BİLGİ GÜVENLİĞİ POLİTİKASI

1. Amaç

Bu politikanın amacı; hukuka, yasal mevzuatlara, düzenleyici idari şartlara ve sözleşmeye tabi yükümlülüklere uyumu sağlamaktır. Yuvam Dragos Anaokulları üst yönetiminin bilgi güvenliğine yönelik yaklaşım ve hedeflerini tanımlayarak; tüm çalışanlara, velilere ve ilgili paydaşlara duyurmak ve olası güvenlik ihlallerinin önüne geçmek temel hedeftir.

2. Kapsam

Bu politika; Yuvam Dragos Anaokulları bünyesinde yürütülen eğitim, öğretim ve ticari faaliyetler ile bu işlemlerle ilişkili lojistik, depolama, muhasebe, finans, kalite güvence, satın alma, insan kaynakları, hukuk, satış, pazarlama, iç denetim ve bilgi işlem faaliyetlerinden elde edilen tüm elektronik bilgi varlıklarının korunmasını kapsar. Ayrıca, kurum bünyesinde tutulan öğrenci, veli ve personel kişisel verilerinin kanun kapsamında işlenmesi, saklanması, korunması, gizliliğinin ve bütünlüğünün bozulmaması amacıyla kullanılan tüm bilgi güvenliği süreçlerini bağlar.

2.1. İç Kapsam

Kuruluşun yapısı, rolleri, yükümlülükleri ve iç paydaş ilişkileri bu kapsamdadır:

  • Departmanlar: Mali ve İdari İşler, Satınalma, Finans, Bilgi İşlem, Kurumsal İletişim, İnsan Kaynakları, Eğitim Koordinatörlüğü, Kalite, Hukuk, İç Denetim, Satış, Pazarlama, Psikoterapi ve Pedagog Hizmetleri.
  • Rol ve Sorumluluklar: Yuvam Dragos Anaokulları Genel Yönetim Organizasyon Şemasında belirtilmiş roller ve görev tanımları.
  • Politika, Prosedür ve Stratejiler: Bilgi Güvenliği Yönetim Sistemi (BGYS) Politikası, eğitim-öğretim güvenliği prosedürleri, yıllık hedefler, atanan Yönetim Temsilcileri/BGYS Ekibi ve kurum kültürü standartları.

2.2. Dış Kapsam

Kurumun dış dünya, resmi makamlar ve paydaşlarıyla olan ilişkilerini düzenleyen unsurlar:

  • Milli Eğitim Bakanlığı (MEB) mevzuatları, ulusal veya yerel düzeydeki sosyal, kültürel, yasal, finansal ve ekonomik rekabetçi ortamlar.
  • Küresel Rekabet Hukuku, politikaları ve prosedürleri.
  • Tedarikçi, personel, öğrenci ve veli verilerinin gizliliği ile en üst düzeyde memnuniyetin sağlanması.
  • İlgili tüm yasal mevzuatlar, sözleşmesel yükümlülükler ve TSE standardizasyon süreçleri.

3. Tanımlar

Terim Açıklama
BGYS Bilgi Güvenliği Yönetim Sistemi.
Envanter Kurum için değer taşıyan ve korunan her türlü bilgi varlığı, öğrenci/veli kayıtları ve dijital sistemler.
Üst Yönetim Yuvam Dragos Anaokulları Üst Yönetimidir.
Know-How Kuruma özgü eğitim metotları, pedagojik yaklaşımlar ve yönetimsel süreçleri kapsayan kurumsal uzmanlık.
Bilgi Güvenliği Bilginin kurumsal bir varlık olarak kabul edilerek; eğitim süreçleri, pedagojik gelişim raporları, öğrenci ve veli kayıtları, personel bilgileri ve ticari/akademik sırların korunması sürecidir.

3.1. Güvenliğin Üç Temel Unsuru

Gizlilik: Öğrenci, veli ve gelişim verileri başta olmak üzere bilgi içeriğine sadece yetkilendirilmiş personelin erişebilmesidir. (Örn: Şifreli e-posta, güvenli okul yönetim panelleri veya KEP kullanımı)

Bütünlük: Bilginin yetkisiz veya yanlışlıkla değiştirilmesinin, silinmesinin ya da tahrif edilmesinin önlenmesi ve tespit edilebilmesidir. (Örn: Dijital karne ve raporların log takipli sistemlerde saklanması, elektronik/mobil imza kullanımı)

Erişilebilirlik: Bilgi ve sistemlerin ihtiyaç duyulduğu her an yetkili kullanıcılarca erişime hazır olmasıdır. (Örn: Kamera kayıt sistemleri ve otomasyonlar için UPS ve yedekli donanım mimarileri)

3.2. Bilgi Varlığı Türleri

  1. Kağıt, elektronik, görsel (kamera/fotoğraf) veya işitsel ortamdaki tüm öğrenci, veli ve kurum verileri.
  2. Okul otomasyonları, eğitim yazılımları ve bilgiye erişim amacıyla kullanılan tüm donanımlar.
  3. Kurum içi bilgi transferini sağlayan güvenli kablolu ve kablosuz (Wi-Fi) ağ altyapıları.
  4. Fiziksel kampüs alanları, sınıflar ve idari ofisler.
  5. Öğretmenler, pedagoglar, idari kadro ve destek personeli.
  6. Eğitim ve çözüm ortakları ile üçüncü taraflardan sağlanan her türlü servis, hizmet veya ürün.

4. Sorumluluklar

Yuvam Dragos Anaokulları bünyesindeki bilgi güvenliği faaliyetlerinin kesintisiz sürdürülmesinden ve geliştirilmesinden Bilgi İşlem Ekibi ve Yönetim Temsilcisi sorumludur. Görev tanımları ilgili dokümanlarda net bir şekilde belirlenmiştir.

4.1. Üst Yönetimin Sorumluluğu: Yürürlükteki BGYS’ye uymayı, eğitim ve bilgi güvenliği teknolojileri için gerekli bütçe ve kaynakları tahsis etmeyi taahhüt eder. Farkındalığı idari kadrodan öğretmenlere kadar tüm kademelere yayar.

4.2. Yönetim Temsilcisinin Sorumluluğu: BGYS’nin planlanması, çocuk ve veli verilerine yönelik risk değerlendirme metodolojisinin belirlenmesi, farkındalık eğitimlerinin organize edilmesi ve sürekli iyileştirme.

4.3. BGYS Ekip Üyelerinin Sorumluluğu: Eğitim ve idari bölümlerle ilgili varlık envanterini çıkarmak, risk analiz çalışmalarını yürütmek ve öğretmen/personel kadrosunun kurallara uyumunu sağlamak.

4.4. Diğer Rollerin Sorumlulukları: İç Denetçiler denetim faaliyetlerini raporlar; Eğitim ve Bölüm Yöneticileri ihlalleri bildirir; Tüm Çalışanlar (Öğretmenler dahil) dokümanlara uygun çalışır ve şüpheli durumları raporlar. Üçüncü Taraflar (Servis, yemek, güvenlik firmaları) ise BGYS davranış kurallarına tam uyum sağlamakla yükümlüdür.

5. Bilgi Güvenliği Hedefleri

Yuvam Dragos Anaokulları çalışanlarının ve paydaşlarının farkındalık seviyesini artırarak eğitim ve idari faaliyetlerin en az kesintiyle devam etmesini, kurumsal itibarın korunmasını ve yasal/sözleşmesel yükümlülüklere tam uyumu sağlamaktır.

6. Risk Yönetim Çerçevesi

Bilgi güvenliği risklerinin tanımlanması, değerlendirilmesi ve işlenmesini kapsar. Çocukların gelişim süreçleri ve veli verilerinin güvenliğine yönelik kurgulanan Risk Analizi, Uygulanabilirlik Bildirgesi (SoA) ve Risk İşleme Planının yönetiminden BGYS Yürütme ve Yönetim Komitesi sorumludur.

7. Bilgi Güvenliği Genel Esasları

  • BGYS, TS ISO/IEC 27001 standartlarını temel alarak yapılandırılır ve işletilir.
  • Kurum çatısı altında üretilen her türlü bilgi, belge, pedagojik rapor ve ürün (aksini belirten bir kanun olmadıkça) Yuvam Dragos Anaokulları‘na aittir.
  • Çalışanlar, öğretmenler, danışmanlar, tedarikçiler ve stajyerler ile mutlaka KVKK uyumlu gizlilik anlaşmaları (NDA) imzalanır.
  • Mevcut ve yeni göreve başlayan eğitim/idari personele düzenli olarak bilgi güvenliği farkındalık eğitimleri verilir.
  • Okul içi ağ cihazları, kamera kayıt altyapısı ve uygulamalar için denetim kayıtları (log) güvenli şekilde tutulur; erişim hakları tamamen “ihtiyaç nispetinde” atanır.
  • Kritik altyapılar ve eğitim süreçlerinin sürekliliği için iş sürekliliği planları hazırlanır ve periyodik olarak tatbikatları gerçekleştirilir.

8. Politikanın İhlali ve Yaptırımlar

Bilgi Güvenliği Politikası ve standartlarına uyulmadığının tespit edilmesi durumunda; ihlalden sorumlu personel için Kurum Disiplin Yönergesi, üçüncü taraflar ve dış hizmet sağlayıcılar için ise sözleşmelerde yer alan yaptırım hükümleri ve yasal yollar uygulanır.

9. Yönetimin Gözden Geçirmesi

BGYS’nin uygunluğu ve etkinliği; Üst Yönetim, Eğitim Koordinatörleri ve Bölüm Yöneticilerinin katılımıyla en az yılda bir kez düzenlenen Yönetim Gözden Geçirme toplantılarında değerlendirilir.

10. Politika Dokümanının Güncellenmesi

Politika ve bağlı prosedürler en az yılda bir kez veya eğitim-yönetim altyapısını etkileyen kritik bir değişiklik sonrasında gözden geçirilerek güncellenir ve kurum içi/kurum dışı paydaşların erişebileceği ortak platformlarda yayınlanır.