Kurumsal

İş Sağlığı ve Güvenliği Politikası

Çalışanlarımızın, taşeronlarımızın, ziyaretçilerimizin ve faaliyetlerimizden etkilenen diğer kişilerin yaralanma ve sağlık bozulmalarının önlenmesi için risk analizlerini yaparak risklerini en aza indirgemek, bununla ilgili İSG yönetim sistemini kurmak, sürekli iyileştirme ve gelişme faaliyetleri yapmak, eğitim programları ile çalışanları bilgilendirmek ve katkılarını sağlamak, İSG amaç ve hedeflerini belirleyerek, gerekli İSG programlarını oluşturmak, bu programların uygulanması için gerekli kaynakları sağlamak, faaliyetlerimizi iş sağlığı ve güvenliği mevzuatlarına ve bağlı bulunduğumuz tüm kuruluşların standartlarına uygun olarak gerçekleştirmektir.

Bilgi Güvenliği Politikası

Bilgi güvenliği, sadece bilgi varlıklarının gizliliğinin değil, bütünlüğünün ve erişilebilirliğinin de sağlanması ile mümkündür.

Bilginin;

  • Gizlilik gerekliliği, bilginin sadece yetkili kişiler tarafından erişilebilir olmasını,
  • Bütünlük gerekliliği, bilgi varlıklarının tam ve doğruluğunun sağlanmasını, yetkisiz değişimlerden korunmasını,
  • Erişilebilirlik gerekliliği, bilgi varlıklarının ihtiyaç duyulduğu anda yetkili kullanıcılar tarafından kullanılabilir olmasını ifade eder.

AROMSA bilgi güvenliğini sağlamak amacıyla kendi kurumsal işleyişini düzenleyici prensipleri oluşturur. Bu amaçla Bilgi Güvenliği Yönetim Sisteminde sürekli iyileşme yaklaşımı sergileyeceğini taahhüt eder. Bilgi güvenliği politikasının belirlenmesi, güvenlik rollerinin tanımlanması ve ilgili tüm güncellemelerin yapılması üst yönetimin desteği ve tüm birimlerin koordinasyonuyla gerçekleştirilir. AROMSA gerekli durumlarda iç ve dış uzmanların görüşüne başvurabilir. Aromsa'da bilgi varlıkları uygun şekilde sınıflandırılır.

Varlıkların değerlemesi yapılır ve uygunseviyede kontrol geliştirmek için varlıkların değeri hesaplanır. 

Üçüncü Taraf Bilgi Güvenliği Politikası

Üçüncü taraf personele AROMSA bilgi sistemlerine erişim izni verilmeden önce bir risk değerlendirmesi yapılır. Aşağıdaki kriterler erişim izni verilmesi noktasında dikkat edilecek hususları tanımlamaktadır.

  • Üçüncü taraf çalışanı veya firma temsilcisi erişmek istediği bilgi işlem sistemlerini bildirir.
  • Erişim şekli (fiziksel erişim, mantıksal erişim, erişimin AROMSA içinden veya dışından sağlanması gibi) Fiziksel Güvenlik Politikası ve Erişim Kontrol Politikası’nda tanınlanmıştır ve bu politikalarda öngörüldüğü şekilde kararlaştırılır.
  • Erişilecek bilginin hassasiyeti ve değeri Sistem / Varlık Sahibi tarafından belirlenir.
  • Üçüncü taraf personelin AROMSA bilgi sistemleri erişimi ile ilgili kaydedilecek denetim takibi bilgilerinin (audit log) seviyesi BT Sistem Yöneticisi ve Bilgi Güvenliği Yöneticisi tarafından belirlenir.
  • AROMSA harici tarafların erişimine açık olmayan bilgilerin korunması için gerekli kontroller Erişim Kontrol Politikası referans alınarak uygulanır.
  • AROMSA dışındaki taraflara ilişkin hukuki ve yasal şartlar ve bunların sözleşmeden doğan yükümlülükleri dikkate alınmalıdır.

Mevcut bilgi güvenliği politikalarının, prosedürlerinin ve talimatlarının korunması ve iyileştirilmesi de dâhil olmak üzere hizmet alımı ile ilgili değişiklikler söz konusu olduğunda üçüncü taraflara ilişkin riskler Varlık Sahibi ve Bilgi Güvenliği Yöneticisi tarafından gözden geçirilir. Değişiklik talepleri hem AROMSA’dan hem de üçüncü taraflardan gelebilir.

Üçüncü taraf sözleşme değişikliklerinin yönetilmesi sürecinde dikkate alınması gerekenler AROMSA  A.Ş. Tarafından ayrıca belirlenmiştir.