Migros Ticaret A.Ş. Yönetimi;

Bilgi sistemlerinden kaynaklanan güvenlik risklerinin yeterli düzeyde yönetildiğinden emin olmak için, bilgi sistemlerinin ve üzerinde işlenmek, iletilmek, depolanmak üzere bulunan verilerin; gizlilik, bütünlük ve erişilebilirliklerini sağlayacak önlemlere ilişkin kontrollerin geliştirilmesini, işletilmesini, güncelliğinin sağlanmasını ve gerekli yönetsel sorumlulukların tanımlanmasını taahhüt eder.

Bilgi güvenliği kontrolleri kapsamında, her kontrol süreci için; süreç sahiplerini, rollerini, faaliyetlerini ve sorumluluklarını açık bir şekilde tanımlar ve bu yetki, rol ve sorumlulukları periyodik olarak gözden geçirir.

Bilgi güvenliği kontrollerine ilişkin hedeflenen sonuçların üretilebilmesi için gereken kaynakların ve ortamın sağlanmasını taahhüt eder. Hedeflenen sonuçlara ulaşılıp ulaşılmadığının tespiti ve sürekli iyileştirilmesi için düzenli kontroller sağlar.

Bilgi sistemlerinin yönetimine ilişkin bilgi güvenliği politikalarını tesis eder, yılda en az bir kez olmak üzere gözden geçirerek iş alanında gerçekleşen değişiklikler veya teknolojik gelişmeler doğrultusunda güncelliğini sağlar ve ilgili tüm paydaşlara duyurur.

Bilgi sistemleri kontrollerine ilişkin etkinlik, yeterlilik ve uygunluk ile öngörülen riskleri ve bu risklerin etkisini azaltmaya yönelik faaliyetleri devamlı bir şekilde takip eder ve değerlendirir. Bilgi sistemlerine ilişkin yaptığı risk analizlerini, yılda en az bir defa veya bilgi sistemlerinde meydana gelebilecek önemli değişikliklerde tekrarlar. Değerlendirme neticesinde tespit edilen önemli kontrol eksikliklerinin üst yönetime raporlanmasını ve gerekli önlemlerin alınmasını garanti eder.

Risk önceliklerine göre tüm kritik iş süreçlerinin sürekliliğini sağlamak için iş sürekliliği planlarını hazırlar. İş sürekliliği planlarında, kritik iş süreçlerine ilişkin kabul edilebilir kesinti sürelerini ve kabul edilebilir azami veri kaybını belirler.

Bilgi güvenliği yaklaşımında insan faktörünün öneminin farkındadır. Bu nedenle, Şirket personelinin bilgi güvenliği bilincinin geliştirilmesi ve teknik yetkinliğinin sağlanması için gereken eğitimlerin alınmasını destekler. Bütün personelin Migros Ticaret A.Ş. Bilgi Güvenliği Politikası’ndan haberdar olması ve buna uygun hareket etmesi için gereken faaliyetleri uygular. Bilgi güvenliği bilinçlendirme çalışmalarına rağmen insan kaynaklı kasıtlı tehditlerin gerçekleşmesi durumunda disiplin sürecinin çalıştırılacağını garanti eder.

Bilgi güvenliği politikasının güncelliği ve güvenliğinin sağlanması, bilgi güvenliği sürecine ilişkin rollerin tanımlanması ile bu politika ile ilgili alt prosedürlerin hazırlanması ve yayınlanmasından Bilgi Güvenliği Yöneticisi sorumludur. Bu kapsamda Migros Ticaret A.Ş.;
  • Bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak; sahip olunan bilginin değerine uygun şekilde fiziki ve mantıksal güvenlik önlemleri almak,
  • Bilgiye erişimi kontrol etmek için, “bilmesi gereken” prensibine uygun olarak erişim hakları atamak ve yetkisiz erişimi engellemek,
  • Bilginin ve bilgi varlıklarının korunması amacıyla, belirli zaman aralıklarında riskleri belirlemek ve gereken aksiyonları alarak riskleri yönetmek,
    • Migros Ticaret A.Ş. çalışanlarının ve müşteri bilgilerinin gizliliğini ve bütünlüğünü sağlamak; bu bağlamda 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu temel alarak gerekli önlemleri almak,
    • Bilgi güvenliğinin sağlanmasında en önemli unsurun insan olduğu bilinci ile başta çalışanları ve kritik tüm diğer paydaşlarının da bilgi güvenliği konusunda farkındalığını artıracak eğitimler düzenlemek ve sonuçlarının takibini yapmak,
    • Servislerinin sürekliliğini garanti altına almak için gerekli altyapıyı sağlamak,
    • Yaşanacak herhangi bir olumsuzluk karşısında faaliyetlerinin ve paydaşlarına olan sorumluluklarının kesintiye uğramaması için iş sürekliliği planlarını hazırlamak ve bu planları test etmek,
    • Bilgi güvenliği açıklıklarını ve ihlal olaylarını yönetmek ve tekrarlanmamasını sağlamak amacıyla, bilgi güvenliği ihlal olaylarına karşı bir müdahale süreci geliştirmek,
    • Yazılım geliştirilirken güvenlik ihtiyaçlarını göz önünde bulundurmak,
    • Virüs gibi zararlı kodlara ve şirket dışından siber ortamda yapılabilecek saldırılara karşı bilgi varlıklarını korumak için önlemler almak,
    • Bilgi sistemlerinin teknik açıklarına ilişkin bilgileri zamanında elde etmek ve kurumun bu tür açıklara karşı zafiyetlerini tespit etmek amacıyla, sızma testi konusunda ulusal veya uluslararası belgeye sahip gerçek veya tüzel kişiler tarafından sızma testi uygulamalarının gerçekleştirilmesini sağlamak,
    • Bilgi güvenliği kontrollerini destekleyen tüm yerel ve/veya uluslararası yasal mevzuatlara ve sözleşmelere uyum sağlamak ile yükümlüdür.

Migros Ticaret A.Ş. Bilgi Güvenliği Politikası ister tam zamanlı ister yarı zamanlı, daimî ya da sözleşmeli olsun, şirket bilgilerini veya iş sistemlerini kullanan tüm personeli için, coğrafi konumdan veya iş biriminden bağımsız olarak geçerli ve zorunludur. Bu sınıflandırmalara girmeyen üçüncü şahıs hizmet sağlayıcıları ve bunların bağlı destek personeli gibi tüm kişilerin, bu politikanın genel ilkelerine ve uymak zorunda oldukları diğer güvenlik sorumluluklarına ve yükümlülüklerine bağlı kalması şarttır.

Migros Ticaret A.Ş. son değiştirilme tarihi: 13
.02.2020