EGEROBOT
İnformasiya Təhlükəsizliyi

İnformasiya Təhlükəsizliyi İdarəetmə Sistemi Siyasəti

ISO 27001:2022 standartlarına uyğun korporativ təhlükəsizlik strategiyamız

Son yenilənmə: 2026-02-04

1. Məqsəd

EGEROBOT, korporativ məlumatı son dərəcə dəyərli bir aktiv olaraq qəbul edir. Məlumat; iş fəaliyyətlərinin davamlılığı, müştəri etibarı və qanuni tələblərə uyğunluq üçün həyati əhəmiyyət daşıyır.

EGEROBOT, İnformasiya Təhlükəsizliyi İdarəetmə Sistemi (İTİS) çərçivəsində ISO 27001:2022 standartını tətbiq edərək, korporativ bilik kapitalını və müştəri məlumatlarını hər növ təhdiddən qorumağı hədəfləyir.

Xidmət göstərdiyimiz qurum və təşkilatların güvənini təmin etmək və istifadə etdiyimiz informasiya aktivlərinin gizliliyini, bütövlüyünü və əlçatanlığını qorumaq üçün bu siyasəti hazırlamışıq.

2. Əhatə Dairəsi

Bu siyasət bütün EGEROBOT işçiləri, podratçılar, iş ortaqları və məlumat sistemlərimizə girişi olan üçüncü tərəflər üçün keçərlidir.

3. Öhdəliklərimiz

EGEROBOT və əməkdaşlarımız olaraq, iş davamlılığımıza, informasiya aktivlərimizə və şəxsi məlumatlara yönəlik hər növ təhdidə qarşı bütün lazımi tədbirləri almağı;

  1. 1İnformasiya aktivlərinin məxfiliyini, bütövlüyünü və əlçatanlığını qorumaq
  2. 2Qanuni və müqavilə tələblərinə tam uyğunluq
  3. 3İşçilər arasında təhlükəsizlik mədəniyyətini inkişaf etdirmək
  4. 4Davamlı olaraq təhlükəsizlik proseslərini təkmilləşdirmək
  5. 5Təhlükəsizlik hadisələrinə vaxtında və effektiv reaksiya vermək

öhdəmizə götürürük.

4. Hüquqi Çərçivə

Bu siyasət, aşağıdakı milli və beynəlxalq tənzimləmələrə uyğun olaraq hazırlanmışdır:

Beynəlxalq Standartlar

ISO/IEC 27001:2022İnformasiya Təhlükəsizliyi İdarəetmə Sistemi
ISO/IEC 27002:2022İnformasiya Təhlükəsizliyi Nəzarət Tədbirləri
ISO 22301İş Davamlılığı İdarəetmə Sistemi
ISO/IEC 27701Məxfilik İnformasiya İdarəetmə Sistemi
NIST CSFKibertəhlükəsizlik Çərçivəsi

Avropa İttifaqı Tənzimləmələri

GDPRÜmumi Məlumatların Qorunması Qaydası
NIS2 DirektiviŞəbəkə və İnformasiya Sistemləri Təhlükəsizliyi

Türkiyə Qanunvericiliyi

6698 Saylı KVKKŞəxsi Məlumatların Qorunması Qanunu
5651 Saylı Qanunİnternet Mühitində Nəşrlərin Tənzimlənməsi
5237 Saylı TCKİnformasiya Texnologiyaları Cinayətləri (Maddə 243-246)
6102 Saylı TTKTicarət Dəftər və Sənədlərin Saxlanma Öhdəlikləri

5. Əsas Prinsiplər

EGEROBOT-un informasiya təhlükəsizliyi siyasəti aşağıdakı prinsiplərə əsaslanır:

Gizlilik (Confidentiality)

  • Məlumat, icazəsiz girişə qarşı qorunur
  • Səlahiyyətsiz şəxslərə qəsdən və ya ehtiyatsızlıq nəticəsində açıqlana bilməz
  • Məlumat təsnifatı və giriş nəzarəti tətbiq edilir

Bütövlük (Integrity)

  • Məlumatın doğruluğu və ardıcıllığı təmin edilir
  • Səlahiyyətsiz dəyişikliklərə qarşı qorunma mexanizmləri tətbiq edilir
  • Jurnal qeydləri və audit izləri saxlanılır

Əlçatanlıq (Availability)

  • Səlahiyyətli istifadəçilərin məlumata vaxtında girişi təmin edilir
  • Sistem fasilələrinə qarşı tədbirlər görülür
  • İş davamlılığı planları tətbiq edilir

Dizaynla Təhlükəsizlik (Security by Design)

  • Sistemlər dizayn mərhələsindən etibarən təhlükəsizlik yönümlü inkişaf etdirilir
  • Privacy by Design prinsipi benimsənir

6. Müasir Təhdidlər

Fidyə Proqramları (Ransomware)

  • Müntəzəm və təcrid olunmuş ehtiyat nüsxə strategiyaları
  • İkili şantaj (double extortion) hücumlarına qarşı məlumat şifrələmə
  • Endpoint Detection and Response (EDR) sistemləri

Sosial Mühəndislik və Fişinq (Phishing)

  • Əməkdaş maarifləndirmə təlimləri
  • Süni intellekt dəstəkli deepfake təhdidlərinə qarşı doğrulama protokolları
  • E-poçt təhlükəsizliyi filtrləri və SPF/DKIM/DMARC konfiqurasiyası

Qabaqcıl Davamlı Təhdidlər (APT)

  • Davranış əsaslı təhdid aşkarlanması
  • Şəbəkə seqmentasiyası
  • Sıfır Güvən (Zero Trust) arxitekturası

Təchizat Zənciri Hücumları

  • Üçüncü tərəf risk qiymətləndirməsi
  • Proqram təminatı komponent analizi (SBOM)
  • Təchizatçı təhlükəsizlik auditləri

IoT və OT Təhlükəsizliyi

  • Sənaye nəzarət sistemlərinin təcrid edilməsi
  • IoT cihaz inventarı və təhlükəsizlik yeniləmələri
  • Şəbəkə trafiki monitorinqi

7. Bulud Təhlükəsizliyi

Ümumi Prinsiplər

  • Bulud xidmət təchizatçılarının təhlükəsizlik sertifikatlaşmaları doğrulanır
  • Sıfır Güvən (Zero Trust) arxitekturası tətbiq edilir
  • Məlumatlar ötürmə və saxlama zamanı şifrələnir

Giriş Nəzarəti

  • Çox faktorlu kimlik doğrulama (MFA) məcburidir
  • Ən az səlahiyyət prinsipi (Least Privilege) tətbiq edilir
  • Rol əsaslı giriş nəzarəti (RBAC) istifadə edilir

Konfiqurasiya Təhlükəsizliyi

  • Cloud Security Posture Management (CSPM) alətləri istifadə edilir
  • Müntəzəm konfiqurasiya auditləri aparılır
  • API təhlükəsizliyi təmin edilir

8. Uzaqdan İş Təhlükəsizliyi

Şəbəkə Təhlükəsizliyi

  • VPN istifadəsi məcburidir
  • Təhlükəsiz ev şəbəkəsi konfiqurasiyası tövsiyə edilir
  • İctimai Wi-Fi şəbəkələrində həssas məlumat emal edilmir

Cihaz Təhlükəsizliyi

  • Şirkət məlumatlarına daxil olan cihazlar şifrələnir
  • Güncel antivirus və təhlükəsizlik yamaları məcburidir
  • Mobil Cihaz İdarəetməsi (MDM) tətbiq edilir

Məlumat Qorunması

  • Həssas məlumatlar lokal cihazlarda saxlanılmır
  • Bulud əsaslı fayl paylaşımı istifadə edilir
  • Ekran paylaşımı və görüntüləmə qaydaları tətbiq edilir

9. Üçüncü Tərəf Təhlükəsizliyi

Qiymətləndirmə

  • Təchizatçı təhlükəsizlik qiymətləndirmələri aparılır
  • ISO 27001 sertifikatı və ya ekvivalenti axtarılır
  • Müntəzəm təhlükəsizlik auditləri həyata keçirilir

Müqavilə Tələbləri

  • Gizlilik müqavilələri (NDA) imzalanır
  • Məlumat emalı müqavilələri (DPA) bağlanır
  • Təhlükəsizlik pozuntusu bildiriş öhdəlikləri müəyyən edilir

10. Hadisə Reaksiyası

Hadisəyə Müdaxilə Planı

  • Hadisə aşkarlanması, təsnifatı və eskalasiya prosedurları
  • 7/24 təhlükəsizlik monitorinqi
  • Hadisəyə müdaxilə komandası (CSIRT) müəyyən edilir

Məlumat Pozuntusu Bildirişi

  • KVKK: Şəxsi Məlumatların Qorunması Qurumuna "ən qısa müddətdə" bildiriş
  • GDPR: 72 saat ərzində müvafiq nəzarət orqanına bildiriş
  • Təsirlənən şəxslərə məlumatlandırma aparılır

Hadisə Sonrası

  • Kök səbəb analizi aparılır
  • Təkmilləşdirmə tədbirləri tətbiq edilir
  • Nəticələr sənədləşdirilir

11. İş Davamlılığı

İş Davamlılığı Planı (BCP)

  • Kritik iş prosesləri müəyyən edilir
  • Bərpa müddəti hədəfləri (RTO) və bərpa nöqtəsi hədəfləri (RPO) təyin edilir
  • Alternativ iş yerləri planlaşdırılır

Fəlakət Bərpası (DR)

  • Müntəzəm ehtiyat nüsxə və test prosedurları
  • Coğrafi olaraq paylanmış ehtiyat nüsxələmə
  • İllik fəlakət bərpası təlimləri

12. Qorunan Aktivlər

Müştəri məlumatları və layihə sənədləri
Mənbə kodları və proqram təminatı
İşçi məlumatları
Maliyyə məlumatları
Strateji və korporativ sənədlər

13. Dəstəkləyici Siyasətlər

Şifrə idarəetmə siyasəti
Giriş nəzarəti siyasəti
Məlumatların təsnifatı siyasəti
Mobil cihaz siyasəti
Məqbul istifadə siyasəti

14. Təhlükəsizlik Hədəfləri

  1. 1Sıfır kritik təhlükəsizlik hadisəsi
  2. 2100% işçi təhlükəsizlik təlimi
  3. 3ISO 27001 sertifikatının saxlanılması
  4. 4Müntəzəm zəiflik qiymətləndirmələri
  5. 5Davamlı təkmilləşdirmə mədəniyyəti

15. Təlim və Mədəniyyət

  • Yeni işçilər üçün təhlükəsizlik təlimi
  • İllik yeniləmə kursları
  • Fişinq simulyasiyaları
  • Təhlükəsizlik bülletenləri
  • Hadisə bildiriş mexanizmləri

16. Məsuliyyətlər

Yuxarı Rəhbərlik

  • Bu siyasəti təsdiqləyir və dəstəkləyir
  • Lazımi resursları təmin edir
  • İllik nəzərdən keçirmə toplantılarında iştirak edir

İnformasiya Təhlükəsizliyi Rəhbəri (CISO)

  • Siyasətin tətbiqini koordinasiya edir
  • Təhlükəsizlik hadisələrini idarə edir
  • Risk qiymətləndirmələrini həyata keçirir
  • Rəhbərliyə hesabat verir

Bölmə Rəhbərləri

  • Bölmələrində siyasətin tətbiqini təmin edir
  • Təhlükəsizlik açıqlarını hesabat verir
  • Əməkdaş maarifləndirməsini dəstəkləyir

Bütün İşçi Heyəti

  • İnformasiya təhlükəsizliyi siyasətinə əməl edir
  • Təhlükəsizlik hadisələrini hesabat verir
  • Təlimlərə qatılır
  • Şübhəli vəziyyətləri bildirir

17. Sanksiyalar

EGEROBOT-a, müştərilərinə və ya təchizatçılarına aid məlumatların təhlükəsizliyini riskə atacaq hər hansı davranış, intizam tədbirlərinə

  • Şifahi xəbərdarlıq
  • Yazılı xəbərdarlıq
  • Təlim tələbi
  • İş müqaviləsinin ləğvi
  • Hüquqi tədbirlər

tabedir.

18. Davamlı Təkmilləşdirmə

EGEROBOT, informasiya təhlükəsizliyi idarəetmə sistemini davamlı təkmilləşdirmək üçün Plan-Do-Check-Act (PDCA) dövrəsini tətbiq edir:

Planla (Plan)

  • Risk qiymətləndirməsi və təhlükəsizlik hədəflərinin müəyyən edilməsi
  • Siyasət və prosedurların yaradılması
  • Resurs planlaması

Tətbiq et (Do)

  • Nəzarət tədbirlərinin tətbiqi
  • Təlimlərin verilməsi
  • Sənədləndirmənin aparılması

Yoxla (Check)

  • Daxili auditlər
  • Performans ölçümü
  • Hadisə analizi və trend qiymətləndirməsi

Tədbir gör (Act)

  • Düzəldici fəaliyyətlər
  • Qabaqlayıcı tədbirlər
  • Davamlı təkmilləşdirmə təklifləri

19. Siyasətin Nəzərdən Keçirilməsi

Bu siyasət ən azı ildə bir dəfə və ya əhəmiyyətli dəyişikliklər olduqda nəzərdən keçirilir.

  • İldə ən azı bir dəfə nəzərdən keçirilir
  • Mühüm dəyişikliklər, təhlükəsizlik hadisələri və ya qanunvericilik yeniləmələri zamanı yenidən nəzərdən keçirilir
  • Rəhbərliyin Nəzərdən Keçirməsi (YGG) toplantılarında dəyərləndirilir

20. Əlaqə

İnformasiya təhlükəsizliyi ilə bağlı sual və ya narahatlıqlarınız üçün bizimlə əlaqə saxlayın.

Bizimlə Əlaqə
Bu sənəd EGEROBOT İnformasiya Təhlükəsizliyi İdarəetmə Sisteminin bir hissəsidir.