BİLGİ YÖNETİMİ

BİLGİ GÜVENLİĞİ YÖNETİMİ

Bilgi Güvenliği Yönetim Sistemi (BGYS), ENKA içinde bilginin gizliliği, bütünlüğü ve erişilebilirliğini varlık ve risk yönetimi süreçlerini de uygulayarak muhafaza etmek ve ilgili taraflara risklerin doğru bir şekilde yönetildiğine dair güvence vermek için kurulmuştur. BGYS, ENKA’nın kurumsal süreçlerinin ve genel yönetim yapısının bir parçasıdır. Bilgi güvenliği süreçleri, bilgi sistemlerinin ve kontrollerin tasarımında dikkate alınmış ve ENKA’nın ihtiyaçları doğrultusunda ölçeklenmiştir.

ENKA, bilgi güvenliği hedeflerine ulaşmak için ISO/IEC 27001 BGYS standardına dayanan kapsamlı bir Bilgi Güvenliği Yönetim Sistemi (BGYS) uygulamıştır.

ENKA İnşaat ve Sanayi A.Ş. bünyesinde merkez ofiste yürütülen; tasarım ve mühendislik, satın alma ve tedarik zinciri yönetimi, iş sağlığı – güvenliği ve çevre yönetimi, kalite yönetimi, makine ve ekipman yönetimi, sürdürülebilirlik, kurumsal iletişim, insan kaynakları ve idari işler, bilgi teknolojileri, finans, muhasebe, mali kontrol, ihracat ve yatırımcı ilişkileri, hukuk işleri, bilgi ve çalışanlar, petrol, gaz ve petrokimya ve enerji santrali projelerinin yönetimi ve faaliyetleri içerisindeki süreç ISO/IEC 27001 bilgi güvenliği yönetim sistemi standardına uygun Bilgi Güvenliği Yönetim Sistemi işletmektedir.

ENKA, ISO/IEC 27001 standart gereksinimlerini karşılamakta olup bu doğrultuda 2020 yılında sertifikalandırılmıştır.

ENKA, aşağıdaki temel unsurlar ile sağlam bir bilgi güvenliği programı sürdürmektedir.

BİLGI GÜVENLİĞİ YÖNETİŞİMİ

Üst Yönetim tarafından Bilgi Güvenliği Politikası ve Prensipleri oluşturulmuştur.

ENKA kurumsal stratejileri doğrultusunda belirlenen bilgi güvenliği hedefleri, Üst Yönetim tarafından yürütülen Bilgi Güvenliği Yönetim Gözden Geçirme toplantılarında izlenmekte, değerlendirilmekte ve en az yılda bir kez gözden geçirilmektedir.

Potansiyel risklerin etkin yönetimini sağlayan, bilgi güvenliği ve gizlilik kontrollerini bilgi sistemlerimize ve hizmetlerimize dahil eden bilgi güvenliği yönetimi yapısı oluşturulmuştur.

Bilgi Güvenliği Prosedürleri ve Talimatları geliştirilmiş ve tüm çalışanlara iletilmiştir.

Bilgi güvenliği performansının ve bilgi güvenliği yönetim sisteminin etkinliğinin değerlendirilmesi, izleme ve ölçme programı çerçevesinde gerçekleştirilmektedir.

BİLGİ GÜVENLİĞİ POLİTİKASI

Kurumsal Bilgi Güvenliği Politikası, ENKA’nın kurumsal iş hedefleri ile uyumlu ve onları destekler şekilde iş gereksinimlerine dayanan ve ilgili yasalara ve standartlara göre düzenlenen gereksinimler, tanımlar, kurallar, uygulamalar, sorumluluklar ve iş akışlarını ifade eder.

Bu doğrultuda, ENKA Üst Yönetimi, dünya genelinde hizmet veren mühendislik ve inşaat firmaları arasında en iyi ve yenilikçi firmalardan biri olmak vizyonu ışığında, güvenli, yüksek kaliteli ve uygun maliyetli inşaat projeleri tasarlamak, inşa etmek ve tamamlamak misyonu doğrultusunda gerçekleştirdiği tüm faaliyetlerinde; ENKA ve paydaşlarına ait bilginin güvenliğinin sağlanmasını, bilgi varlıklarının korunmasını, bilgi güvenliği gereksinim ve beklentilerini uygulanabilir şartlar ve uluslararası standartlar kapsamında karşılamayı, riskleri sistematik bir şekilde yöneterek bilgi güvenliği performansını iyileştirmeyi, altyapı ve işletim güvenliğini sağlamayı ve tüm çalışanların şirket bilgi güvenliği politika ve prosedürleri çerçevesinde faaliyet göstereceğini taahhüt etmektedir.

BİLGİ GÜVENLİĞİ AMAÇLARI

Şirket ağına gelebilecek saldırılara karşı koruma sağlanması,

Dış kaynaklı yazılım sağlayıcıların hizmet kesintisi/hizmetini sonlandırması durumunda, kritik bilgiye ulaşılabilmesini sağlamak,

Çalışanlar tarafından şirket ortak ağına VPN ile güvenli erişim sağlanması,

Yazılım geliştirme taleplerinin yeterli seviyede detay içermesini ve taleplerin uygulanabilirliğinin değerlendirilmesini sağlamak,

Şirket personeli olmayan kişilerin şirket ağına erişmesinden kaynaklanabilecek zayıflıkların değerlendirilmesi ve önlemler alınması,

Kullanılan yazılımlarda gerçekleştirilen geliştirmelerin var olan iş süreçlerine etkisini değişiklik öncesinde gözden geçirmek,

Uzaktan erişim programlarının sebep olabileceği güvenlik zafiyetlerinin önüne geçmek,

Üçüncü taraflar ile paylaşılan kurumsal bilginin güvenliğini sağlamak,

Sunucularda bulunan kritik ve/veya kurumsal bilgi güvenliğinin sağlanabilmesi amacıyla ortaya çıkabilecek zafiyetlerin araştırılması,

Bilgi güvenliğinin sağlanması amacıyla ofislere erişimi yetkili kişiler ile sınırlandırmak,

Bilginin sızdırılmasının engellenmesi amacıyla, çalışanlara bilgi güvenliği eğitimleri ve farkındalık programlarının uygulanması,

Fiziksel arşivlerde tutulan kritik dokümanları yangına karşı korumak,

Kişisel bilgilerin açığa çıkmasının önüne geçmek amacıyla, kopya sayısını azaltarak gizli bilginin açığa çıkma olasılığını azaltmak,

Fiziksel arşivlerde tutulan kritik dokümanları su baskını, yangın vb etkilere karşı korumak,

İlgili pozisyonlarda yetkin personel görevlendirmek için personel yetiştirme programı uygulamak,

Olası bir felaket durumunda, hizmet vermeyen sistemlerin kabul edilen zaman içerisinde hizmet verebilmesini sağlamak,

İş sürekliliğini sağlamak, olası hizmet kesintilerinin önüne geçmek.

ENKA ÇALIŞANLARININ BİLGİ GÜVENLİĞİ ROLLERİ VE SORUMLULUKLARI

ENKA BGYS politika ve prosedürlerinin gerekliliklerini öğrenmek ve uymak
Bilginin sınıfına uygun biçimde korunmasını sağlamak
Bilgi güvenliği olaylarını, açıklıklarını ve ihlal durumlarını Bilgi Güvenliği Yönetim Sistemi Yöneticisine ya da ENKA Etik Hattına (+90 212 376 1010) bildirmek
Bilgi güvenliği farkındalık eğitim programlarına katılmak
Bilgi güvenliği yönetim sistemine ilişkin iyileştirme önerilerinde bulunmak
ENKA kurumsal politika ve prosedürlerine uygun çalışmak

GİZLİLİK VE VERİ KORUMASI

Çalışanlarının ve müşterilerinin kişisel verilerini güvence altına almak için önlemler alınmaktadır
Bilgi teknolojileri ortamı, güvenlik önlemleri, politikalar ve siber güvenlik farkındalık programı, gizlilik ve veri koruma gereksinimlerine uyumu desteklemektedir
Mevcut kurumsal önlemler ve olay denetimleri gibi teknik kontroller (güvenlik kontrolleri, spam, kötü amaçlı yazılım ve virüsten koruma yazılımı sağlamak için erişim kontrolleri ve güvenlik duvarları dahil) önemlidir.

RİSK DEĞİŞİKLİKLERİNİ İZLEME

Bilgi Güvenliği Yönetim Sisteminin ve ENKA’nın Bilgi Güvenliği faaliyetlerinin uygunluğu, yeterliliği, etkinliği yönetimin gözden geçirme faaliyeti ile yılda en az bir kez periyodik olarak gözden geçirilir.

Risk analizi periyodik olarak tekrarlanır. En az altı ayda bir ve iş süreçlerinde, risklerde veya varlıklarda yapılan önemli değişikliklerden sonra, değişiklikten etkilenen süreçler için bir risk analizi yapılır.

Risk analizi çalışması sırasında belirlenen risk seviyeleri, riskteki değişiklikleri izlemek için önceki risk analizleriyle karşılaştırılmaktadır.

Risk işleme planının durumu periyodik ISMS komite toplantılarında gündem maddesi olarak ele alınmakta ve risk işleme durumu güncellenmektedir.

SİBER GÜVENLİK

Hassas bilgi varlıklarına ve sistemlerine yönelik siber riskleri yönetmek ENKA için en önemli önceliktir.

Saldırıların çoğunun verilere ve sistemlere zarar vermeye veya ticari sırlar veya kişisel veriler gibi hassas bilgileri çalmaya çalıştığı siber saldırıların kapsamı, ciddiyeti ve maliyetlerindeki artan eğilimi dikkate alarak, bilgi ve varlıklarımızı korumaya azami özen gösteriyoruz.

Siber risk, dünyadaki en büyük ve yükselen risklerden biridir. Bu zorluğun üstesinden gelmek ve riskleri indirgemek için ENKA, bilgi varlıklarını güvence altına almak için aşağıdaki temel unsurlara sahip sağlam bir bilgi güvenliği programının sahibidir:

Bağlı birimleri ile ilgili bilgi güvenliği risklerinin tanımlanmasını sağlamak, risk işleme sonuçlarını değerlendirmek
Bilgi güvenliği yönetim sistemi hedeflerine ulaşmak için şirket ve bağlı birimlerde gerekli izleme ve değerlendirme faaliyetlerinin yürütülmesini sağlamak ve bunların uygulanmasını teşvik etmek
Her çalışanın Bilgi Güvenliği Politikasını anlamasını ve siber tehditleri önleme ve azaltmada rollerinin farkında olmasını sağlamak
Tüm çalışanlar için zorunlu BGYS ve Siber Güvenlik farkındalık programları uygulamak.