EGEROBOT
Bilgi Güvenliği Yönetim Sistemi

Bilgi Güvenliği Politikası

ISO 27001:2022, GDPR ve KVKK uyumlu Bilgi Güvenliği Yönetim Sistemi

Son Güncelleme: 2026-02-04

Amaç

EGEROBOT, kurumsal bilgiyi son derece değerli bir varlık olarak kabul etmektedir. Bilgi; iş faaliyetlerimizin sürdürülebilmesi açısından kritik önem taşır ve uygun bir şekilde korunması gerekir.

EGEROBOT, Bilgi Güvenliği Yönetim Sistemi (BGYS) kapsamında ISO 27001:2022 standardını uygulayarak kurumsal bilginin Gizlilik, Bütünlük ve Erişilebilirlik açısından ortaya çıkabilecek riskleri ve bu risklerin etkilerini en aza indirmeyi amaçlar.

Hizmet verdiğimiz kurum ve kuruluşların güvenini temin etmek ve kullandığımız bilgi varlıklarının güvenliğini sağlamak öncelikli amacımızdır. Bu bağlamda; iş birliğinde bulunduğumuz müşteriler, paydaşlar, resmi kurumlar ve tedarikçilerimiz ile ilişkilerimiz son derece değerlidir.

Kapsam

EGEROBOT Bilgi Güvenliği Yönetim Sistemi, tüm kurumu, iş ortaklarını, tedarikçileri ve müşteri ilişkilerini kapsar. Bu politika; fiziksel ortamlar, dijital sistemler, bulut altyapıları ve uzaktan çalışma ortamları dahil tüm bilgi işleme faaliyetleri için geçerlidir.

Taahhütler

EGEROBOT ve çalışanları olarak, iş sürekliliğimize, bilgi varlıklarımıza ve kişisel verilere yönelik her türlü riski ortadan kaldırmak ve riskleri yönetmek amacıyla;

  1. 1Bilgi güvenliği yönetim sistemimizin ISO 27001:2022 standardının gereklerini yerine getirecek şekilde dokümante edilmesini, belgelendirilmesini ve sürekli iyileştirilmesini
  2. 2Müşteriler, iş ortakları, paydaşlar, tedarikçiler veya diğer üçüncü kişilere ait bilgilerin gizliliğini, bütünlüğünü ve erişilebilirliğini güvence altına almayı
  3. 3Bilgi güvenliği ile ilgili tüm yasal mevzuat ve sözleşmelere uyulmasını sağlamayı
  4. 4Bilgi güvenliği farkındalığını artırmak amacıyla teknik ve davranışsal yetkinlikleri geliştirecek eğitimleri gerçekleştirmeyi
  5. 5Hizmetlerimizle ilgili stratejik hedef, tedarik kaynakları, müşteri, paydaşlar, iş ortakları ve çalışanların bilgileri ile kişisel veri gibi kritik verilerin gizliliğini korumayı
  6. 6Bilgi varlıklarının güvenliği için uygun fiziksel ve elektronik ortamları yaratmayı, bilgi varlıklarının gizliliğinin, bütünlüğünün ve erişilebilirliğinin sürekliliğini ve kontrolünü sağlamayı
  7. 7Bilgi teknolojileri hizmetlerimizin süreklilik güvencesi için gerekli planları ve teknik altyapıyı sağlamayı
  8. 8Bilgi güvenliğine aykırı durumları zamanında tespit edebilmek ve anında müdahale etmeyi
  9. 96698 Sayılı Kişisel Verilerin Korunması Kanunu'nda belirtilen önlemleri almayı ve Kişisel Verilerin Korunması Politikası'na tam uyumlu çalışmayı
  10. 10EGEROBOT'un sahip olduğu tüm kişisel verileri ve bilgi varlıklarını korumayı, bilgi güvenliği şartlarını ulusal-uluslararası standartlar, yasa ve mevzuatlar çerçevesinde sağlamayı, mevcut ve oluşabilecek riskleri yöneterek bilgi güvenliğini sürekli olarak iyileştirmeyi, geliştirmeyi ve gözden geçirmeyi

taahhüt eder.

Yasal Çerçeve ve Standartlar

Bu politika, aşağıdaki ulusal ve uluslararası düzenlemelere uygun olarak hazırlanmıştır:

Uluslararası Standartlar

ISO/IEC 27001:2022Bilgi Güvenliği Yönetim Sistemi
ISO/IEC 27002:2022Bilgi Güvenliği Kontrolleri
ISO/IEC 27701:2019Gizlilik Bilgi Yönetimi
ISO 22301:2019İş Sürekliliği Yönetim Sistemi

Avrupa Birliği Düzenlemeleri

GDPRGeneral Data Protection Regulation – AB 2016/679
NIS2 DirektifiAğ ve Bilgi Sistemleri Güvenliği

Türkiye Mevzuatı

6698 Sayılı KVKKKişisel Verilerin Korunması Kanunu
5651 Sayılı Kanunİnternet Ortamında Yapılan Yayınların Düzenlenmesi
5237 Sayılı TCKBilişim Suçları (Madde 243-246)
6102 Sayılı TTKTicari Defter ve Belge Saklama Yükümlülükleri

Temel İlkeler

EGEROBOT'un bilgi güvenliği politikası aşağıdaki ilkelere dayanır:

Gizlilik (Confidentiality)

  • Bilgi, izinsiz erişime karşı korunur
  • Yetkisiz kişilere kasten veya ihmal sonucu açıklanamaz
  • Veri sınıflandırma ve erişim kontrolü uygulanır

Bütünlük (Integrity)

  • Bilginin doğruluğu ve tutarlılığı sağlanır
  • Yetkisiz değişikliklere karşı koruma mekanizmaları uygulanır
  • Log kayıtları ve denetim izleri tutulur

Erişilebilirlik (Availability)

  • Yetkili kullanıcıların bilgiye zamanında erişimi sağlanır
  • Sistem kesintilerine karşı önlemler alınır
  • İş sürekliliği planları uygulanır

Tasarımla Güvenlik (Security by Design)

  • Sistemler tasarım aşamasından itibaren güvenlik odaklı geliştirilir
  • Privacy by Design ilkesi benimsenir

Modern Tehdit Kategorileri ve Önlemler

Fidye Yazılımları (Ransomware)

  • Düzenli ve izole yedekleme stratejileri
  • Çift gasp (double extortion) saldırılarına karşı veri şifreleme
  • Endpoint Detection and Response (EDR) sistemleri

Sosyal Mühendislik ve Oltalama (Phishing)

  • Çalışan farkındalık eğitimleri
  • Yapay zeka destekli deepfake tehditlerine karşı doğrulama protokolleri
  • E-posta güvenlik filtreleri ve SPF/DKIM/DMARC yapılandırması

Gelişmiş Kalıcı Tehditler (APT)

  • Davranış tabanlı tehdit algılama
  • Ağ segmentasyonu
  • Sıfır Güven (Zero Trust) mimarisi

Tedarik Zinciri Saldırıları

  • Üçüncü taraf risk değerlendirmesi
  • Yazılım bileşen analizi (SBOM)
  • Tedarikçi güvenlik denetimleri

IoT ve OT Güvenliği

  • Endüstriyel kontrol sistemlerinin izolasyonu
  • IoT cihaz envanteri ve güvenlik güncellemeleri
  • Ağ trafiği izleme

Bulut Güvenliği Politikası

Genel İlkeler

  • Bulut hizmet sağlayıcılarının güvenlik sertifikasyonları doğrulanır
  • Sıfır Güven (Zero Trust) mimarisi uygulanır
  • Veriler aktarım ve beklemede şifrelenir

Erişim Kontrolü

  • Çok faktörlü kimlik doğrulama (MFA) zorunludur
  • En az yetki ilkesi (Least Privilege) uygulanır
  • Rol tabanlı erişim kontrolü (RBAC) kullanılır

Yapılandırma Güvenliği

  • Cloud Security Posture Management (CSPM) araçları kullanılır
  • Düzenli yapılandırma denetimleri yapılır
  • API güvenliği sağlanır

Uzaktan Çalışma Güvenliği Politikası

Ağ Güvenliği

  • VPN kullanımı zorunludur
  • Güvenli ev ağı yapılandırması önerilir
  • Halka açık Wi-Fi ağlarında hassas veri işlenmez

Cihaz Güvenliği

  • Şirket verilerine erişen cihazlar şifrelenir
  • Güncel antivirüs ve güvenlik yamaları zorunludur
  • Mobil Cihaz Yönetimi (MDM) uygulanır

Veri Koruma

  • Hassas veriler yerel cihazlarda saklanmaz
  • Bulut tabanlı dosya paylaşımı kullanılır
  • Ekran paylaşımı ve görüntüleme kuralları uygulanır

Üçüncü Taraf ve Tedarikçi Güvenliği

Değerlendirme

  • Tedarikçi güvenlik değerlendirmeleri yapılır
  • ISO 27001 sertifikası veya eşdeğeri aranır
  • Düzenli güvenlik denetimleri gerçekleştirilir

Sözleşme Gereksinimleri

  • Gizlilik anlaşmaları (NDA) imzalanır
  • Veri işleme sözleşmeleri (DPA) yapılır
  • Güvenlik ihlali bildirim yükümlülükleri tanımlanır

Olay Müdahalesi ve İhlal Yönetimi

Olay Müdahale Planı

  • Olay tespit, sınıflandırma ve eskalasyon prosedürleri
  • 7/24 güvenlik izleme
  • Olay müdahale ekibi (CSIRT) tanımlanır

Veri İhlali Bildirimi

  • KVKK: Kişisel Verileri Koruma Kurulu'na "en kısa sürede" bildirim
  • GDPR: 72 saat içinde ilgili denetim makamına bildirim
  • Etkilenen kişilere bilgilendirme yapılır

Olay Sonrası

  • Kök neden analizi yapılır
  • İyileştirme önlemleri uygulanır
  • Dersler çıkarılarak dokümante edilir

İş Sürekliliği ve Felaket Kurtarma

İş Sürekliliği Planı (BCP)

  • Kritik iş süreçleri belirlenir
  • Kurtarma süresi hedefleri (RTO) ve kurtarma noktası hedefleri (RPO) tanımlanır
  • Alternatif çalışma yerleri planlanır

Felaket Kurtarma (DR)

  • Düzenli yedekleme ve test prosedürleri
  • Coğrafi olarak dağıtık yedekleme
  • Yıllık felaket kurtarma tatbikatları

Koruma Altında Olan Varlıklar

Kimlik bilgileri ve kişisel veriler
Müşteri ve iş ortağı bilgileri
Yazılım paketleri ve kaynak kodları
Sunucular ve ağ altyapısı
Bulut kaynakları ve veritabanları
Fikri mülkiyet hakları
İş sırları ve ticari bilgiler

Destek Politikalar

Temiz Masa ve Temiz Ekran Politikası
E-posta Kullanım Politikası
Erişim Denetim Politikası
Kriptografik Kontroller Politikası
Parola Yönetimi Politikası
Mobil Cihaz Kullanım Politikası (BYOD)
Sosyal Medya Kullanım Politikası
Veri Sınıflandırma Politikası
Yedekleme ve Kurtarma Politikası
Değişiklik Yönetimi Politikası

Hedefler

  1. 1Uygun risk değerlendirmesi aracılığıyla bilgi varlıklarının değerini tespit etmek
  2. 2Zayıf noktaları ve potansiyel tehditleri anlamak
  3. 3Riskleri kabul edilebilir düzeylere indirmek
  4. 4Ulusal mevzuata (KVKK, 5651, TCK) uymak
  5. 5Uluslararası düzenlemelere (GDPR, ISO 27001:2022) uygunluk sağlamak
  6. 6Müşteri sözleşme şartlarına uymak
  7. 7Kontrol prosedürlerine ve talimatlarına uymak
  8. 8Siber güvenlik olgunluk seviyesini sürekli artırmak

Eğitim ve Farkındalık

  • Tüm çalışanlara yıllık bilgi güvenliği eğitimi verilir
  • Yeni işe başlayanlara oryantasyon eğitimi zorunludur
  • Phishing simülasyonları ve farkındalık testleri yapılır
  • Rol bazlı özel güvenlik eğitimleri düzenlenir
  • Eğitim kayıtları dokümante edilir

Sorumluluklar

Üst Yönetim

  • Bu politikayı onaylar ve destekler
  • Gerekli kaynakları sağlar
  • Yıllık gözden geçirme toplantılarına katılır

Bilgi Güvenliği Yöneticisi (CISO)

  • Politikanın uygulanmasını koordine eder
  • Güvenlik olaylarını yönetir
  • Risk değerlendirmelerini yürütür
  • Yönetime raporlama yapar

Birim Sorumluları

  • Birimlerinde politika uygulamasını sağlar
  • Güvenlik açıklarını rapor eder
  • Çalışan farkındalığını destekler

Tüm Personel

  • Bilgi güvenliği politikasına uyar
  • Güvenlik olaylarını raporlar
  • Eğitimlere katılır
  • Şüpheli durumları bildirir

Yaptırımlar

EGEROBOT'a, müşterilerine veya tedarikçilerine ait bilgilerin güvenliğini tehlikeye atacak herhangi bir kasıtlı veya ihmali hareket:

  • Disiplin cezasına
  • İş akdi feshine
  • Hukuki işleme (5237 sayılı TCK - Bilişim Suçları)
  • Tazminat talebine

tabidir.

Sürekli İyileştirme (PDCA Döngüsü)

EGEROBOT, bilgi güvenliği yönetim sistemini sürekli iyileştirmek için Plan-Do-Check-Act (PDCA) döngüsünü uygular:

Planla (Plan)

  • Risk değerlendirmesi ve güvenlik hedeflerinin belirlenmesi
  • Politika ve prosedürlerin oluşturulması
  • Kaynak planlaması

Uygula (Do)

  • Kontrollerin uygulanması
  • Eğitimlerin verilmesi
  • Dokümantasyonun yapılması

Kontrol Et (Check)

  • İç denetimler
  • Performans ölçümü
  • Olay analizi ve trend değerlendirmesi

Önlem Al (Act)

  • Düzeltici faaliyetler
  • Önleyici tedbirler
  • Sürekli iyileştirme önerileri

Gözden Geçirme

Bu politika:

  • Yılda en az bir kez gözden geçirilir
  • Önemli değişiklikler, güvenlik olayları veya mevzuat güncellemelerinde revize edilir
  • Yönetimin Gözden Geçirmesi (YGG) toplantılarında değerlendirilir

İletişim

Bilgi güvenliği ile ilgili sorularınız veya olay bildirimleri için bizimle iletişime geçin.

İletişim Sayfası
Bu doküman EGEROBOT Bilgi Güvenliği Yönetim Sistemi'nin bir parçasıdır.