-
Denetim Yaklaşımımız
Finansal tablo denetimlerinin temel amacı, finansal tablolar üzerinde görüş beyan edebilmek için denetlenen işletmenin iç kontrolü dâhil işletme ve çevresini tanımak suretiyle, hata veya hile kaynaklı “önemli yanlışlık” risklerini belirlemek, değerlendirmek ve böylece “önemli yanlışlık” riski olarak değerlendirilen risklere karşı yapılacak işlerin tasarlanması ve uygulanması için bir dayanak oluşturmaktır.
-
Global Entegrasyon
Grant Thornton Türkiye olarak gücümüzün iki temel bileşeni, ulusal yasa ve mevzuata olan hakimiyetimizin yanı sıra, dünyanın en büyük global denetim ve hizmet ağlarından biri olan Grant Thornton International’ın bir parçası oluşumuz ve bu global gücün sunduğu tüm hizmet kaynaklarına geniş erişimimizdir.
-
Vergi Denetimi (Tam Tasdik) Hizmetleri
Vergi Denetimi (Tam Tasdik) Hizmetleri
-
Vergi Danışmanlığı Hizmetleri
Vergi Danışmanlığı Hizmetleri
-
Vergi Planlaması Hizmetleri
Vergi Planlaması Hizmetleri
-
KDV İadesi Hizmetleri
KDV İadesi Hizmetleri
-
Vergi Eğitimi ve Sirküler
Vergi Eğitimi
-
Diğer Vergi Hizmetleri
Diğer Vergi Hizmetleri
-
Ar-Ge / Tasarım Merkezi Mevzuatı Danışmanlığı
Ar-Ge / Tasarım Merkezi Mevzuatı Danışmanlığı
-
Teknoloji Geliştirme Bölgeleri Mevzuatı Danışmanlığı
Teknoloji Geliştirme Bölgeleri Mevzuatı Danışmanlığı
-
Genel Muhasebe Hizmetleri
Genel Muhasebe Hizmetleri
-
Maliyet Muhasebesi Hizmetleri
Maliyet Muhasebesi Hizmetleri
-
Risk Yönetimi Hizmetleri
Risk Yönetimi Hizmetleri
-
Suistimal İnceleme, Önleme, Hassasiyet, Ticari Uyuşmazlık ve Uyum Hizmetleri
İç Denetim, İç Kontroller ve Suistimal Risk yönetiminin aktif uygulanmasının ve iç kontrol süreçlerinin sıkı takip edilmesinin olası suistimal kayıpları önündeki en önemli koruyucu kalkan olduğuna inanıyoruz.
-
TURQUALITY® ve Yönetim Danışmanlığı Hizmetleri
Turquality® ve Yönetim danışmanlığı hizmetimiz ile büyüme odaklı bir yaklaşımla geleceğinizi şekillendirecek, rekabette öne çıkmanızı sağlayacak fırsatlar yaratıyoruz.
-
Stratejik Yönetim, Strateji Geliştirme ve Stratejik Planlama
İyi tanımlanmış bir stratejik plan olmadan işletme yönetimi yapmak, harita ya da gidilecek hedef belli olmadan yolculuğa çıkmaya benzer.
-
Dijital Strateji ve Dijital Dönüşüm Süreci
Dijitalleşme, bir iş modelini değiştirmek ve yeni gelir ve değer üretme fırsatları sağlamak için dijital teknolojilerin kullanılmasıdır. Dünyamız her zamankinden daha fazla bağlantılı hale geliyor. Milyarlarca akıllı cihaz ve makine, gerçek ve sanal dünyalar arasında bir köprü oluşturarak her geçen gün daha çok miktarda veri üretiyor.
-
Performans İyileştirme ve Değişim Yönetimi
Alanında deneyim ve uzmanlık sahibi danışmanlarımız, benimseme hızını arttıran, riski azaltan ve başarıyı teşvik etmek için performansı yönlendiren insan merkezli, organizasyonel bir değişim yönetimi yaklaşımını başarıyla sunuyor.
-
Stratejik İnsan Kaynakları Yönetimi
Tercih edilen bir işveren olmanız ve günümüz iş dünyasındaki zorlukları aşmanız için yetenek ve performans yönetimi, liderlik, organizasyon ve insan kaynağının yeniden yapılandırılması alanlarında işveren ve çalışan odaklı çözümlere imza atıyoruz.
-
Değer Odaklı Tedarik Zinciri Yönetimi
Değer Odaklı Tedarik Zinciri Yönetimi
-
Şirketlerde Kurumsal ve Yapısal Dönüşüm
Şirketlerde Kurumsal ve Yapısal Dönüşüm
-
Marka Stratejisi Geliştirme, Uluslararası Pazarlama Yönetimi ve Stratejisi
Marka Stratejisi Geliştirme, Uluslararası Pazarlama Yönetimi ve Stratejisi
-
İş Süreçleri Analizi ve Yapılandırma
İş Süreçleri Analizi ve Yapılandırma
-
Ar-Ge/Tasarım Merkezi Kurulumu Danışmanlığı
Ar-Ge/Tasarım Merkezi Kurulumu Danışmanlığı
-
Makro Ekonomik Analiz Danışmanlığı
Makro Ekonomik Analiz Danışmanlığı
-
Kamu Politikaları Danışmanlığı
Kamu Politikaları Danışmanlığı
-
Birleşme ve Satın Alma Hizmetleri
Birleşme ve Satın Alma Hizmetleri
-
Kurumsal Finansman Hizmetleri
Kurumsal Finansman Hizmetleri
-
Robotik Süreç Otomasyonu
Otomasyon yolculuğu şimdiden uzun ve zorlu bir yol kat etti ve Robotic Process Automation (RPA) da bu yolculuğun önemli adımlarından biri haline geldi. Makine öğrenmesi ve yapay zekâ ile birlikte bilişsel otomasyon bizleri çok daha ileri noktalara taşıyacaktır.
-
Değerleme ve Due Diligence Hizmetleri
Şirketlerin finansal gücü ve marka değeri, yeni yatırım kararları alınmasında kullanılan önemli ölçütlerdir. Değerleme ve Due Diligence incelemesi ile hizmet veriyoruz.
-
AEO | YYS Hizmetlerimiz
AEO | YYS Hizmetlerimiz
-
Belgelendirme Hizmetlerimiz
Belgelendirme Hizmetlerimiz
-
Danışmanlık Hizmetlerimiz
Danışmanlık Hizmetlerimiz
-
Dış Ticaret ve Gümrük Departman Kuruluşu
Dış Ticaret ve Gümrük Departman Kuruluşu
-
Dış Ticaret ve Gümrük İşlemlerinde Yolsuzluk Denetimi
Dış Ticaret ve Gümrük İşlemlerinde Yolsuzluk Denetimi
-
Hukuki Danışmanlık Hizmetlerimiz
Hukuki Danışmanlık Hizmetlerimiz
-
Dış Ticaret ve Gümrük Eğitim Hizmetlerimiz
Dış Ticaret ve Gümrük Eğitim Hizmetlerimiz
Değerli İş Ortaklarımız ve Paydaşlarımız,
Grant Thornton Türkiye bilgi güvenliğinin doğru biçimde hayata geçirilmesinin, misyon-vizyonumuza ve şirket stratejik hedeflerimize ulaşma konusunda son derece önemli olduğuna inanmaktayız.
Bu bağlamda Grant Thornton Türkiye bünyesinde yürütülen Bilgi Güvenliği Yönetim Sistemi (BGYS), teknoloji, insan ve bilgilerimizin olduğu varlıklar kapsamında ve ISO 27001 standardı şartları doğrultusunda uygulanmaktadır.
1. Yönetici Özeti
Bu politikanın genel amacı, Grant Thornton Türkiye'nin iş gereksinimleri ve Global Bilgi Güvenliği Çerçevesinde bir araya getirilen ilgili yasa ve yönetmeliklere uygun olarak siber güvenlik için yönetim yönü ve desteği sağlamaktır.
Bu belgenin amacı, bilgi sistemlerini, verileri, varlıkları ve insanları koruyan bilgi güvenliği politikası çerçevesine genel bir bakış sağlamaktır. Kuruluşun güvenlik politikaları, her biri belirli risk alanlarını ve BT güvenlik operasyonlarını ele alan birden fazla alt politika belgesine ayrılmıştır.
2. Amaç
Bu politikanın amacı, kuruluşun bilgi güvenliği konusundaki yönünü ve taahhüdünü belgelemek ve bunu ilgili tüm bireylere iletmektir. Bu politika oluşturulmalı ve firmanın bilgi ve sistemlerine erişimi olan tüm bireylere iletilmelidir.
3. Kapsam
Bu politika, bireylerin yazılım, bilgisayar ekipmanı ve bağlantı dahil Grant Thornton Türkiye bilgi ve sistemlerini nasıl kullanabileceklerine ilişkin kuralları tanımlar. Bu politika, şekli veya formatı ne olursa olsun, oluşturulan veya kullanılan herhangi bir sistemin bilgi veya fiziksel altyapısının kullanıcıları için geçerlidir. Bu politikayı okumak ve anlamak ve faaliyetlerini bu politikanın şartlarına uygun olarak yürütmek bireylerin sorumluluğundadır.
4. Yürürlük
Yukarıdaki kapsamda tanımlanan tüm bireylerin bu politikaya tam olarak uyması beklenmektedir. Politikaya uyulmaması halinde disiplin önlemleri alınabilir. Alınabilecek önlemler ihlale ve ihlalin koşullarına göre değişecektir. Ancak, bu politikayı ciddi şekilde ihlal eden herhangi bir kişinin erişimini derhal iptal etme ve sözleşmesini veya istihdamını feshetme hakkı saklıdır.
5. Revizyonlar
Bu politika, bilgi sistemlerinde ve iş uygulamalarında önemli risk veya değişikliklerin tespit edilmesi halinde, her yıl veya daha erken bir tarihte gözden geçirilecek ve periyodik olarak revize edilecektir.
6. Daha Fazla Bilgi
Daha fazla bilgi için lütfen destek@tr.gt.com e-posta adresi üzerinden Grant Thornton Türkiye Bilgi İşlem Departmanı ile iletişime geçin.
7. Roller ve Sorumluluklar
Rol |
Sorumluluk |
Bilgi Güvenliği Komitesi |
· Bilgi güvenliği stratejilerinin belirlenmesi. · Bilgi Güvenliği Yönetim Sistemi dokümanlarının gözden geçirilmesi ve onaylanması. · Bilgi güvenliği altyapısının kurulması ve sürdürülmesi için kaynak ayrılması. · Risk değerlendirmesinde kabul edilebilir risk seviyesinin belirlenmesi, kabul edilebilir risk seviyesinin gözden geçirilmesi. · Risk işleme aksiyon çalışmalarını takip etmek ve onaylamak. · Risk kabul kriterlerini belirlemek. · Bilgi varlıklarının gözden geçirilmesini sağlamak. · Bilgi varlıkları için kabul edilen risklerin ve bu risklerin iş gereksinimlerindeki değişikliklerin gözden geçirilmesi. · Bilgi Güvenliği Koordinasyon Ekibinin görevlendirilmesi ve çalışmalarının izlenmesi. · Bilgi güvenliği kapsamında süreklilik çalışmalarının yürütülmesi için ihtiyaç duyulan kaynakların sağlanması. · Bilgi güvenliği kapsamında iş sürekliliği planlarının hazırlanmasını, işletilmesini ve sürdürülmesini kontrol eder. · Acil durumlarda karar alma, paydaşlarla iletişim ve benzeri çalışmaları yönlendirir. · Kapasite planlamasını gözden geçirir. |
Bilgi Güvenliği Koordinasyon Ekibi |
· Bilgi Güvenliği Politikasında belirtilen hedeflerin uygulanması için çalışmak. · Sorumluluk alanındaki bilgi varlıklarının tanımlanmasını sağlamak. · Sorumluluk alanındaki risklerin belirlenmesi, değerlendirilmesi ve gerekli aksiyonların takibi çalışmalarını yürütmek. · Risk İşleme Planını oluşturmak ve Bilgi Güvenliği Komitesine sunmak. · Düzeltici faaliyetlerin uygulanmasını koordine etmek ve izlemek. · Fiziksel güvenliğin sağlanması için planlamalar yapmak. · Acil durumlarda hasar tespit çalışması yapmak veya yaptırmak. Hasar tespit sonuçlarını Bilgi Güvenliği Komitesine sunarak sürekliliğin sağlanması ile ilgili kararlara destek vermek. · Bilgi güvenliği kapsamında hazırlanan iş sürekliliği planının işletilmesine karar verildiğinde, planı işletmek ve Bilgi Güvenliği Komitesine gerekli raporlamaları yapmak. · Acil durumlarda kurtarma/süreklilik ekiplerinin koordinasyonunu sağlamak. · Risk değerlendirmesinin düzenli olarak yapılmasını sağlamak. · Risk değerlendirme çalışmalarının güncel tutulmasını sağlamak. · İş sürekliliği planlarının ve ilgili kurtarma planlarının hazırlanmasını, uygulanmasını ve güncel tutulmasını sağlamak. Tatbikat sonuçlarını Bilgi Güvenliği Komitesine raporlamak. · Bu plan doğrultusunda gerekli eğitim programlarını hazırlamak ve çalışanların eğitimlerini koordine etmek. |
Bilgi Güvenliği Yöneticisi |
· Bilgi Güvenliği Yönetim Sistemi güvenlik politikaları, prosedürleri ve talimatlarının uygulanmasını takip etmek. · Bilgi Güvenliği Yönetim Sisteminin performansının yönetime raporlanmasını sağlamak. · Sistemin güvenlik ihtiyaçlarını gözden geçirmeler ve düzeltici faaliyetler yoluyla ortaya çıktıkça belirlemek. İhtiyaçların karşılanmasını koordine etmek. · Bilgi Güvenliği Yönetim Sistemi dahilinde tanımlanan rol ve sorumlulukları denetlemek ve güvenlik sorunlarına müdahale etmek. Çözüm için gerekli aksiyonları koordine etmek. · Sistemin güvenli ve sürekli çalışır halde tutulmasını sağlamak. · Bilgi varlık envanterlerinin güncellenmesi ve risk değerlendirme çalışmaları için Bilgi Güvenliği Koordinasyon Ekibine liderlik etmek. Gerekli çalışmaların yapılmasını sağlamak. · Periyodik olarak gerçekleştirilecek güvenlik testlerinde, güvenlik testlerini gerçekleştiren kurum/kuruluş ile koordinasyonu sağlamak. Test sonuçlarındaki eksiklikler için gerekli düzeltmelerin yapılmasını takip etmek. · Depolama ortamlarının ve içeriklerinin güvenliğinin koordine edilmesi. · Yedeklenen verilerin güvenliğinin koordine ve takip edilmesi. · Bilgi sistemlerine ait olan ve doğrudan erişilebilen alanlar için fiziksel güvenlik erişim yetkilendirme düzenlemelerinin sağlanması · Ofislerin ve güvenli alanların düzenli olarak kontrol edilmesini sağlamak ve güvenlik açıklarının tespiti ve düzeltilmesi için ilgili kişileri uyarmak. · Raporlanan ihlal olaylarını, takip aksiyonlarını ve sonuçlarını Bilgi Güvenliği Komitesine sunmak. · İhlal olaylarına müdahale sırasında gerekli gördüğü durumlarda uzmanlardan (Kurum ile 3. Taraf arasında imzalanan Hizmet Sözleşmesine uygun olarak) görüş talep etmek. · Risk değerlendirme çalışmalarında bir önceki risk değerlendirme çalışmasının sonuçlarını dikkate almak. · Sistem güvenlik testlerini planlamak ve sertleştirme ihtiyaçlarını belirlemek. · Bilgi Güvenliği Koordinasyon Ekibine liderlik etmek. · Bilgi Güvenliği Yöneticisi performans değerlendirme çalışmalarını koordine eder ve performans ölçümlerinin yapılmasını sağlar. · Erişim hakları listelerinin güncel tutulmasından sorumludur. Her türlü değişikliği kayıt altına alır ve gerekli düzenlemeleri/yetkileri günceller. · Sistem güvenlik bileşenlerinin düzgün çalıştığını periyodik olarak kontrol eder ve/veya uygulanmasını koordine eder ve izler. Bu sistemlerin güncellemelerinin yapıldığından emin olur. · Sorumlu olduğu varlıklardaki açıkların, varlıkların üreticileri ile iletişime geçerek ve literatürü takip ederek kapatılmasını sağlamak. · Güvenlik duvarları ve saldırı tespit/engelleme sistemi, URL filtreleme, anti-virüs sistemlerinin yönetiminde görev almak, bu güvenlik cihazlarını Bilgi güvenliği politika ve prosedürlerine uygun olarak yapılandırmak veya ilgili sistem operatörlerine yaptırmak. · Bilgi sistemlerinin işletilmesinden sorumlu olmak. · Bilgi sistemlerinin güncelleme takibini yapmak. · Zaman içerisinde sistemde yapılacak değişiklikleri planlamak, koordine etmek ve uygulamak. · Sistemlerde ortaya çıkabilecek sorunlara müdahale etmek. Gerekli müdahalenin kendi görev kapsamında olmaması halinde gerekli koordinasyonu yapmak. · Sistemde yapılan değişikliğin başarılı olup olmadığını izlemek ve kayıt altına almak. Arıza durumunda eski konfigürasyona geri dönüşe izin vermek. · Sorumlu olduğu sistemlerle ilgili yedek parça, envanter ve satın alma takibini yapmak. · Kuruma ait rezervleri düzenli olarak kontrol etmek, sevkini koordine etmek, kurum dışındaki depolama alanlarının sevk ve idaresini yapmak ve uygulanmasını sağlamak. Felaket kurtarma çalışmalarında gerekli yedeklere ulaşılması, çalışılması ve sisteme yüklenmesi faaliyetlerinde aktif rol almak. · Test edilen sistem değişikliklerinin uygulanmasından sorumludur. · Ağ bileşenlerinin ve bilgi varlıklarının işletilmesinden sorumludur. Yönlendirici, anahtarlama cihazı, kablosuz erişim noktaları, kablolama vb. ağ altyapısının çalışması için gerekli varlıkların işletilmesinden sorumludur. · Kurum içindeki ve kurumu dış dünyaya bağlayan ağ bağlantıları üzerindeki operasyondan sorumludur. Bu alanlarda gerekli güvenlik önlemlerinin planlanması ve uygulanması. · Onaylanan sistem değişikliklerinin sistem operatörleri tarafından uygulanmasını koordine etmek ve izlemek. · Kayıtların 5651 sayılı İnternet Suçlarıyla Mücadele Kanununa uygun olarak tutulmasını ve en az kanunda belirtilen süre kadar saklanmasını sağlamak. · Kurum bünyesinde çalışmaya başlayan personelin e-posta sistemlerinde gerekli hesapların açılmasını sağlamak. İşten ayrılan personelin gerekli hesaplarının kapatılmasını ve yetkilerinin kaldırılmasını sağlamak. · Tüm hesap ve yetkilendirme işlemlerinin doğru işlemesi için gerekli tedbirleri almak ve uygulamak. · İşletim sistemi üzerinde kurulu bilgi varlıklarının işletilmesinden sorumludur. · Sistemlerin güvenlik iyileştirmeleri için düzenli olarak kontrol edilmesi ve gerekli değişikliklerin test ortamında test edilerek canlı sistemde gerçekleştirilmesinin sağlanması. · Kurumun bilgi varlıklarını tutan veri tabanı sistemlerinin işletilmesinden sorumludur. · Depolama ortamlarının ve içeriklerin güvenliğini koordine etmek. · Ofislerin ve güvenli alanların düzenli olarak kontrol edilmesini sağlamak ve güvenlik açıklarının tespiti ve düzeltilmesi için ilgili kişileri uyarmak. |
Bilgi Varlık Envanteri Sorumlusu |
· Bilgi varlıklarının değeri değiştiğinde, yeni varlıklar eklendiğinde veya varlıklar çıkarıldığında gerekli görülmesi halinde risk değerlendirme ve risk işleme eylem çalışmalarının başlatılması · Gerektiğinde bilgi varlığı envanterinin güncellenmesi. · Bilgi Güvenliği Yönetim Sistemi dokümantasyonundan sorumludur. |
Risk Sahibi |
· Riskin yönetimi ile ilgili gerekli yetki, kaynak ve otoriteye sahip kişidir. · Risk işleme eylem görevlerini takip etmek ve onaylamak. · Kalan risklerin gözden geçirilmesi ve onaylanması. |
Tüm Çalışanlar |
· Kurum bünyesinde çalışacak personelin mesleki yeterliliklerinin doğruluğu ve kimlik testleri İnsan Kaynakları tarafından gerçekleştirilir. Gizlilik Sözleşmesi ve Bilgi Güvenliği El Kitabında personelin gizlilik sorumlulukları da belirtilir ve personelin kabul ettiğine dair imzası alınır. Personel bu sözleşmeyi imzalamakla tabi olduğu kanun, yönetmelik ve yönergeleri kabul etmiş sayılır. · Üst Yönetim tarafından görevlendirilen Bilgi Güvenliği Yöneticisi tarafından kendisine bildirilen bilgi güvenliği ile ilgili diğer görevleri yerine getirmek. · Gerek kurum çalışanlarına gerekse kurum dışındakilere ait kişisel bilgilerin yetkisiz kişilerle paylaşılmasını önlemek için gerekli tedbirleri almakla sorumludurlar. · Grant Thornton Türkiye bünyesinde kullanılan tüm yazılımların lisanslı olması yasal bir zorunluluktur. Kurumun tüm çalışanları, çalışmalarında lisanslı yazılım kullanmak ve BT ortamlarında lisanssız yazılım kullanımı konusunda yöneticilerini bilgilendirmekle yükümlüdür. · Yürürlükteki tüm yasa ve yönerge gerekliliklerine, şirket içinde yayınlanan yönetmelik ve talimatlara uymakla sorumludur. · Grant Thornton Türkiye çalışanları, Bilgi Güvenliği Politikasına, diğer politika, prosedür ve talimatlara uymakla sorumludur. · Grant Thornton Türkiye çalışanları, bilgi güvenliği farkındalık seviyesini artırmak için düzenlenen eğitim, test ve tatbikatlara katılmakla sorumludur. |
8. Politika Dokümanları
Aşağıdaki alt politika dokümanları Grant Thornton Türkiye'nin Bilgi Güvenliği Politikasının bütününü oluşturmaktadır. Ölçeklenebilirliği ve belirli risk alanlarına uygulanabilirliği kolaylaştırmak ve kapsamlı değişiklik kontrolü ve uyum denetimini desteklemek için ayrılmıştır. Aşağıdaki politikaların dili İngilizcedir.
Politika |
Tanım |
Acceptable Usage Policy (Kabul Edilebilir Kullanım Politikası) |
Bu politikanın amacı, kurumun bilgisayar ekipmanlarının ve bilgi teknolojisi hizmetlerinin kabul edilebilir kullanımını ana hatlarıyla belirtmektir. Bu kurallar kullanıcıları ve kurumu korumak için konulmuştur. Uygunsuz kullanım kurumu virüs saldırıları, ağ sistemlerinin ve hizmetlerinin tehlikeye girmesi ve yasal sorunlar gibi risklere maruz bırakır. Bu politikanın amacı, bireylerin bilgi ve sistemlere yönelik riskleri istemeden artırmalarını önlemektir. |
Access Control Policy (Erişim Kontrol Politikası) |
Bu politikanın amacı, Grant Thornton Türkiye'nin bilgi ve sistemleri için erişim kontrolü ve kullanıcı yönetiminin nasıl yönetileceğine dair rehberlik sağlamaktır. |
Awareness and Training Policy (Farkındalık ve Eğitim Politikası) |
Bu politikanın amacı, Grant Thornton Türkiye'nin verilerine erişimi olan tüm kullanıcılara, ortaklara ve yüklenicilere, kurumun verilerinin güvenliğini sağlamanın önemini anlamaları için Bilgi Güvenliği Farkındalık Eğitimi verilmesini sağlamaktır. Kurum, kurumun verilerinin güvende olmasını sağlayan bir kültür oluşturmayı amaçlamaktadır. Bu politika ve ilgili prosedürler, güvenlik farkındalığı ve eğitimi için asgari gereklilikleri belirler. |
Backup Policy (Yedekleme Politikası) |
Bu politikanın amacı, veri kaybına karşı koruma sağlamak ve önceden tanımlanmış zaman çizelgelerine uygun olarak zamanında kurtarma gerçekleştirmektir. Politika, Grant Thornton Türkiye tarafından geliştirilecek ve uygulanacak olan, BT sistemlerini, uygulamalarını ve verilerini büyük bir kesintiye neden olan her türlü felaketten kurtarma sürecini tanımlayacak bir temel ve program yedekleme planı gerekliliğini tanımlar. |
Change Management Policy (Değişiklik Yönetimi Politikası) |
Grant Thornton Türkiye'deki BT sistemlerinin bütünlüğünü, güvenliğini ve kullanılabilirliğini korumak için, mevcut sistem ve hizmetlerde gerekli değişiklikleri, geliştirmeleri ve yeni hizmetlerin sunulmasını kontrol etmek amacıyla sağlam ve zorunlu bir Değişiklik Yönetimi Politikası uygulanmalıdır. Bu politikanın amacı, değişikliklerin doğru bir şekilde uygulanmasını ve iş uygulamalarının, bilgisayar sistemlerinin ve ağların güvenliğini tehlikeye atmamasını sağlamaktır. |
Data Classification Policy (Veri Sınıflandırma Politikası) |
Bu Politikanın amacı, Grant Thornton Türkiye'de kullanılan veya Grant Thornton Türkiye'nin sahip olduğu, müşteriler ve kullanıcılar hakkındaki bilgilerin yanı sıra kurumsal ve fikri mülkiyet bilgileri de dahil olmak üzere verilerin sınıflandırılmasına ilişkin gereklilikleri ve kontrolleri ana hatlarıyla belirlemektir. |
Data Retention Policy (Veri Saklama Politikası) |
Grant Thornton Türkiye, yalnızca iş faaliyetlerini etkin bir şekilde yürütmek için gerekli olan verileri saklamayı amaçlamaktadır. Verilerin saklanması ihtiyacı, verilerin türüne ve toplanma amacına göre büyük ölçüde değişmektedir. Kuruluş, verilerin yalnızca toplanma amacını yerine getirmek için gerekli olan süre boyunca saklanmasını ve artık gerekli olmadığında tamamen silinmesini sağlamaya çalışmaktadır. Bu politika, kuruluşun veri saklama konusundaki kılavuz ilkelerini ortaya koyar ve kuruluş genelinde tutarlı bir şekilde uygulanmalıdır. |
Incident Management Policy (Olay Yönetimi Politikası) |
Bu politikanın amacı, kuruluşun bilgi veya teknoloji varlıklarına veya hizmetlerine yönelik güvenlik olaylarına kontrollü müdahale için plan ve prosedürlerin tanımlanmasını sağlamaktır. |
IT Asset Management Policy (BT Varlık Yönetimi Politikası) |
Bu politika, etkin varlık yönetimini desteklemek için teknik ve idari kontrolleri belirler ve uygular. Politika, özellikle kurum içindeki BT ekipmanlarına odaklanarak, etkili kurumsal varlık yönetimini destekleyen prosedürler ve protokoller sağlar. |
Risk Management Policy (Risk Yönetimi Politikası) |
Bu politikanın amacı, aşağıdakileri gerçekleştirmek için Grant Thornton Türkiye'nin bilgi veya teknoloji varlıklarına veya hizmetlerine yönelik potansiyel veya mevcut riskleri tanımlamak ve yönetmek için gereklilikleri ana hatlarıyla belirtmektir: Üst düzey liderlerin/ yöneticilerin bilgi güvenliği riskini yönetmenin önemini kabul etmelerini ve bu riski yönetmek için uygun yönetişim yapıları oluşturmalarını sağlamak. Kurumun risk yönetimi sürecinin kurum, misyon/iş süreçleri ve bilgi sistemleri olmak üzere üç kademede etkin bir şekilde yürütülmesini sağlamak. Bilgi güvenliği riskinin misyon/iş süreçlerinin tasarımı, kapsayıcı bir kurumsal mimarinin tanımı ve sistem geliştirme yaşam döngüsü süreçleri bağlamında değerlendirildiği bir kurumsal iklimi teşvik etmek. Bilgi sistemlerinin uygulanması veya işletilmesinden sorumlu olan bireylerin, kendi sistemleriyle ilişkili bilgi güvenliği riskinin, nihai olarak misyon/iş başarısını etkileyebilecek kurum çapında riske nasıl dönüştüğünü daha iyi anlamalarına yardımcı olmak. |
Systems Development Lifecycle Policy (Sistem Geliştirme Yaşam Döngüsü Politikası) |
Sistem Geliştirme Yaşam Döngüsü (SDLC) Politikasının amacı, Grant Thornton Türkiye'de yeni yazılım ve sistemlerin geliştirilmesi ve/veya uygulanması için gereklilikleri tanımlamak ve geliştirme çalışmalarının her türlü düzenleyici, yasal ve güvenli geliştirme standartlarına uygun olmasını sağlamaktır. Bilgi güvenliği yeterince dikkate alınmalı ve SDLC'nin her aşamasına dahil edilmelidir. Risklerin belirlenmemesi ve uygun kontrollerin uygulanmaması, yetersiz güvenlikle sonuçlanabilir ve potansiyel olarak kurumları veri ihlalleri, itibar kaybı, kamu güveninin kaybı, sistemlerin/ağların tehlikeye girmesi, mali cezalar ve yasal sorumluluk riskiyle karşı karşıya bırakabilir. |
Vulnerability Management Policy (Zafiyet Yönetimi Politikası) |
Bu politika, bilgisayarlara, ağlara ve/veya teknoloji sistemlerine erişimi olan satıcılar, yükleniciler, 3. taraf hizmet sağlayıcılar, danışmanlar ve diğer geçici misafirler dahil olmak üzere tüm Grant Thornton Türkiye kullanıcıları, ortakları ve tedarikçileri için geçerlidir. Kapsam dahilindeki sistemler aşağıdakileri içerir (ancak bunlarla sınırlı değildir): Ağ varlıkları (anahtarlar, yönlendiriciler, depolama, iletişim vb.) İşletim sistemi ve yüklü uygulamalar/yazılımlar dahil olmak üzere tüm ana bilgisayar (hipervizör) ve uç nokta sistemleri (bilgisayarlar, sunucular). Uç/internete dönük hizmetler (harici IP'ler) Tüm bulut platformu dağıtımları (IaaS ve PaaS) Yönetilen bilgi işlem kaynakları (sanal makineler) |
Information Security Policy (Bilgi Güvenliği Politikası) |
Bu politikanın amacı, kuruluşun bilgi güvenliği konusundaki yönünü ve taahhüdünü belgelemek ve bunu ilgili tüm bireylere iletmektir. Bu politika üretilmeli ve firmanın bilgi ve sistemlerine erişimi olan tüm bireylere iletilmelidir. |
9. Global Siber Güvenlik Uyumluluk İncelemeleri (Global Cybersecurity Compliance Reviews - GCCR)
Grant Thornton Türkiye, bilgi güvenliğine verdiği önem nedeniyle bilgi teknolojileri süreçlerini ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun olarak işletmektedir. ISO 27001 standardının gerekliliklerini yerine getirdiğini kanıtlamak amacıyla düzenli iç denetimler gerçekleştirmekte ve her yıl bağımsız bir denetim firması tarafından denetlenmektedir.
10. Üst Yönetimin Taahhüdü
Grant Thornton Türkiye bilgi güvenliğinin doğru biçimde hayata geçirilmesinin, misyon-vizyonumuza ve şirket stratejik hedeflerimize ulaşma konusunda son derece önemli olduğuna inanmaktayız.
Bu bağlamda Grant Thornton Türkiye bünyesinde yürütülen Bilgi Güvenliği Yönetim Sistemi (BGYS), teknoloji, insan ve bilgilerimizin olduğu varlıklar kapsamında ve ISO 27001 standardı şartları doğrultusunda uygulanmaktadır.
Grant Thornton Türkiye olarak bilgi güvenliği temel hedeflerimiz;
- Bilgi Güvenliği Yönetim Sistemi kapsamında paydaşlarımızın bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak,
- Bilgi güvenliğini etkin biçimde yöneterek bilgi güvenliği kaynaklı yaşanabilecek zararları asgariye indirmek,
- Bilgi güvenliği ihlal olayı yaşama ihtimalini düşürmek, yaşanması durumunda koordineli biçimde yanıt verebilmek,
- Kritik iş süreçlerinde yaşanabilecek kesintilerin önüne geçmek, geçilemediği durumda hedeflenen kurtarma süresi içerisinde tekrar çalışabilir hale gelmek,
- Tüm iş süreçlerinin birbiri ile entegre, uyumlu ve dengeli olmasını sağlamak,
- Bilgi güvenliği ile ilgili tüm yasal mevzuat ve üçüncü taraflar (iş ortakları, müşteriler, tedarikçiler) ile yapılan sözleşmelere uymak,
- Çalışanlarımız, müşterilerimiz, tedarikçilerimiz ve kamuoyu nezdindeki itibar ve marka değerimizin korunması,
- Bilgi Güvenliği Yönetim Sistemi'nin sürekli iyileştirilmesini sağlamaktır.
11. Politika Uyumluluğu
Uyumluluk Ölçümü
BT Departmanı, iş aracı raporları, iç ve dış denetimler ve politika sahibine geri bildirim dahil ancak bunlarla sınırlı olmamak üzere çeşitli yöntemlerle bu politikaya uyumu doğrulayacaktır.
İstisnalar
Politikaya yönelik her türlü istisna önceden BT Departmanı tarafından onaylanmalıdır.
Uyumsuzluk
Bu politikayı ihlal ettiği tespit edilen bir kullanıcı, iş akdinin feshine kadar varabilecek disiplin cezalarına maruz kalabilir.
12. İlgili Standard, Politika ve Süreçler
ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardı 5.2 Bilgi güvenliği politikası
Data Classification Policy (Veri Sınıflandırma Politikası)
Information Security Policy (Bilgi Güvenliği Politikası)
Risk Management Policy (Risk Yönetimi Politikası)
Access Control Policy (Erişim Kontrol Politikası)
Acceptable Usage Policy (Kabul Edilebilir Kullanım Politikası)
Awareness and Training Policy (Farkındalık ve Eğitim Politikası)
IT Asset Management Policy (BT Varlık Yönetimi Politikası)
Systems Development Lifecycle Policy (Sistem Geliştirme Yaşam Döngüsü Politikası)
Change Management Policy (Değişiklik Yönetimi Politikası)
Backup Policy (Yedekleme Politikası)
Data Retention Policy (Veri Saklama Politikası)
Incident Management Policy (Olay Yönetimi Politikası)
Saygılarımızla