AMAÇ

Bilgi Güvenliği Standartlarının kurulması ve BİR GÜNDE KARGO LOJİSTİK ANONİM ŞİRKETİ  (“Bir Günde Kargo”) Sistemleri ve çalışanları tarafından üretilen işlenen iş ve kişisel bilgilerinin korunmasına yönelik Bilgi Güvenliği Yönetim Sistemi (BGYS) ile Kişisel Veri Yönetim Sistemi’nin (KVYS) gereklilikleri tanımlamak, işletmek ve sürdürmek, kuruluştaki Bilgi Güvenliği için sorumluluk ve hesap verebilirliği tesis etmek ve belgelendirmektir.

Bu kapsamda :

• Bir Günde Kargo, iş operasyonlarını desteklemek için bilgileri düzenli olarak toplar, yönetir ve depolar.
• Bir Günde Kargo, bilgi varlıklarının gizliliğini, bütünlüğünü ve kullanılabilirliğini korumayı taahhüt eder.
• bir günde kargo, bilgi varlıklarını korumakta, iş süreçlerinin ve kayıtların bütünlüğünü sağlamakta, geçerli yasa ve yönetmeliklere uyar.

Kurumsal Bilgi Güvenliği Standartı bir günde kargo Bilgi Varlıklarını korumak için Bilgi Güvenliği gereksinimlerini özetler, yürürlükte olan Standart ve Prosedürlerin çatısını oluşturarak Bir Günde Kargo’nun stratejik hedeflerine ulaşmasına yardımcı olur.

KAPSAM

Bu belge, bir günde kargo adına iş yürütmek için kullanılan veya elde edilen tüm bilgi, elektronik veya matbu veri saklama alanları, bilgi sistemleri, elektronik ve bilgi işlem cihazları, uygulamalar ve ağ kaynaklarının kullanımı için geçerlidir. Standart, bir günde kargo verilerine erişen, işleyen tüm çalışanlar, 3. parti çalışanlar ve firmaları (tedarikçiler, iş ortakları, danışmanlar, dış kaynaklar…) kapsar.

YÖNETİM TAAHHÜTÜ

Üst yönetim;

•          Bilgi güvenliği ve kişisel veri gizliliği gereksinimlerini dikkate alarak tanımlanan, kabul edilen ve onaylanmış kuralları uygulamayı,

•          Kurumsal bilgi ve kişisel verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini güvence altına almayı,

•          Bilgi güvenliği ve gizlilik yönetim sisteminin sürekli iyileştirilmesini sağlamayı,

•          İlgili yasa, mevzuat, sözleşme ve düzenlemelere (ör. KVKK, GDPR) tam uyum göstermeyi,

•          BGYS ve KVYS’nin uygulanması, işletilmesi ve gözden geçirilmesi süreçlerine liderlik etmeyi,

taahhüt eder.

KURUMSAL SORUMLULUK

Bilgi Güvenliği Yönetim Sistemleri Komitesi (BGYS Komitesi), bu standartın geliştirilmesinden ve devam ettirilmesinden sorumludur.

1. Bir Günde Kargo çalışanları:
   1.  Kendilerine atanan Bilgi Güvenliği eğitimlerini tamamlamaktan ,
   2.  Çalışmalarını Bilgi Güvenliği hedeflerine, politikalarına ve Bilgi Güvenliği Yönetim Sistemi dokümanlarına ve yetkilerine uygun olarak yürütmekten,
   3.  Sistemler veya hizmetlerde gözlenen veya şüphelenilen herhangi bir Bilgi Güvenliği İhlallerine dikkat edip ve raporlamaktan,
   4.  Üçüncü taraflar ile gerçekleştirdikleri çalışmalarında hizmet sözleşmelerine ilave olarak, veri paylaşımı gerçekleştirmeden önce bir günde kargo Gizlilik Sözleşmesinin ve Veri Paylaşım Taahhütnamesinin imzalanmış olduğundan emin olmaktan ve Bilgi Güvenliği gereksinimlerini sağlamaktan sorumludur.
2. Üçüncü parti çalışanlar ve firmalar eriştikleri tüm verilere:
   1.  Bu standart ve standartın kapsamında olan prosedür ve talimatlara,
   2.  Bir Günde Kargo Gizlilik ve Veri Paylaşım Taahhütnamesine,
   3.  Bir Günde Kargo ile imzalanmış sözleşmelere,
   4. Yürürlükte olan yasalara ve yönetmeliklere

uyumlu olacak şekilde, veriyi işlemekten, saklamaktan, anonim hale getirmekten, imha etmekten ve veri güvenliği için gerekli olan teknik ve idari tedbirleri almaktan sorumludurlar. 

Bir Günde Kargo çalışanları, 3. taraf çalışanlar ve firmalar güncel standartlara, bilgilendirmesi gerçekleştirilen revizyonları takip etmekten ve uymaktan sorumludurlar.

Risk Yönetimi ve Kontroller

•          Risk değerlendirme süreçleri ve risk müdahale planları, hem bilgi varlıklarını hem de kişisel verileri kapsayacak şekilde yürütülür.

•          Ek risk analizleri, gerektiğinde uygulanarak kontrol önlemleri güncellenir.

•          Tüm risk kontrol önlemleri, ISO/IEC 27001 Uygulanabilirlik Bildirgesi (SoA) kapsamında dokümante edilir.

•          İş sürekliliği, veri yedekleme, kötü amaçlı yazılım koruması, erişim kontrolleri ve ihlal bildirim prosedürleri bu politikanın ayrılmaz parçasıdır.

Farkındalık ve Eğitim

•          Tüm kurum çalışanları ve sistemde tanımlı dış paydaşlar, BGYS ve KVYS politikalarına uyum sağlamak amacıyla düzenli farkındalık ve bilinçlendirme eğitimlerine tabi tutulmaktadır.

Kaynak ve Süreklilik

•          Üst yönetim, bilgi güvenliği ve mahremiyet süreçlerinin etkinliğini sağlamak ve sürdürmek amacıyla gerekli insan kaynağını, teknolojik altyapıyı ve finansal kaynakları tahsis etmeyi taahhüt eder.

•          Politikaların geçerliliği ve etkinliği periyodik olarak gözden geçirilir ve değişen ihtiyaçlar doğrultusunda güncellenir.

Bilgi Güvenliği Hedefleri

Bilgi Güvenliği Programı’nın amacı, standartlar, süreçler ve işlevlerin oluşturulması yoluyla bir günde kargo içindeki Bilgi Güvenliği risklerini yönetmek ve Bilgi Güvenliği hedeflerine ulaşmaktır.

Bir günde kargo Bilgi Güvenliği Programı’nın hedefleri şunlardır:

1. Kurumsal Bilgi Güvenliği Stratejisini, müşteri verilerini ve kamuya açık olmayan bilgilerin korunması yoluyla etkinleştirmek,
2. İlgili paydaşlar ile yürürlükteki yasalara, düzenlemelere ve sözleşme yükümlülüklerine uyumluluk,
3. Bilgi Güvenliği risklerini etkili ve verimli bir şekilde yönetmek için bir yönetim yapısı oluşturmak,
4. Tanımlanmış güvenlik risklerini tasarım, uygulama ve bakım riski iyileştirme planları aracılığıyla kabul edilebilir (risk toleransı) seviyeye getirmek,
5. Tüm çalışanların Bilgi Güvenliği gereklilikleri farkındalığı arttırılarak hesap verebilirlik kültürünü oluşturmak,
6. Bilgi Güvenliği standartlar ve Bilgi Güvenliği yönetimini bir günde kargo genelinde hesap verilebilir seviyede tutmak ve sürdürülebilirliğini sağlamak.

Bir Günde Kargo Bilgi Güvenliği Programı, geçerli Bilgi Güvenliği hedeflerinin karşılanmasını sağlamaya yardımcı olmak, siber tehdit ortamındaki değişikliklere uyum sağlayabilmek, değişen yasal ve düzenleyici gereksinimleri karşılamak için sürekli olarak gelişimi taahhüt eder.