Amaç
Madde 1- Bu Politika’nın amacı, Startupfon Kitle Fonlama Platformu A.Ş. ’nin (bundan sonra Platform olarak anılacaktır) görevi ve konumu nedeniyle bilgi çağı gereklerine paralel olarak bilgi paylaşımı ve güvenliği konularında tedbir almak, bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında değerlendirilerek, içeriden ve/veya dışarıdan gelebilecek kasıtlı veya kazayla oluşabilecek tüm tehditlerden korunmasını sağlamak, yürütülen faaliyetleri etkin, doğru, hızlı ve güvenli olarak gerçekleştirmektir.
İşbu Politika ile Platform tüm faaliyetlerinde bünyesinde çalışanlar ve ilgili tarafların uyması gereken bilgi güvenliği şartlarının çerçevesini çizmek ve yazılı kurallara ilişkin ilke ve esasları düzenlemeyi hedeflemektedir.
Kapsam
Madde 2- Bu politika Startupfon Kitle Fonlama Platformu A.Ş.’nin merkez ve şubeleri ile diğer örgüt birimlerinde bulunan bilgi sistemleri varlıklarını, bilgi sistemlerine erişim sağlayan personelleri, yazılım geliştirme, satış, kurulum, destek, entegrasyon, eğitim, danışmanlık hizmetlerinin iş süreçleri ile Bilgi sistemlerinin kurulması, işletilmesi, yönetilmesi ve kullanılmasına ilişkin; bilginin gizliliğinin, bütünlüğünün ve gerektiğinde erişilebilir olmasının sağlanmasına yönelik olarak bilgi güvenliği politikası üst yönetim tarafından hazırlanır ve yönetim kurulu tarafından onaylanır. Onaylanan bilgi güvenliği politikası personele ve kamuya duyurulur. Bu politika, bilgi güvenliği süreçlerinin işletilmesi için gerekli rollerin ve sorumlulukların tanımlanmasını, bilgi sistemlerine ilişkin risklerin yönetilmesine dair süreçlerin oluşturulmasını, kontrollerin tesis edilmesini ve gözetimini kapsar.
2.1 İç kapsam
İdare, kuruluşa ilişkin yapı, roller ve yükümlülükler
Kapsam dahilindeki departmanlar;
Bilgi Teknolojileri, Finans, Muhasebe, Bilgi Nitelik Yönetimi, birimlerini kapsar.
Yerine getirilecek politikalar, hedefler ve stratejiler
• Tüm yönetim sistemlerinde tanımlanan politikalar,
• Yönetimce belirlenmiş yıllık Bilgi Güvenliği Yönetim Sistemi hedefleri,
• Kuruluş kültürü,
• Kaynaklar ve bilgi birikimi cinsinden anlaşılan yetenekler (örneğin, anapara, zaman, kişiler, süreçler, sistemler ve teknolojiler),
• Bilgi Güvenliği Yönetim Sisteminin kurulması, işletilmesi ve sürdürülmesi için yönetim tarafından atanan Yönetim Temsilcileri ve Bilgi Güvenliği Yönetim Sistemi ekibi,
• İç paydaşlarla ilişkiler ve onların algılamaları ve değerleri, kuruluşun kültürü, kuruluş tarafından uyarlanan standartlar, kılavuzlar ve modeller, sözleşmeye ilişkin ilişkilerin; biçim ve genişliğini kapsamaktadır.
• Bilgi Güvenliği yönetim sistemleri için kuruluş tarafından uyarlanan standartlar, kılavuzlar ve modeller,
• Ürünler, üretim prosesleri, tasarım faaliyetleri, kurulum ve servis faaliyetleri, stratejik planlar, finansal olanaklar, insan kaynakları yapısı ile ilgili, Bilgi Güvenliği sorumluluğumuzu olumlu ya da olumsuz etkileyebilecek hususlar,
• Tartışmalı problemler ve Platform Bilgi Güvenliği Yönetim Sistemi için belirlediği amaçlanan çıktılara ulaşma kabiliyetini etkileyen değişen durum veya tartışmalardır.
Dış Kapsam
Yerine getirilecek politikalar, hedefler ve stratejiler
Uluslararası, ulusal, bölgesel veya yerel olmak üzere, sosyal ve kültürel, politik, yasal, mevzuata ilişkin, finansal, teknolojik, ekonomik, doğal ve rekabetçi ortam,
Küresel Rekabet Hukuku, Politikaları ve Prosedürleri,
Tedarikçi ve yatırımcı verilerinin gizliliği,
Kuruluşun hedefleri üzerinde etkisi bulunan paydaşlarla ilişkiler ve onların algılamaları ve değerleri,
Yatırımcı beklentilerinin sağlanması için Üst Yönetim dahil tüm Platform çalışanları ve taşeronlar
Yatırımcı memnuniyetin sağlanması için Üst Yönetim dahil tüm Platform çalışanları,
İlgili tüm yasal mevzuat, düzenleyici, sözleşmeden doğan şartlar, standartlar,
Tedarikçiler ve dış kaynaklı servis sağlayıcıları,
Ürün belgelendirmeleri dış kapsamdır.
Hukuki Dayanak ve Tanımlar
Madde 3- Bu Politika, Sermaye Piyasası Kurulu’nun 27.10.2021 tarihli 31641 sayılı Resmi Gazete’de yayınlanan “Kitle Fonlaması Tebliği (lll – 35/A.2) ve 9.1.2020 tarihli 31003 sayılı Resmi Gazete ’de yayınlanan ‘Bilgi Sistemleri Yönetimi Tebliği (VII-128.9) (“Bilgi Sistemleri Yönetimi Tebliğ”) esas alınarak hazırlanmıştır.
3.1. BGYS: Bilgi Güvenliği Yönetim Sistemi.
3.2. Envanter: Kurum için önemli olan her türlü bilgi varlığı.
3.3. Know-How: Bir şeyi yapabilme yetkinliğidir.
3.4. Bilgi Güvenliği: Bilgi, tüm diğer kurumsal ve ticari varlıklar gibi, bir işletme için değeri olan ve bu nedenle uygun şekilde korunması gereken bir varlıktır. Platform, know-how, süreç, formül, teknik ve yöntem, personel bilgileri, ticari, sınai ve teknolojik bilgiler GİZLİ BİLGİ olarak kabul edilir.
3.5. Gizlilik: Bilginin içeriğinin görüntülenmesinin, sadece bilgiyi/veriyi görüntülemeye izin verilen kişilerin erişimi ile kısıtlanmasıdır. (Ör: Şifreli e-posta gönderimi ile e-postanın ele geçmesi halinde dahi yetkisiz kişilerin e-postaları okuması engellenebilir.)
3.6. Bütünlük: Bilginin yetkisiz veya yanlışlıkla değiştirilmesinin, silinmesinin veya eklemeler
çıkarmalar yapılmasının tespit edilebilmesi ve tespit edilebilirliğin garanti altına alınmasıdır. (Ör: Veri tabanında saklanan verilerin özet bilgileri ile birlikte saklanması, dijital imza)
3.7. Erişilebilirlik/Kullanılabilirlik: Varlığın ihtiyaç duyulduğu her an kullanıma hazır olmasıdır. Diğer bir ifadeyle, sistemlerin sürekli hizmet verebilir halde bulunması ve sistemlerdeki bilginin
kaybolmaması ve sürekli erişilebilir olmasıdır. (Ör: Sunucuların güç hattı dalgalanmalarından ve güç kesintilerinden etkilenmemesi için kesintisiz güç kaynağı ve şasilerinde yedekli güç kaynağı kullanımı).
3.8. Bilgi Varlığı: Platform’un sahip olduğu, işlerini aksatmadan yürütebilmesi için önemli olan varlıklardır. Bu politikaya konu olan süreçler kapsamında bilgi varlıkları şunlardır:
• Kağıt, elektronik, görsel veya işitsel ortamda sunulan her türlü bilgi ve veri,
• Bilgiye erişmek ve bilgiyi değiştirmek için kullanılan her türlü yazılım ve donanım,
• Bilginin transfer edilmesini sağlayan ağlar,
• Bölümler, birimler, ekipler ve çalışanlar,
• Tesisler ve özel alanlar,
• Çözüm ortakları,
• Üçüncü taraflardan sağlanan servis, hizmet veya ürünlerdir.
3.9. Üst Yönetim:
3.10. BSGY Komitesi:
3.11. BSGY Yöneticisi
3.12. SSL VPN: Son kullanıcı tarafında bir yazılıma ya da donanıma gerek kalmadan işletim sistemlerinin sağladığı internet tarayıcılarının kullanılmasıyla bir ağa güvenli bir biçimde bağlantı çeşididir. Mobil cihazlar ya da kişisel cihazlarla SSL VPN kullanmak mümkündür.
3.13. Statik IP: IP adresleri internet hizmet sağlayıcıları tarafından atanır ve bu adresler zaman içerisinde değişebilir. Statik IP adresleri ise değişmez, atandığı cihaz veya sunucu için sabit olarak kalır.
3.14. Sunucu: Bir bilgisayar ağı üzerinden kullanıcı isteklerine yanıt veren bilgisayar teknolojisidir.
3.15. Sürücü: Sürücü, bilgisayarınızın donanım veya aygıtlarla iletişim kurmasını sağlayan bir yazılımdır.
3.16. Switch (Ağ anahtarı): Bilgisayarların ve diğer ağ öğelerinin birbirlerine bağlanmasına olanak veren ağ donanımıdır.
3.17. Tünel: Kurumsal ağa erişmek için kullanılan uygulamaların kullandığı veri gizleme yöntemidir.
3.18. UTP Kablosu: Korumasız bükümlü kablodur. Bilgisayarlar arası veri iletişiminde kullanılır.
3.19. Virüs Pattern: Antivirüs programının virüsleri tanıma amacıyla kullandığı imza dosyasıdır.
3.20 VLAN (Virtual Local Area network): Ağ kullanıcılarının ve kaynaklarının bir switch üzerindeki portlara bağlanarak yapılan mantıksal bir gruplamadır.
3.21. VPN: Virtual Private Network'ün (Sanal Özel Ağ) kısaltması olup, ağlara güvenli bir şekilde uzaktan erişimde kullanılan bir teknolojidir. Sanal bir ağ uzantısı yarattığından uzaktan bağlanan makine konuk gibi değil, ağa fiziksel olarak bağlıymış gibi görünür.
3.22 Yönlendirici (Router): Ağdaki bilgisayarların yönlerini bulmalarına klavuzluk eder. Bir başka deyişle ağdaki IP paketlerini bir ağdan başka bir ağa taşımaya yarayan cihazlara router denmektedir.
İKİNCİ BÖLÜM
TARAFLAR, SORUMLULUKLAR ve BİRİMLER
Sorumluluk ve Yetki
Madde 4- . Sorumluluk ve yetkileri belirlenmiş görevlerin nitelik ve yeterlilikleri görev tanımlarında tanımlanmıştır. Bilgi güvenliği ile ilgili faaliyetlerin sürdürülmesinden ve geliştirilmesinden. BGYS Ekibi ve Üst Yönetim tarafından atanmıştır. Kapsam içindeki departmanlardan BGYS temsilcileri belirlenmiştir. BGYS ekip üyesi olarak isim bazında atamaları yapılmıştır. Bilgi Güvenliği Politikasının güncelliğinin ve sürekliliğinin sağlanmasından BGYS Yöneticisi sorumludur. Bilgi Güvenliği politikasında yapılacak güncellemeler Yönetim Gözden Geçirme toplantılarında belirlenir ve BGYS Yöneticisi tarafından dokümana yansıtılır. Her güncellemede doküman Üst Yönetim tarafından onaylanır.
4.1. Yönetim Sorumluluğu
• Platform Üst Yönetimi, tanımlanmış, yürürlüğe konmuş ve uygulanmakta olan Bilgi Güvenliği Sistemine uyacağını ve sistemin verimli şekilde çalışması için gerekli kaynakları tahsis edeceğini, sistemin tüm çalışanlar tarafından anlaşılmasının sağlayacağını taahhüt eder.
• BGYS kurulumu sırasında BGYS Yönetim Temsilcisi atama yazısı ile atanır. Gerekli olduğu durumlarda üst yönetim tarafından doküman revize edilerek atama tekrar yapılır.
• Yönetim kademesindeki yöneticiler güvenlik konusunda alt kademelerde bulunan personele sorumluluk verme ve örnek olma açısından yardımcı olurlar. Üst kademelerden başlayan ve uygulanan anlayış, kurumun en alt kademe çalışanlarına kadar inilmesi zorunludur. Bu yüzden tüm yöneticiler yazılı ya da sözlü olarak güvenlik talimatlarına uymaları, güvenlik konularındaki çalışmalara katılmaları yönünde çalışanlarına destek olurlar.
• Üst Yönetim, Bilgi güvenliği kapsamlı çalışmalar için gerek duyulan bütçeyi oluşturur.
4.2. BGYS Ekip Üyeleri Sorumluluğu
• Bölümleri ile ilgili varlık envanteri ve risk analiz çalışmalarının yapılması,
• Sorumluluğu altında bulunan bilgi varlıklarında bilgi güvenliği risklerini etkileyecek bir değişiklik olduğunda, risk değerlendirmesi yapılması için Yönetim Temsilcisini bilgilendirmesi,
• Departman çalışanlarının politika ve prosedürlere uygun çalışmasını sağlanması,
• Bölümleri ile ilgili BGYS kapsamında farkındalığın oluşması, iletişimin sağlanması, dokümantasyon gereksinimlerinin sağlanması,
• BGYS' de mevcut yapının sürdürülmesi ve sürekli iyileştirmelerin sağlanmasından sorumludur.
4.3. İç Denetçi Sorumluluğu
• İç denetim planı doğrultusunda, görev verilen iç denetimlerde denetim faaliyetlerinin yapılmasından ve raporlanmasından sorumludur.
4.4. Bölüm Yöneticileri Sorumluluğu
• Bilgi Güvenliği Politikasının uygulanması ve çalışanların esaslara uymasının sağlanmasından, 3. tarafların politikadan haberdar olmasının sağlanmasından ve fark ettiği bilgi sistemleri ile ilgili güvenlik ihlal olaylarının bildirilmesinden sorumludurlar.
4.5 Tüm Çalışanların Sorumluluğu
• Çalışmalarını bilgi güvenliği hedeflerine, politikalarına ve bilgi güvenliği yönetim sistemi dokümanlarına uygun olarak yürütmekten,
• Kendi birimi ile ilgili bilgi güvenliği hedeflerinin takibini yapar ve hedeflere ulaşılmasını sağlar.
• Sistemler veya hizmetlerde gözlenen veya şüphelenilen herhangi bir bilgi güvenliği açıklığına dikkat etmek ve raporlamaktan,
• Üçüncü taraflar ile yapılan ve satın alma sorumluluğunda olmayan hizmet sözleşmelerine (danışmanlık vb.) ilave olarak gizlilik sözleşmesi yapmak ve bilgi güvenliği gereksinimlerini sağlamaktan sorumludur.
4.6. Üçüncü Tarafların Sorumluluğu
• Bilgi güvenliği politikasının bilinmesi ve uygulanması ile BGYS kapsamında belirlenen davranışlara uyulmasından sorumludur.
Bilgi Güvenliği ve Risk Yönetim Çerçevesi
Madde 5- Bilgi, diğer önemli ticari ve kurumsal varlıklar gibi, bir işletme ve kurum için değeri olan ve bu nedenle uygun olarak korunması gereken bir varlıktır. Bilgi güvenliği iş sürekliliğini sağlamak, kayıpları en aza indirmek için tehlike ve tehdit alanlarından korur. Bilgi güvenliği, bu politikada aşağıdaki bilgi niteliklerinin korunması olarak tanımlanır:
Gizlilik: Bilginin sadece erişim yetkisi verilmiş kişilere erişilebilir olduğunu garanti etmek,
Bütünlük: Bilginin ve işleme yöntemlerinin doğruluğunu ve yetkisiz değiştirilememesini temin etmek,
Erişilebilirlik: Yetkili kullanıcıların, gerek duyulduğunda bilgiye ve ilişkili kaynaklara en hızlı şekilde erişebileceklerini garanti etmek.
Bilgi güvenliği politikası dokümanı, yukarıdaki korumaları ve gereksinimleri sağlayabilmek için oluşturulmuş denetimlerin uygulanması sırasında kullanılacak en üst seviyedeki prensiplerin belirtildiği dokümandır.
Platform’un risk yönetim çerçevesi; bilgi güvenliği risklerinin tanımlanmasını, değerlendirilmesini ve işlenmesini kapsar. Risk Analizi, uygulanabilirlik bildirgesi ve risk işleme planı, bilgi güvenliği risklerinin nasıl kontrol edildiğini tanımlar. Risk işleme planının yönetiminden ve gerçekleştirilmesinden BGYS sorumludur. Tüm bu çalışmalar, “Varlık Envanteri ve Risk Değerlendirme Prosedürü” nde detaylı olarak anlatılmaktadır.
Bilgi Güvenliği Hedefleri ve Amaçları
Madde 6- Politikası, Platform çalışanlarına güvenlik gereksinimlerine uygun şekilde hareket etmesi konusunda yol göstermek, bilinç ve farkındalık seviyelerini arttırmak ve bu şekilde firmanın temel ve destekleyici iş faaliyetlerinin en az kesinti ile devam etmesini sağlamak, güvenilirliğini ve imajını korumak ve üçüncü taraflarla yapılan sözleşmelerde belirlenmiş uygunlukları sağlamak amacıyla firmanın tüm işleyişini etkileyen fiziksel ve elektronik bilgi varlıklarının korunmasını hedefler. Yönetim tarafından belirlenen hedefler belirlenmiş periyodlarda izlenir ve BGSY toplantılarında gözden geçirilir.
Bilgi Güvenliği Organizasyonu
Madde 7- Platform’da Bilgi Güvenliği Yönetim Sistemi ile ilgili aşağıdaki şekilde bir organizasyon yapılmıştır.
BGYS ile ilgili faaliyetlerin sürdürülmesinden ve geliştirilmesinden BGYS Yönetim Temsilcisi
Bilgi Güvenliği Yönetim Sistemi’nin kurulması ve işletilmesinden BGYS Yöneticisi sorumludur.
BGYS Yönetim Temsilcisi ve BGYS Yöneticisi, Üst Yönetim tarafından atanır.
Kapsam dahilindeki birimlerde BGYS Sorumluları belirlenmiştir. BGYS Sorumluları kendi birimlerindeki Bilgi Güvenliği Yönetim Sistemi çalışmalarını takip etmek ve koordine etmekle yükümlüdürler.
İş Sürekliliği Planı
Madde 8- Platform, BilgiSistemleri Yönetimi Tebliği baz alınarak İş Sürekliliği Planı ve Acil Durum Eylem Planı hazırlanmıştır. Platform ’un değer yaratan faaliyetlerini, herhangi bir felaket, kriz ve afet durumunda önceden belirlenen seviyede yürütebilmesi için gerekli olan bu planlarda iş sürekliliği ve acil durum yönetim kapsamı, yapısı, temel unsurları, bilgi sistemleri sürekliliği planı, acil ve beklenmedik durum planı dokümante edilerek tanımlanmıştır. Olası durumlarda hazırlanan planlar ile Platform’un herhangi bir kesinti anında faaliyetlerinin sürdürülmesi veya zamanında kurtarılmasını sağlamak üzere operasyonel, finansal, yasal ve itibari olumsuz etkileri en aza indirmek, sorunları yönetebilmek, herhangi bir beklenmedik ve acil durumda öncelikli gerçekleştirilecek eylemleri, alınacak önlemleri belirleyerek, Şirket’in varlık ve itibarını korumak hedeflenmiştir.
Risk Yönetimi
Madde 9- Platform ’un ISO 27001 Risk Yönetim Çerçevesi; Bilgi Güvenliği ve Hizmet Yönetimi risklerinin tanımlanmasını, değerlendirilmesini ve işlenmesini kapsar. Risk Analizi ve Risk İşleme Planı Bilgi Güvenliği ve Hizmet Yönetimi risklerinin nasıl kontrol edildiğini tanımlar. Risk İşleme Planının yönetiminden ve gerçekleştirilmesinden BGYS Yürütme ve Yönetim Komitesi sorumludur.
Bilgi sistemlerine ilişkin risklerin yönetilmesinde asgari olarak aşağıdaki hususlar değerlendirmeye katılır:
Bilgi teknolojilerindeki hızlı gelişmeler sebebiyle rekabetçi ortamda gelişmelere uymamanın olumsuz sonuçları, gelişmelere uyma konusundaki zorluklar ve yasal mevzuatın değişebilmesi,
Bilgi sistemleri kullanımının öngörülemeyen hatalara ve hileli işlemlere zemin hazırlayabilmesi,
Bilgi sistemlerinde dış kaynak kullanımından dolayı dış kaynak hizmeti veren kuruluşlara bağımlılığın oluşabilmesi,
İş ve hizmetlerin önemli oranda bilgi sistemlerine bağlı hale gelmesi,
Bilgi sistemleri üzerinden gerçekleştirilen işlemlerin, verilerin ve denetim izlerine ilişkin tutulan kayıtların güvenliğinin sağlanmasının zorlaşması.
Yukarıda verilen hususlar için aşağıda bulunan Risk Yönetim Planı hazırlanmıştır.
Envanter No:
Türü
Markası
Modeli
Alım Zamanı
Seri No