulukları, uygulamaları, prosedürleri, süreçleri ve kaynakları içerir.
8. Bilgi Güvenliği Olayı: İş süreçlerini riske atma ve bilgi güvenliğini tehdit etme olasılığı yüksek bir tek veya bir dizi istenmeyen veya beklenmeyen bilgi güvenliği olayı.

1. UYGULANABİLİRLİK

Tedarikçilerin şirket içinde çalışan veya şirket bilgi kaynaklarına uzaktan erişebilen bütün personeli bu politikayı uygulamakla yükümlüdür. Bu politikanın kapsamı Ek-A’ da listelenmiştir.

1. HEDEFLER

• Şirketin müşteri bilgilerini korumak
• Şirketin bilgi varlılarını korumak
• Bilginin paylaşılmasına ihtiyaç duyulan durumlarda iş ortaklarına ve müşterilere güven sağlamak
• Planlanmamış kesinti riskini en aza indirmek amacıyla ağı ve altyapı genelinde sistem çalışma süresini izlemek, korumak ve optimize etmek
• Uyumlu olmayan (onaylanmamış) yazılım kurulumunu engellemek
• Güvenlik olaylarına göre güvenlik politikalarını ve prosedürlerini formüle etmek ve gözden geçirmek
• Tüm kullanıcılarda farkındalık yaratmak, bilgi güvenliği eğitimi vermek ve bu eğitimlerin etkinliğini ölçmek

1. OLAY RAPORLAMA

Tedarikçinin tüm personeli güvenlik olaylarını “Bilgi Güvenliği İhlal Olayı Yönetimi Prosedürü”ne göre raporlamaktan sorumludur.

1. İLETİŞİM

Bu politika dokümanı Tedarikçi tarafından tüm paydaşlarına uygun, erişilebilir ve kullanıcı tarafından anlaşılabilir bir formda hazır bulundurulmalıdır.

1. GÖZDEN GEÇİRME

Bu politika, politikanın şirketin iş amaçlarına uygunluğunu ve müşterilerine hizmet etme kabiliyetini sağlamak amacıyla, periyodik olarak (en az yılda bir kere) ve Ecem Kalori içinde yapılan değişiklikler gerektirdiğinde gözden geçirilecektir.

EK: A

KAPSAM:

Bu BGYS aşağıdakileri kapsar:

1. Ecem Kalori’ye ait tesislerde çalışan, ortak tesisleri paylaşan ve Ecem Kalori lokasyonlarındaki bilgi varlıklarına erişimi olan tüm tedarikçi çalışanları, ortakları, müteahhitleri.
2. Ecem Kalori’nin müşteri lokasyonlarında çalışan ve Ecem Kalori’nin bilgi varlıklarına erişimi olan tüm tedarikçi çalışanları ve ortakları.
3. Ecem Kalori ağına bağlanacak yeni ekipman gerektiren tüm uygulamalar ve işlevler.
4. Ağı idare eden ve yöneten BT ekipleri.
5. Ecem Kalori bilgi sistemlerinin bağlı olduğu bütün (mevcut ve gelecek) Ecem Kalori ağı.
6. Yukarıda adı geçen bütün ağlara bağlı ekipman.
7. Yukarıda adı geçen ağlardan geçen bütün veriler.

Aşağıdakiler de dahil olmak ancak bunlarla sınırlı olmamak üzere:

1. Kullanıcı ağı
2. DMZ ağı
3. Internet ağı
4. Tüm omurga servisleri, switchler, ADSL vs.
5. Uzaktan bağlantı ile çalışan kullanıcılar.

EK: B

1. Kabul Edilebilir Kullanım

Genel olarak, aşağıdaki faaliyetler Ecem Kalori tesislerinde bilgi varlıklarının kullanımı ile ilgili kabul edilebilir kullanım şartlarıdır. Ecem Kalori ’de sorumlu oldukları işleri yerine getirirken Ecem Kalori bilgi varlıklarını kullanan tedarikçi çalışanları ve ortakları da bu şartlara bağlıdır.

1. Sistem ve uygulamalara giriş için güçlü şifreler kullanın.
2. Masanızın üzerinde yer alan gizli belgeleri koruyarak masanızı ve ekranınızı temizleyin.
3. Ecem Kalori ve müşterilerinin gereksinimlerine göre dokümanlarınızı sınıflandırın.
4. Ecem Kalori ağında veya sistemlerinde kullanmadan önce, kapıdan girişte elektronik medyanızı beyan edin.
5. Gerekli veri ve yazılımlarınızın sık sık yedeğini alın.
6. Sisteminizdeki anti-virus yazılımının güncel olduğundan emin olun.
7. Virüs olabilecek şüpheli dosya ve programlara karşı her zaman dikkatli olun.
8. İndirdiğiniz dosyaları açmadan önce bir virüs programı ile tarayınız.
9. Gizli bilgi içeren yazıcı çıktılarını hemen yazıcıdan alın.
10. Ecem Kalori tarafından girişte verilen kartları görülebilir şekilde her zaman boynunuzda taşıyın.
11. Ecem Kalori tesislerinde misafirlerinize sürekli eşlik ediniz.
12. Lisanslı yazılım kullanın ve yazılım üreticisinin yazılım kullanım sözleşmesine uyun.
13. Resmi internet ve e-posta sistemlerini sadece iş amaçlı kullanın.
14. Telefonda herhangi bir bilgi paylaşmadan önce lütfen arayanın kimliğini ve talebinin meşru olup olmadığını doğrulayın.
15. Gizli veri içeren sistemlerde klasörlere erişim denetimi uygulayın.
16. Basılı gizli belgeleri parçalayarak imha edin.
17. Elektronik medya ve cihaz içeriklerini Ecem Kalori İmha prosedürüne göre imha edin.
18. Ecem Kalori tesisleri dışında, (eğer varsa) Ecem Kalori tarafından sağlanan notebook ve mobil cihazlarınızı başıboş bırakmayın.
19. Bilgi güvenliği politikaları ile ilgili bilginizi güncel tutun ve bunlara uyun.
20. Bütün güvenlik ihlallerini ve olası güvenlik açıklarını …………………. adresine raporlayın.

1. Kabul Edilemez Kullanım

Genel olarak aşağıdaki faaliyetler yasaktır. Ecem Kalori bilgi varlıklarını kullanan tedarikçi çalışanları ve ortakları, Ecem Kalori’ deki meşru iş sorumlulukları süresince, daha önceden Ecem Kalori’den den onay almış olma kaydıyla, bu yasaklardan muaf tutulabilir. Tedarikçi çalışanları ve ortakları, Ecem Kalori ’nin kaynaklarını kullanırken, hiçbir koşulda yerel ve uluslararası yasaları çiğneyecek bir faaliyette bulunamaz. Aşağıdaki liste ayrıntılı olmamakla beraber kabul edilemez kullanım kategorisine giren faaliyetler için bir çerçeve oluşturmaktadır.

11. Sistem ve Ağ Faaliyetleri

Aşağıdaki faaliyetler istisnasız yasaktır:

1. Korsan veya Ecem Kalori’de kullanım için uygun şekilde lisanslanmamış yazılımların kurulumu veya dağıtımı da dahil olmak, ama bunlarla sınırlı kalmamak üzere; herhangi bir kişi veya şirketin telif hakkı, ticari sır, patent veya diğer fikri mülkiyet veya benzer yasalar ve yönetmelikler ile koruma altına alınmış haklarının ihlali.
2. Dergi, kitap ve diğer telif haklı kaynaklardaki fotoğrafların, telif haklı müziklerin sayısallaştırılması ve dağıtılması da dahil olmak ama bunlarla sınırlı kalmamak üzere; tüm telif haklı materyallerin yetkisiz kopyalanması, Ecem Kalori veya son kullanıcının geçerli bir lisansı olmayan telif haklı bir yazılımın kurulumu kesinlikle yasaktır.
3. Ağa veya sunucuya kötü amaçlı yazılım bulaştırma (ör. virüs, solucan, Truva atı, e-posta bombası vb.)
4. Kullanıcı bilgisayarlarına oyun, telif haklı şarkı, film, pornografik materyal gibi herhangi bir yasaklı materyal ve yazılımın izinsiz kurulumu ve kopyalanması kesinlikle yasaktır.
5. Evde çalışırken aile bireyleri de dahil olmak üzere, şifrelerinizi başkalarına vermek veya hesap bilgilerinizin başkaları tarafından kullanılmasına izin vermek.
6. Ağ haberleşmesinde güvenlik ihlali veya kesintiye sebep olmak. Günlük görevlerinin kapsamı içinde tanımlı bir iş olmamasına rağmen çalışan veya ortağın amaçlanan alıcı olmadığı veriye erişmesi veya açıkça yetki verilmemiş sunucu veya hesaba giriş yapması gibi konular bunlarla sınırlı kalmamak kaydıyla güvenlik ihlalleridir. Bu bölüm kapsamında “bozulma” (bunlarla sınırlı kalmamak üzere) network sniffing, pingedfloods, packetspoofing, denial of service, ve kötü amaçlı sahte yönlendirme bilgileri gibi gibi faaliyetleri ifade eder.
7. Çalışanın veya iş ortağının normal görevinin bir parçası olmadığı halde, çalışanın veya iş ortağının sistemine gönderilmemiş olan bir veriyi ağ üzerinde yakalayacak her tür ağ izleme işini yürütmek.
8. Kullanıcı kimlik doğrulaması veya herhangi bir bilgisayar, ağ veya hesap güvenliğinin çevresinden dolaşmak.

1. Ecem Kalori üst yönetiminin yazılı izni olmadan herhangi bir Ecem Kalori çalışanı, projesi veya ürünü ile ilgili Ecem Kalori dışında bilgi paylaşmak veya yayınlamak.

12. E-posta, Internet ve Haberleşme Faaliyetleri
13. Özellikle bu tür materyalleri talep etmemiş kişilere istenmeyen e-posta iletileri, önemsiz posta veya diğer reklam iletileri (spam) gönderimi.
14. Ecem Kalori politikaları ile yasaklanmış internet sitelerine erişim.
15. Kullanılan dil, mesaj sıklığı veya boyutu yoluyla e-posta, telefon veya çağrı ile her türlü taciz.
16. E-posta başlık bilgilerinin yetkisiz kullanımı veya sahte başlık kullanımı.
17. Taciz etmek veya cevap toplamak amacıyla kendi kullanıcı hesabı dışında başka bir e-posta adresi talep etmek.
18. Zincir posta veya benzer piramit yapıda posta oluşturmak veya iletmek.
19. İş ile ilgisi olmayan benzer veya aynı e-posta mesajını çok sayıda kullanıcıya göndermek.
20. Kullanıcılar, Ecem Kalori bilgisayar sistemleri üzerinde yarattığı, depoladığı, gönderdiği veya aldığı her şey için gizlilik hakkından feragat eder. Ecem Kalori önceden haber vermeden e-postaları izleyebilir. Çalışan veya iş ortağının bu politikada anlatılan ilkelere uymadığına dair bir kanıt olması halinde, Ecem Kalori  iş akdinin sonlandırılması ve yasal yollar da dahil olmak üzere disiplin prosedürü uygulama hakkını saklı tutar.
21. Uygulama

Ecem Kalori tedarikçilerinin Bilgi Güvenliği Yönetim Sistemi çerçevesinde politika ve hizmet sunum kriterlerinin uygunluğunu gözden geçirme ve tetkik hakkına sahiptir.

Bu bilgi güvenliği politikasının ihlali Ecem Kalori ’in işlerinde zarara neden olur. Tedarikçinin herhangi bir çalışanı veya iş ortağının bu politikayı ihlali durumunda anlaşma/hizmet/sözleşme sonlandırmasına varan disiplin cezasına tabi olacaktır.

Onay:

Tedarikçi bu politikayı okuduğunu ve anladığını ve Ecem Kalori ile bir anlaşma/sözleşme kapsamında herhangi bir iş veya hizmete başlaması durumunda bu hüküm ve koşulları peşinen kabul etmiş olacağını beyan eder.