EN TR
Bedaş Facebook Sayfası Bedaş  Twitter Sayfası Bedaş Linkedin Sayfası Bedaş Foursquare Sayfası

BEDAŞ ve Kalite

Ana Sayfa / KURUMSAL / BEDAŞ ve Kalite
BEDAŞ ve Kalite
MİSYONUMUZ
Elektriğin temel yaşam gereksinimlerinden biri olduğuna inanıyoruz. Tüm BEDAŞ çalışanları olarak, tedarikçilerimiz ve iş ortaklarımız ile birlikte memnuniyetinizi hedef belirleyip; kaliteli ve kesintisiz enerjiyi sizlere ulaştırmak için durmaksızın çalışıyoruz.
VİZYONUMUZ
Şebekemizin; hem teknik hem de ekonomik performansını sürekli iyileştirip geliştirerek, sadece günümüz koşullarını değil, hizmet verdiğimiz müşterilerimizin gelecekteki beklentilerini de dikkate alacak bir planlama yöntemi uygulayarak; arıza sayısı ve sıklığının az, kaliteli elektrik arzının ise sürekli gerçekleşmesini sağlayarak sektörde liderliğimizi muhafaza etmek.
KALİTE POLİTİKAMIZ

Boğaziçi Elektrik Dağıtım A.Ş. olarak elektrik dağıtım hizmetleri sunumu sırasında;

  • Kalite Yönetimi’nin tüm gereksinimlerine uyarak, çalışmalarımızı; sürdürülebilirlik, sürekli iyileştirme ve tüm paydaşlara katkı prensibi çerçevesinde yürütmeyi,
  • Elektrik dağıtım hizmetini gerçekleştirirken zorunlu yasa ve yönetmelikler ile müşteri şartlarına koşulsuz uymayı,
  • Yenilikçi yöntemler kullanarak Elektrik Dağıtım hizmetinin kalitesini sürekli yüksek tutmayı ve bu konuda sektöründe lider ve örnek olmayı,
  • Müşteri Memnuniyeti Politikamız ile kesintisiz ve uygun şartlarda elektrik sunmayı taahhüt ederiz.
MÜŞTERİ MEMNUNİYETİ İLKELERİMİZ

Boğaziçi Elektrik Dağıtım A.Ş. olarak müşteri şikayetlerinin çözümünde;

  • Müşteri Memnuniyeti Yönetim Sisteminin tüm gereksinimlerine uyarak süreçlerimizi sürekli iyileştirmeyi,
  • Elektrik dağıtım hizmetini gerçekleştirirken zorunlu yasa, yönetmelik ve müşteri şartlarına uymayı,
  • Müşteri Memnuniyeti ilkelerimiz çerçevesinde şikayetleri ele almayı taahhüt ederiz.

 

Müşteri Memnuniyeti İlkelerimiz;

 

  • ŞEFFAFLIK
  • ERİŞİLEBİLİRLİK
  • CEVAP VEREBİLİRLİK
  • OBJEKTİFLİK
  • GİZLİLİK
  • HESAP VEREBİLİRLİK

 




İŞ SAĞLIĞI VE GÜVENLİĞİ POLİTİKAMIZ
Boğaziçi Elektrik Dağıtım A.Ş. (BEDAŞ) olarak;

 

  • 1. En önemli değerimiz olan çalışanlarımızı; işyeri ve gerçekleştirdikleri faaliyetlerle ilgili tehlikeler ile buna bağlı riskleri belirleme, ortadan kaldırma konusunda bilgilendirmeyi ve desteklemeyi,
  • 2. Güvenli ve sağlıklı bir çalışma ortamı yaratarak işten doğan kazaları minimuma indirmeyi,
  • 3. Faaliyetlerimizi yürütürken İş Sağlığı ve Güvenliğine ilişkin tüm yasal şartları yerine getirmeyi,
  • 4. İş Sağlığı ve Güvenliğine ilişkin faaliyetlerimizi sürekli iyileştirmeyi

 

taahhüt ederiz.


BİLGİ GÜVENLİĞİ POLİTİKAMIZ

Boğaziçi Elektrik Dağıtım A.Ş. (BEDAŞ) olarak Bilgi Güvenliği Yönetim Sistemimiz çerçevesinde;

 

  • Kuruluşumuz ve bilgi sistemlerine ilişkin 3.taraflar ve abonelerimizin bilgilerinin gizliliği, bütünlüğü ve erişebilirliğinin sağlanmasını,
  • Bilgi Güvenliği kapsamında ISO 27001 standartı, ilgili yasal mevzuat ve şartlar ile üçüncü taraflar ile yapılan sözleşmelere uymayı,
  • Varlıklarımıza ilişkin tüm riskleri sistematik bir biçimde yöneterek azaltmayı ve böylelikle tüm paydaşlarımızla sürdürülebilir ilişkiler kurmayı,
  • Yaşanan bilgi güvenliği olayları ve ihlallerini yeniden oluşmasını engelleyecek biçimde düzeltmeyi ve
  • Tüm çalışanlarımızın bilgi güvenliği konusundaki farkındalıklarını artırmayı

 

taahhüt ederiz.

 

Amaç

Bu doküman; sürekli gelişen ve yaşayan bir bilgi güvenliği yönetim sistemi oluşturma konularıyla ilgili ana prensipleri tanımlamak amacıyla oluşturulmuştur.

 

Kapsam

Bu politika; tüm BEDAŞ çalışanları, 3.taraf ve çalışanlarını kapsamaktadır.

 

EK1:


1. Sorumluluk ve Yetkiler aşağıdaki gibi tanımlanmıştır;

 

Bilgi Güvenliği Ana Politikası ve diğer tüm politika, prosedür, talimat ve ilişkili formların güncelliğinin ve sürekliliğinin sağlanmasından BGYS Yönetim Temsilcisi sorumludur. Bilgi Güvenliği Ana Politikasında yapılacak güncellemeler Yönetim Gözden Geçirme toplantılarında belirlenir ve BGYS Yönetim Temsilcisi tarafından dokümana yansıtılır.   Her güncellemede doküman Üst Yönetim tarafından onaylanır.

 

2. Bilgi Güvenliği Politikası, bilginin güvenliğini sağlayabilmek için oluşturulmuş denetimlerin uygulanması sırasında kullanılacak en üst seviyedeki prensiplerin belirtildiği dokümandır.

 

3. Bilgi Güvenliği Hedefleri ve Amaçları; Bilgi Güvenliği Ana Politikası, BEDAŞ çalışanlarına şirket güvenlik gereksinimlerine uygun şekilde hareket etmesi konusunda yol göstermek, bilinç ve farkındalık seviyelerini artırmak ve bu şekilde firmada oluşabilecek riskleri minimuma indirmek, firmanın güvenilirliğini ve imajını korumak, üçüncü taraflarla yapılan sözleşmelerde belirlenmiş uygunluğu sağlamak, teknik güvenlik kontrollerini uygulamak, firmanın temel ve destekleyici iş faaliyetlerinin en az kesinti ile devam etmesini sağlamak amacıyla firmanın tüm işleyişini etkileyen fiziksel ve elektronik bilgi varlıklarını korumayı hedefler. BGYS Hedef ve Amaçları ise; YGG’de görüşülür ve EYS.FORM.021 Toplantı Tutanaklarına işlenir, ayrıca proje programlarında belirtilir ve izlenir.

 

4. Bilgi Güvenliği Organizasyonu ve alt yapısı; Bilgi Güvenliği Yönetim Sistemi’nin  kurulması  ve  işletilmesinden BGYS Yönetim Temsilcisi sorumludur. Diğer ayrıntılar Atama Yazısında mevcuttur.

 

5. Risk Yönetim Çerçevesi; Firmanın ISO 27001:2013 risk yönetim çerçevesi; Bilgi Güvenliği ve Hizmet Yönetimi risklerinin tanımlanmasını, değerlendirilmesini ve işlenmesini kapsar. Risk Analizi ve Risk İşleme Planı Bilgi Güvenliği ve Hizmet Yönetimi risklerinin nasıl kontrol edildiğini tanımlar. Risk İşleme Planının yönetiminden ve gerçekleştirilmesinden BGYS Takımı sorumludur.

 

6. Risk Analizi ve Yönetim Stratejisi; Her bir riskin sahibi tanımlanmış ve risk sahibi bilgilendirilmiştir. Risk sahibi riskler ile ilgili aksiyonları gerçekleştirmek ve riski takip etmeden sorumludur. Risk Yönetimi, BGYS.PRO.004 Risk Yönetim Prosedürüne uygun bir şekilde yapılır.

 

7. Genel Esaslar;


  • Bu politika ile çerçevesi çizilen bilgi güvenliği gereksinimleri ve kurallarına ilişkin ayrıntılar, BGYS prosedürleri ve politikaları ile düzenlenir. Kurumun çalışanları ve 3. taraflar bu prosedürleri bilmek ve çalışmalarını bu kurallara uygun şekilde yürütmekle yükümlüdür.
  • Bu politika ve prosedürlerin,  aksi belirtilmedikçe,  basılı veya elektronik ortamda depolanan ve işlenen tüm bilgiler ile bütün bilgi sistemlerinin kullanımı için dikkate alınması esastır.
  • Bilgi Güvenliği Yönetim Sistemi,  ISO 27001:2013 Bilgi Güvenliği Yönetim Sistem standardını temel alarak yapılandırılır ve işletilir.
  • BGYS’nin hayata geçirilmesi, işletilmesi ve iyileştirilmesi çalışmalarını, ilgili tarafların katkısıyla, BGYS Ekibi, BGYS Yönetim Temsilcisi, BGYS Proje Yöneticisi, BGYS Yöneticisi yürütür. BGYS dokümanlarının gerektiği zamanlarda güncellenmesi öncelikle BGYS Temsilcisi ve tüm BGYS Ekibi sorumluluğundadır. Ek, form, talimat gibi dokümanların güncellenmesi ise ilgili direktörlüklerin/ müdürlüklerin sorumluluğundadır.
  • BEDAŞ tarafından çalışanlara veya 3. taraflara sunulan bilgi sistemleri ve altyapısı ile bu sistemler kullanılarak üretilen her türlü bilgi, belgelerin gizlilik, bütünlük ve erişilebilirlik sorumluluğu, aksini gerektiren kanun hükümleri veya sözleşmeler bulunmadıkça firmaya/tarafa aittir.
  • Kritik iş süreçlerini büyük felaketlerin ve işletim hatalarının etkilerinden korumak amacıyla iş sürekliliği yönetimi uygulanır.
  • Çalışanların bilgi güvenliği farkındalığını artıracak ve sistemin işleyişine katkıda bulunmasını sağlayacak eğitimler düzenli olarak mevcut firma çalışanlarına ve yeni işe başlayan çalışanlara verilir.
  • Bilgi güvenliğinin gerçek ya da şüpheli tüm ihlalleri durumunda BGYS.PRO.007 Bilgi Güvenliği Olay Yönetimi Prosedürü ve EYS.PRO.003 Düzeltici Faaliyetlerin Yönetimi Prosedürü uygulanır.

 

8. Temel BGYS Prensipleri;


  • Gerekli durumlarda çalışanlar ve üçüncü taraflarla kurumun gizlilik ihtiyaçlarını güvence altına almak için anlaşmalar imzalanmaktadır.
  • Dış kaynak kullanım durumlarında oluşabilecek güvenlik gereksinimleri analiz edilerek güvenlik şart ve kontrolleri şartname ve sözleşmelerde ifade edilir.
  • Bilgi varlıklarının envanteri bilgi güvenliği yönetim ihtiyaçları doğrultusunda oluşturulur ve varlık sahiplikleri atanır.
  • Kurumsal bilgiler sınıflandırılır ve her sınıftaki verilerin güvenlik ihtiyaçları ve kullanım kuralları belirlenir.
  • İşe alım, görev değişikliği ve işten ayrılma süreçlerinde uygulanacak bilgi güvenliği kontrolleri belirlenir ve uygulanır.
  • Güvenli alanlarda saklanan varlıkların ihtiyaçlarına paralel fiziksel güvenlik kontrolleri uygulanır.
  • BEDAŞ’a ait bilgi varlıkları için firma içinde ve dışında maruz kalabilecekleri fiziksel tehditlere karşı gerekli kontrol ve politikalar geliştirilir ve uygulanır.
  • Ağ ekipmanları, işletim sistemleri, sunucular ve uygulamalar için denetim kaydı üretme konfigürasyonları ilgili sistemlerin güvenlik ihtiyaçlarına paralel biçimde ayarlanır. Denetim kayıtlarının yetkisiz erişime karşı korunması sağlanır.
  • Erişim hakları ihtiyaç nispetinde atanır. Erişim kontrolü için mümkün olan en güvenli teknoloji ve teknikler kullanılır.
  • Sistem temini ve geliştirilmesinde güvenlik gereksinimleri belirlenir, sistem kabulü veya testlerinde güvenlik gereksinimlerinin karşılanıp karşılanmadığı kontrol edilir.
  • Bilgi güvenliği ihlal olayları ve zayıflıklarının raporlanması için gerekli altyapı oluşturulur. İhlal olay kayıtları tutulur, gerekli düzeltici önleyici faaliyetler uygulanır ve düzenlenen farkındalık eğitimleri vasıtasıyla güvenlik olaylarından öğrenme sağlanır.
  • Kritik altyapı için süreklilik planları hazırlanır, bakımı ve tatbikatı yapılır.
  • Yasalara, iç politika ve prosedürlere, teknik güvenlik standartlarına uyum için gerekli süreçler tasarlanır,  sürekli ve periyodik olarak yapılacak gözetim ve denetim faaliyetleri ile uyum güvencesi sağlanır.

 

9. BGYS Kuralları;

 

Uyulması Gereken Kabul Edilebilir Kullanım Kuralları, çalışanlar ve 3. taraflar için BEDAŞ iş süreçlerinde ve ilgili çalışmalarında bilgi depolama,  iletim ve kullanım biçimleri ile ilgili uyulması gereken kuralları belirler.

Aşağıda yer alan davranışlar;  aksi yönde açık ve net bir iş tanımı, talimat veya prosedür bulunmadıkça bilgi güvenliği ihlali olarak değerlendirilir;

 

  • BEDAŞ tarafından sağlanan bilgi işlem sistemleri ve uygulamalar iş amaçlı olarak kullanılır. İş süreçlerini engellemeyecek düzeyde ve BGYS politika ve BGYS prosedürlerini ihlal etmeyen kişisel kullanımlar kabul edilebilir kapsamda değerlendirilir.
  • Çalışma alanlarında,  “Temiz Masa ve Temiz Ekran”  prensiplerine uygun olarak, gizlilik sınıflarına göre bilgilerin başkalarınca görülmesine imkan verilmeyecek şekilde önlemler alınmalıdır.
  • Gizlilik sınıfına göre dokümanlar diğer kişilerce görülmesini engellemek amacıyla, kullanılmadığı zamanlarda masa üstlerinden kaldırılıp gerekli korumaları alınmış çekmece ve dolaplarda saklanmalıdır.
  • Genel belgeler dışında doğrudan işle ilgili olarak kendisine ulaştırılmayan ya da teslim edilmeyen BEDAŞ’a ait olan belgeler incelememeli, değiştirmemeli, saklamamalı, kopyalamamalı, silmemeli ve paylaşılmamalıdır.
  • BEDAŞ tarafından açıkça belirtilen durum ve yöntemler dışında 3. taraflar ile kurum bilgilerini paylaşılmamalı, satılmamalı, aktarılmamalı, yayınlanmamalı ve internet ortamında paylaşılmamalıdır.
  • Birim çalışanları çalıştıkları ortamdaki masa ve dolap çekmecelerini kilitli tutmalı ve anahtarları sorumlu kişiler haricinde kimseyle paylaşmamalıdır.
  • Bilgisayarlar, aktif kullanım dışında iken parolalı ekran koruyucular devreye alınmalıdır.
  • Mesai zamanları dışında kişisel bilgisayar sistemleri kapalı tutulmalıdır.
  • Çalışanlar,    kendilerine verilmiş olan kullanıcı adı ve parola bilgilerini yetkilendirilmemiş kişilerin ele geçirmesine imkan verecek şekilde söylememeli, yazmamalı, kaydetmemeli ve elektronik ortamda depolamamalıdır.
  • BEDAŞ’ın bilgi ve haberleşme sistemleri ve donanımları (İnternet, e-posta, telefon, çağrı cihazları, faks, bilgisayarlar, mobil cihazlar ve cep telefonları vb.) firma işlerinin yürütülmesi için kullanılmalıdır. Bu sistemler yasadışı, firmanın diğer politika, standart ve rehberlerine aykırı veya firmaya zarar verecek herhangi bir şekilde kullanılmamalıdır.
  • BEDAŞ’a ait bilgi sistemleri üzerindeki kaynaklara erişecek tüm bilgisayarlar etki alanına dahil edilerek kullanılmalıdır.
  • Gerekmedikçe bilgisayar kaynaklarını paylaşıma açılmamalıdır. Kaynakların paylaşıma açılması halinde sadece ilgili kişilere yetki verilmelidir.
  • Gizli ve hassas bilgiler elektronik ortamda firma içine ve özellikle firma dışına gönderilmeden önce şifrelenmelidir.
  • Gizlilik dereceli bilgiler içeren belgeleri, elektronik ortamları ve bilgi işlem sistemlerini korumak için gerekli fiziksel önlemler yerine getirmelidir.
  • BEDAŞ’a ait bilgi işlem sistemleri, veritabanları, dosyalar, ağ topolojileri, cihaz konfigürasyonları ve benzeri kaynaklar firma tarafından açıkça yetkilendirilmedikçe 3.taraflar ile paylaşmamalıdır.
  • BEDAŞ çalışanları, çalıştıkları sürece veya BEDAŞ’tan ayrılmaları (emeklilik, istifa, vs.) durumunda firma bilgilerini gizlilik prensibine uygun olarak korumaktan sorumludur.
  • Taşınabilir sistemlerin kullanıcıları,  bu sistemlerin güvenliğini sağlamak üzere yayınlanan kurallara uymak zorundadırlar.
  • Başta kullanıcı bilgisayarları ve sunucular olmak üzere mümkün olan tüm sistemler, zararlı yazılımlara karşı korunmalıdır.
  • Gizlilik dereceli bilgilerin ve bilgi içeren ortamlarının imhasında yayınlanan kurallara uymak zorunludur.
  • Herkese açık sistemler (örn. genel internet sayfaları) hariç tüm bilişim sistemlerine erişim parola korumalı olmalıdır. Parolalar tanımlanan kurallara uygun şekilde kullanılmalıdır.
  • Gizlilik dereceli bilgilerin posta,   faks,   telefon,   e-posta ve benzeri elektronik yöntemlerle iletiminde belirlenen kurallara uygun davranılmalıdır.
  • Herkese açık bilgiler dışındaki bilgiler internet üzerinde, haber gruplarında, posta listelerinde ve forumlarda paylaşmamalıdır.
  • Yeni bilgi sistemlerinin devreye alınması ve geliştirilmesi belirlenen kurallara uygun şekilde gerçekleştirilmelidir.
  • Çalışanlara ve gerekli görülen durumlarda 3. taraflara tahsis edilen e-posta hesapları, kurallara uygun şekilde kullanılmalıdır.
  • BEDAŞ’a ait bilgi işlem sistemlerini izinsiz olarak kullanım dışı bırakılmamalı,  yeri değiştirilmemeli ve firma dışına çıkartılmamalıdır.
  • Kullanım gerekliliği firma tarafından yazılı olarak belirtilen güvenlik yazılımlarını (örn. antivirüs,  kişisel güvenlik duvarı,  vb.)  bilgi işlem sistemlerden kaldırmamalı veya devre dışı bırakmamalıdır.
  • İstemciden istemciye dosya paylaşım programlarını  (P2P, torrent, FTP)  kurum bilgisayarlarına yüklememeli ve kullanmamalıdır.
  • BEDAŞ’a ait   bilgisayarlara,   firmanın   yasakladığı   yazılımları   yüklememeli   ve çalıştırmamalıdır.
  • BEDAŞ tarafından lisanslanmış yazılımları çoğaltmamalı, paylaşıma açmamalı ve firma dışına çıkarmamalıdır.
  • Etki alanına dahil olmayan sistemler ile etki alanına dahil olan sistemler arasında bilgi aktarımı yapılmamalıdır.
  • 3. Taraflar ile gizlilik sözleşmesi imzalanmadan ve yetkili firma çalışanınca nezaret edilmeden kurum bilgi işlem sistemlerine ve donanımlarına bağlanmamalı ve çalışmalarına izin verilmemelidir.
  • Sunucu sistemleri üzerinde,   kişisel bilgisayar uygulamalarını   (örn;   e-posta programları, ofis uygulamaları, yazılım geliştirme araçları, network test araçları, vb.) kurulmamalı ve kullanılmamalıdır.
  • İş süreçleri için gerekmeyen ve kullanılmasına izin verilmeyen sunucu hizmetlerini (örn; HTTP, Telnet, SSH, vb.) bilgi işlem sistemleri üzerinde çalıştırılmamalıdır.
  • BEDAŞ tarafından sağlanan ve kullanım amaç ve biçimleri yazılı olarak bildirilen kurum ağ bağlantı yöntemleri dışında bir yöntemle (örn; ADSL modem, 3G modem, GPRS, vb.) internete veya başka ağlara bağlanmak için kullanılmamalıdır.
  • Çalışanlar, BEDAŞ içi ya da dışı bilgi sistemlerine yetkisi olmadığı halde zorla girmeye çalışmamalıdır.
  • BEDAŞ’a ait bilgi işlem sistemlerine şifreleme ve parola mekanizmalarını kırmaya yönelik program ve araçlarını yüklenmemeli ve kullanılmamalıdır.
  • BEDAŞ’a ait bilgi sistemleri üzerinde,  firmanın bilgisi ve izni olmadan değişiklik, yükseltme, genişletme yapılmamalıdır.
  • İşle ilgili olmayan veya telif hakları ile korunan dosyaları (örn.  müzik, film, kitap dosyaları,  vb.)  firma  bilgisayarlarına  ve  bilgi  sistemlerine  indirilmemeli, depolanmamalı, çoğaltılmamalı ve paylaşıma açılmamalıdır.
  • BEDAŞ bilgi işlem sistemlerini iş dışında, eğlence amaçlı (oyun vb.) kullanılmamalıdır.
  • BEDAŞ e-posta hesabı ile zincirleme e-posta ( SPAM) gönderilmemelidir.
  • Kriptografik kontrollerin kullanımında tüm yasa, sözleşme ve regülasyonlara uyulmalıdır. Örneğin Seçilen anahtar uzunluğu ve metot yasa ve sözleşmeler ile uygun olmalıdır.
  • BEDAŞ, bilgi işlem sistemlerinde veya süreçlerinde gözlenen güvenlik zafiyetlerini, açıklarını veya oluşmuş saldırıları, muhatapları dışında ilgili olmayan kişilere iletilmemeli, açıklanmamalı, yayınlanmalı veya bu zafiyetleri yetkisi dışındaki sistem ve bilgilere erişmek için veya kendi yetkilerini arttırmak için kullanılmamalıdır.
  • Çalışanlar,  kendilerine verilmiş olan kullanıcı adı ve şifreleri sadece kendileri kullanmalıdır.

 

10. BGYS çalışmalarına katılım


  • Çalışanların tamamı bu politikada belirtilen şartlara ve kurallara uymalıdır. Bilgi Güvenliği Ekibinin görevlerini yerine getirmesinde yardımcı olmalıdır. Her çalışan yönetimce yayınlanan bu politikada belirtilen amaçlara ulaşmak için yürütülen risk yönetimi çalışmalarına ve bilgi güvenliği rehberinde belirtilen kurallara uymakla soruludur. Talimatlara ve kontrollere uymayanlara aşağıda belirtilen disiplin sürecine göre işlem yapılacaktır.
  • Her çalışan kendisinin kontrolünde ve yönetiminde olan bilgi varlıklarının kontrolü ve gizliliğinden sorumludur. Bu varlıklara yönelik olarak kurumumuzun risk yönetimi metodolojisi çerçevesinde gerekli analizlerin yapılmasında ve kontrollerin uygulanmasında her çalışana görev düşmektedir.
  • Uygulanan kontrollerin yeterliliğini ve verimliliğini izlemek ve güvenlik ihlal olaylarını ve ihlale yol açabilecek tehdit ve zayıflıkları koyulan kurallara göre gecikmeden raporlamak zorundadır.
  • Bilgi güvenliği yöneticilerinin bilgisi olmadan bilgi varlıkları ile ilgili donanımsal, yazılımsal ve fiziksel herhangi bir değişiklik yapılmamalıdır. Yapılması gereken değişiklikler ile ilgili BGYS Ekibine mutlaka haber verilmeli ve değişiklik için aşağıda belirtilen değişim yönetimi prosedürüne uygun kayıt tutulmalı ve konfigürasyon yönetimi prosedüründe belirtilen varlık özelliklerinin değiştirilmesi ile ilgili kayıt mutlaka tutulmalıdır.

 

11. SOA


Risk işleme seçenekleri standardın EK-A bölümünde verilen A.5’den A.18’e 114 farklı kontrol olarak tanımlanan listeden seçilebilir. Seçilen kontrollerin her birinin seçilme amacı , kontrolün içeriği, kontrolün uygulanma biçimi ve uygulanmıyorsa nedeni kısa adı SOA (Statement of Applicability) olan dokümanda belirtilmektedir. SOA Gizli bilgi sınıfındadır ve yalnızca BGYS Ekibinin erişimine açıktır.

Bilgi güvenliği amaçları ve uygulamaları SOA’da detaylandırılmıştır. Risk İşleme planı ve SOA paralel dokümanlardır. Risk işleme planında seçilen kontrollerin isimleri veya EK-A’dan seçilmişlerse A.X.X şeklinde kontrol numarasına atıf yapılırken SOA’da kontrol detaylandırılmıştır.

Uygulanan ve uygulanacak tüm kontroller SOA’da kaydedilir. Bu doküman Risk işleme planı ile bir çapraz kontrol sağlayarak herhangi bir kontrolün atlanmamasını saplamaktadır.

 

12. Bilgi güvenliği politika, prosedür ve rehberleri

BGYS Ana Politikası, BEDAŞ’ta yayınlanan bir çok farklı politika, prosedür, talimat ve rehberi kontrol ve risk yönetimi amaçları çerçevesinde adresler.

 

13. Bilgi Güvenliği Prosedürleri ve Planları

Tüm çalışanlar yönetimce tanımlanan ve yayınlanan tüm prosedür ve planlara uygun hareket etmelidirler.

 

14. Bilgi Güvenliği Sözleşmeleri

Kullanıcılar kurumumuzca tanımlanmış ve yayınlanmış gizlilik anlaşmalarını imzalayarak BEDAŞ politikalarına uyacaklarını taahhüt ederler.

 

15. Bilgi Güvenliği Eğitimleri

Tüm BEDAŞ çalışanlarına Bilgi Güvenliği Farkındalık eğitimleri e-learning sistemi üzerinden verilir. Tüm çalışanlar eğitime ve sınavına girmekle sorumludurlar.

 

16. Bilgi Güvenliği İç Denetimleri

Kurulan bilgi güvenliği yönetim sisteminin standarda ve tanımlanan politika ve prosedürlere uygunluğunun tespiti için düzenli olarak yapılacak iç denetimlere tüm çalışanlar katılmak durumundadırlar.

 

17. Yönetimin Sorumluluğu

BEDAŞ’ın belirlediği hedef ve politikalarını gerçekleştirmek için yönetim;

 

  • BEDAŞ Yönetimi, tanımlanmış, yürürlüğe konmuş ve uygulanmakta olan Bilgi Güvenliği Yönetim Sistemine uyacağını ve sistemin verimli şekilde çalışması için gerekli olan kaynakları tahsis edeceğini, etkinliğini, sürekli iyileştireceğini ve bunun tüm çalışanlar tarafından anlaşılmasını sağlayacağını taahhüt eder. Bu taahhüdün sonucu olarak, firma genelinde bilgi güvenliği farkındalık programları düzenler ve alt yapı yatırımlarını sürdürür.
  • BGYS kurulurken üst yönetim tarafından BGYS Yönetim Temsilcisi atanır. BGYS Yönetim Temsilcisi değiştiğinde, işten ayrıldığında üst yönetim tarafından doküman revize edilerek atama tekrar yapılır.
  • Yönetim kademelerindeki yöneticiler güvenlik konusunda alt kademelerde bulunan personele sorumluluk verme ve örnek olma açısından yardımcı olurlar. Üst kademelerden başlayan ve uygulanan bir güvenlik anlayışıyla, firmanın en alt kademe personeline kadar inilmesi zorunludur. Bu yüzden BEDAŞ yöneticileri, gerek yazılı gerekse sözlü olarak güvenlik prosedürlerine uymaları, güvenlik konusundaki çalışmalara katılmaları konusunda güvenlik ile ilgili çalışmalarda bulunan personele destek olurlar,
  • Kurumun üst yönetimi, bilgi güvenliği kapsamlı çalışmalar için gerek duyulan bütçeyi oluşturur.

 

Görevlerin Ayrılığı İlkesi: BGYS kapsamında birbiriyle çelişen görev ve sorumlulukların gerçekleşmemesi nedeniyle BGYS Yöneticisi görev verirken gereken kontrolleri yapmalıdır. Örn; Hiçbir BGYS İç Denetçisi kendi bölümünü denetleyemez. BGYS İhlalleri değerlendirilirken değerlendirme kurulunda ihlali yapan çalışan olamaz.

 

18. Yönetimin Gözden Geçirmesi

Yönetim Gözden geçirme toplantıları EYS.TLM.750. Yönetimin Gözden Geçirmesi Talimatı’ na göre yapılır.

 

19. Üçüncü Şahısların Bilgiye Erişimi

BEDAŞ çalışanı olmayan 3. tarafların, bilgi sistemlerini kullanma ihtiyacı olması durumunda (ör: firma dışı bakım onarım personeli) BGYS Yöneticisi, bu kişilerin firma ile ilgili bilgi güvenliği politikalarından haberdar olmalarından sorumludur. Bu amaçla geçici ya da sürekli çalışma sözleşmelerinde sözleşme imzalanmadan önce kararlaştırılmış ve onaylanmış güvenlik anlaşmaları yapılmalıdır. Gerektiği takdirde üçüncü taraf personelinin politikaya uyması için süre tahsis edilmelidir.

 

20. Dış Kaynakların Sağlanması

Bilgi ağı ve/veya kullanıcı bilgisayarı ortamlarının yönetimi dış kaynaklara verilirken, bilgi güvenliği ihtiyaçları ve şartları her iki taraf arasında kabul edilmiş bir sözleşmede açıkça yer almalıdır.

 

21. Bilgi Güvenliği Politikalarının Güncellenmesi ve Gözden Geçirilmesi

Politikaların sürekliliğinin sağlanmasından ve gözden geçirilmesinden BGYS Yöneticisi sorumludur. Bilgi Güvenliği Politikaları organizasyonel değişiklikler, iş şartları, yasal ve teknik düzenlemeler vb. nedenlerle günün koşullarına uyumluluk açısından değerlendirilir. BGYS kapsamındaki tüm dokumanlar yılda 1 kere gözden geçirilmelidir.

 

Yaptırım

Bilgi Güvenliği Ana Politikasının ihlali durumunda, “Bilgi Güvenliği Kurulu” ve bir üst yöneticinin onayıyla “EYS.YON.005 Disiplin Yönetmeliği” nde belirtilen kurallar ve ilgili maddeleri esas alınarak işlem yapılır.

 

3. TARAF BİLGİ GÜVENLİĞİ POLİTİKAMIZ

 

A. Amaç

Bu doküman; BEDAŞ’ın bilgi varlıklarının ve bilgi işleme tesislerine üçüncü tarafların ulaşması durumunda güvenliğinin sağlanması amacıyla oluşturulmuştur.


B. Kapsam

Bu politika, tüm BEDAŞ’da çalışmakta olan ve üçüncü taraflarla iletişim halinde olan, çeşitli anlaşmalar tanımlayan ve sonlandıran kişileri kapsamaktadır.


C. Politika Metni

1. 3. taraflarla herhangi bilgi alışverişi yapılmadan ve BEDAŞ’ın sistemlerine erişmeden önce BGYS.FORM.009 Kurumsal Bilgi Güvenliği Sözleşmesi yapılmış olmalıdır.

2. Sadece uygun yetkileri almış olan çalışanların organizasyonun bilgi veya iletişim sistemlerine erişimi olmalıdır.

3. BEDAŞ dışından gelen bakım ve tamir çalışanlarının çalıştıkları şirketler ile BEDAŞ’ın kontrollü bölgelerinde çalışma yapacaklarsa (veri merkezi, ana kumanda odası, SCADA odası vb.) BGYS.FORM.009 Kurumsal Bilgi Güvenliği Sözleşmesi imzalanmış olmalıdır.

4. 3. taraflar BEDAŞ Ağ Sistemlerine erişim sağlamadan önce bilgisayarlarını BEDAŞ Son Kullanıcı Bilgisayarları ile aynı güvenlik seviyesine (domain, antivirüs, güvenlik güncellemeleri vb.) almalıdır. Aksi takdirde BEDAŞ 3. taraflara herhangi bir uyarıda bulunmadan ağa veya ilgili kaynağa olan erişimlerini kesebilir.

5. BEDAŞ isminin halka yayınlanacak dokümanlarda kullanılabilmesi için üçüncü tarafların uygun kişiler tarafından yetkilendirilmesi gerekmektedir.

6. Sadece yetkilendirilmiş ve izin verilmiş tedarikçiler BEDAŞ ile çalışmakta olduklarını veya yapmakta oldukları işin içeriğini 3. taraflara bildirebilirler.

7. BEDAŞ’ın bilgilerine erişimi olan 3.taraf personel değişiklikleri derhal ilgili proje/sistem yöneticisine bildirilmelidir.

8. BEDAŞ tedarikçileri ISO 27001:2013 Ek-A ve diğer kurallar dahilinde uzaktan/ yerinde denetime tabi tutulur.

9. BEDAŞ tedarikçileri (bilgi ve bilgi varlıkları ile ilişkili) bilginin Gizlilik, Bütünlük ve Erişilebilirliğini korumadığı/koruyamadığı durumda derhal gerekli bilgi güvenliği önlemleri alınır ve BT Yardım Masası’na bildirmelidir.

10.BEDAŞ için yazılım geliştirme yapan tedarikçiler PL.56 Yazılım Geliştirme Politikasına uymalıdır.


D. Yaptırım

Üçüncü Taraf Güvenliği Politikasının ihlali durumunda, “Bilgi Güvenliği Kurulu” ve bir üst yöneticinin onayıyla “EYS.YON.005 Disiplin Yönetmeliği” nde belirtilen kurallar ve ilgili maddeleri esas alınarak işlem yapılır.

 

E. İlgili Referans Dokümanlar ve Kontrol Maddeleri


E.1 Referans verilen

1) PL.56 Yazılım Geliştirme Politikası

2) EYS.YON.005 Disiplin Yönetmeliği

3) BGYS.FORM.009 Kurumsal Bilgi Güvenliği Sözleşmesi


E.2 Referans alınan

1) ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi EK A.13.2.4

2) ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi EK A.15


KALİTE BELGELERİMİZ

KALİTE YOLCULUĞUMUZ

BOĞAZİÇİ Elektrik Dağıtım A.Ş. toplam kalite yönetimi uygulamalarına 2009 yılında başlamış ve müşterilerinin beklentilerini aşmayı hedefleyerek uygulamalarını günümüze değin sürekli geliştirmiştir.

Bu çerçevede tüm iş süreçlerinin gözden geçirilmesi ve iyileştirilmesini hedefleyerek önce ISO 9001: 2008 standartı çerçevesinde Kalite Yönetim Sistemini kurmuştur.

Sistemin sürekli gelişimi devam ederken 2015 yılında “Kurumsal Bilişim Sistemi” ile “Endüstriyel Kontrol Sistemleri” ni standartlara uygun bir şekilde işletmek üzere ISO 27001: 2013 standartı çerçevesinde Bilgi Güvenliği Yönetim Sistemini kurmuş ve 2016 yılında bu standart çerçevesinde belgelendirilen ilk Elektrik Dağıtım şirketi olmayı başarmıştır.

Kalite çalışmaları açısından sürekli gelişimin hızla devam ettiği 2016 yılında ayrıca “Kuruluşlarda şikayetlerin ele alınması için kılavuz bilgiler” içeren ISO 10002: 2014 standartı çerçevesinde Müşteri Memnuniyeti Yönetim Sistemi belgesi de almış ve koşulsuz müşteri memnuniyeti hedefini bir kez daha ortaya koymuştur.

Günümüzde çevresel etkilerin küresel anlamda tüm ülkeleri ilgilendirdiği bu dönemde BEDAŞ, hizmetlerinden kaynaklanan olumsuz etkilerin azaltılmasını hedefleyerek ISO 14001:2015 standartı kapsamında Çevre Yönetim Sistemi kurmuş ve 2016 yılı sonunda belgelendirilmiştir. Aynı dönemde Kalite Yönetim Sistemini ISO 9001standartının 2015 versiyonu ile geliştirmiş ve belgeyi almaya hak kazanmıştır.

2017 yılı hedeflerimiz arasında; TS EN 15838 “Müşteri ilişkileri merkezleri -  Hizmetin yerine getirilmesi için kurallar” standartı kapsamında Çağrı Merkezi süreçlerimizin iyileştirilmesi ve OHSAS 18001 İş Sağlığı ve Güvenliği Yönetim Sistemi kurulması da bulunmaktadır.




Bedaş Alo 186

Bedaş Facebook Sayfası Bedaş Twitter Sayfası Bedaş Linkedin Sayfası Bedaş Foursquare Sayfası
2016 BOĞAZİÇİ Elektrik Dağıtım A.Ş. Kullanım ve Koşullar | Gizlilik Koşulları