KİŞİSEL VERİLERİN KORUNMASI KANUNU BİLGİ GÜVENLİĞİ PROSEDÜRLERİ (PERSONEL)
Bu doküman; bilgi güvenliğinin sürekli gelişimini sağlamak için; Bilgi varlıklarını tanımlamayı bu varlıkların;
bilginin gizliliği, bütünlüğü ve erişimine ilişkin riskleri belirlemeyi, değerlendirmeyi, kabul edilebilir seviyenin üzerinde bulunan tüm varlıklar için gerekli kontrolleri uygulamayı, bilgi güvenliği süreçlerinin yönetimini, zayıflıklarımızı ve tehditleri alt yapı, çalışma ortamı, donanım, yazılım ve eğitim yatırımlarıyla en aza indirgemeyi, işimizin, müşterilerimizin ve yasal şartların gerektirdiği güvenlik şartlarını karşılamayı, amaçlamaktadır.
Uyulması gereken bilgi güvenliği esasları prosedürlerini kapsamaktadır.
Genel Güvenlik Talimatı DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ bünyesinde çalışan tüm personeli kapsayan ve uyulması zorunlu olan kuralları içermektedir. Bu kuralların ihlali durumunda gerekli yasal işlemlerin başlatılması esastır.
Günümüzde artan nüfusla orantılı olarak bilgi ve doküman sayısı da artmaktadır ve bu artış, bilginin akıcılığını ve işlevselliğini kaybetmemek ve daha da arttırmak amacıyla dijitalleştirme ihtiyacı doğurmuştur. Dijitalleştirme ile fiziksel ortamdan kazanım sağlanmış ve özellikle geriye dönük evrakların kaybolma ihtimalleri ciddi oranda azaltılmıştır. Fakat bu durum fiziksel ortamdaki evrakların güvenlik tedbirine dijitallerinin de güvenli korunmasını eklemiştir. Büyüyen teknoloji ve bilgiyle birlikte güvenlik sorunları en önemli konuma gelmiş ve bilgi işlem departmanın yanı sıra tüm şirket çalışanlarının başlıca dikkat etmesi gereken bir durum haline gelmiştir.
DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “, güvenliğin en önemli unsur olduğunun bilinciyle tüm personelleri bilgilendirmektedir. Tüm personellerin bilgi güvenliğinin önemine hakim olması sağlanarak güvenliğin en üst seviyeye çıkartılıp görülen açıkların tamamen kapatılmasını amaçlamaktadır.
Tüm e-posta hesapları son kullanıcının adından oluşur.
E-posta hesaplarını açma, kapama, silme ve yönetme sorumluluğu BİLGİ İŞLEM sorumluluğundadır.
E-posta tanımlamaları yapılırken mutlaka kullanıcı ile ilgili değer detay bilgiler (şirketi, bölümü, görevi, telefonu, dahilisi, kısa kodu vb.) doldurulmalı, eksik bilgi bırakılmamalıdır.
E-Posta açma talepleri mutlaka yazılı olarak alınmalı, ilgili birim yöneticisinin onayını taşıyan yazılı bir talep ile aktive edilmelidir.
E-Posta kutularında saklanabilecek mesajlar için bir depolama boyutu kotası standart olarak 50gb olarak tanımlanmıştır.
E-posta dağıtım listeleri ve grupları şirketlerin bölümlerini temsil eder şekilde oluşturulmalı ve bu gruplara sadece ilgili bölüm çalışanlarının e-posta kutuları eklenmelidir.
Standart dışı e-posta dağıtım grubu talepleri ise yine talebi yapan birimin yöneticisi tarafından yazılı olarak bildirilmeli, dağıtım listesinin ismi, amacı ve üye olacak e-posta hesapları bu talepte yer almalıdır.
Dağıtım listeleri isimlendirilirken Bölümİsmi@firmaltdsti.com şeklinde isimlendirilecektir.
Kurumdan ayrılacak olan personelin e-posta hesapları, ilgili birim tarafından bildirildiği anda Deaktive edilmeli ve tüm alanlardan erişimi durdurulmadır.
E-posta kutuları ve içindeki tüm postalar kurumsal hafızanın bir parçası olduğundan ayrılan personelin posta kutusunun bir yedeğini istemesi talebi geri çevrilmedir.
Deaktive edilen posta kutuları ve mail adresleri ilgili birim ya da ilgili personelin yöneticisi tarafından atanacak yeni bir mail adresine yönlendirilmelidir.
Her kullanıcının, kurum bünyesinde sadece bir adet e-posta hesabı bulunabilir. Kullanıcılar e-posta hesaplarının güvenliğinden şahsen sorumludurlar.
Kullanıcılar e-posta parolalarını “Parola Oluşturma ve Kullanım Prosedürü” doğrultusunda belirlemek ve kullanmakla yükümlüdürler.
Kullanıcılar, üçüncü şahıslarla ilgili e-postalarda küfürlü, ayıp veya küçültücü ifadeler kullanmamalıdır. Bu tip ifadeler şaka yaparken bile kişisel iftira gibi yasal sorunlar yaratabilir.
Bilgi Teknolojileri e-postaların kişiye özel olacağını garanti edemez. Kullanıcı e-postalarının, teknolojiye bağlı olarak, başkaları tarafından okunabileceğinin, aktarılabileceğinin, engellenebileceğinin, yazıcıdan çıktı alınabileceğinin ve depolanabileceğinin farkında olmalıdır.
Kullanıcı hesaplarına ait parolalar ikinci bir şahsa verilmemelidir.
Şirket ile ilgili özel bilgi, gönderilen mesajlarda yer almamalıdır. Bunun kapsamı içerisine iliştirilen öğeler de dâhildir. Mesajların gönderilen kişi dışında başkalarına ulaşmaması için gönderilen adrese ve içerdiği bilgilere özen gösterilmelidir.
Kullanıcı, kurumun e-posta sistemini taciz, suiistimal veya herhangi bir şekilde alıcının haklarına zarar vermeye yönelik öğeleri içeren mesajları göndermemelidir. Bu tür özelliklere sahip bir mesaj alındığında ilgili birime haber verilmelidir.
Kullanıcı hesapları, ticari ve kâr amaçlı olarak kullanılmamalıdır. Diğer kullanıcılara bu amaçlar ile e- posta gönderilmemelidir.
Zincir mesajlar ve mesajlara iliştirilmiş her türlü çalıştırılabilir dosya içeren e-postalar alındığında başkalarına iletilmeyip, ilgili birime haber verilmelidir.
Spam, zincir e-posta, sahte e-posta vb. zararlı e-postalara yanıt yazılmamalıdır.
Kullanıcı e-posta ile uygun olmayan içerikler (siyasi propaganda, ırkçılık, pornografi, fikri mülkiyet içeren malzeme, vb.) göndermemelidir.
Kullanıcı, e-posta kullanımı sırasında dile getirdiği tüm ifadelerin kendisine ait olduğunu kabul edip; suç teşkil edebilecek, tehditkâr, yasadışı, hakaret edici, küfür veya iftira içeren, ahlaka aykırı mesajların yollanmasından sorumludur.
E-Posta kişisel amaçlar için kullanılmamalıdır.
Kullanıcı, mesajların yetkisiz kişiler tarafından okunmasını engellemelidir. Bu yüzden parola kullanılmalı ve kullanılan parola en geç 90 günde bir değiştirilmelidir. E-Posta erişimi için kullanılan donanım/yazılım sistemleri yetkisiz erişimlere karşı korunmalıdır.
Kullanıcı, kullanıcı kodu/parolasını girmesini isteyen e-posta geldiğinde, bu e-postalara herhangi bir işlem yapmaksızın ilgili birime haber vermelidir.
Kullanıcı, kurumsal mesajlarını, kurum iş akışının aksamaması için cevaplandırmalıdır.
Kullanıcı, kurumsal e-postalarının kurum dışındaki şahıslar ve yetkisiz şahıslar tarafından görülmesini ve okunmasını engellemelidir.
Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve tehdit unsuru olduğu düşünülen e-postalar ilgili birime haber verilmelidir.
6 ay süreyle kullanılmamış e-posta adresleri kullanıcıya haber vermeden sunucu güvenliği ve veri depolama alanının boşaltılması için kapatılmalıdır.
Kullanıcı parolaları, Parola Oluşturma ve Kullanım Prosedürü ’ne uygun oluşturulmalıdır.
Kullanıcı, kendilerine ait e-posta parolasının güvenliğinden ve gönderilen e-postalardan doğacak hukuki işlemlerden sorumlu olup, parolalarının kırıldığını fark etiği andan itibaren ilgili birime haber vermelidir.
Kurumsal e-postalar yetkili kişilerce hukuksal açıdan gerekli görülen yerlerde önceden haber vermeksizin denetlenebilir.
Kullanıcı, e-postalarına erişirken, POP3, SMTP, http vb. kullanıcı adı ve parolasını açık metin olarak (okunabilir halde) taşıyan protokolleri kullanmamalıdır.
Kurum, e-postaların kurum bünyesinde güvenli ve başarılı bir şekilde iletilmesi için gerekli yönetim ve altyapıyı sağlamakla sorumludur.
Virüs, solucan, Truva atı veya diğer zararlı kodlar bulaşmış olan bir e-posta kullanıcıya zarar verebilir. Bu tür virüslere bulaşmış e-postalar anti virüs yazılımları tarafından analiz edilip, içeriği korunarak virüslerden temizlenmelidir. Ağa dâhil edilmiş bilgisayarlarda ve sunucularda sistem yöneticileri bu yazılımdan sorumludur.
Kullanıcılar tarafından kullanılan bilgisayar ya da bilişim cihazlarının hem fiziki hemde yazılımsal (veri) güvenliği kullanıcının kendisine aittir. Kullanıcının şifre güvenliği ise kullanıcı ilk kez sisteme giriş yapana kadar hazır yazılım sorumlusuna sisteme dahil olup şifresini değiştirdikten sonra kullanıcının kendisine aittir.
Sisteme ilk defa giren kullanıcı, bilgi işlem genel güvenlik talimatı gereği şifresini uygun protokoller dahilinde değiştirmeli ve kimseye söylememelidir.
Şifresi geçersiz olan (süresi dolan) ya da şifresini unutan kullanıcı en kısa sürede hazır yazılım sorumlusu ile irtibata geçmeli ve durumu iletmelidir.
Yanlış şifre üzerinde güvenlik ihlali oluşturacak gereksiz tekrarlamalardan kaçınılmalıdır.
Kullanıcı bilgisayara giriş yaptıktan sonra, bilgisayarının başından kısa ya da uzun süreli ayrıldığında güvenlik ihlaline sebep olmamak için pc’yi kilitleme (lock) moduna almalıdır.
Şirket içi mail adresi yalnızca iş takibinde kullanılmalı, gereksiz olan mailler belirli zaman aralıklarında kullanıcılar tarafından silinmeli, kaynağı bilinmeyen email ya da spam’lar anında imha edilmelidir.
Standart bir bilgisayar kullanıcısı, ağ ortamında daha önce tanımlanan standart kullanıcıların belirli haklara sahip oldukları bilgilere ulaşabilirler. Bu dosya, doküman ya da printer gibi çevresel cihazlara erişimde, kullanıcıların tanımlı olduğu gruptan gelen haklar dışında hiçbir işlem yapamazlar.
Kullanıcı yetkisi dışındaki klasörlere, dosyalara ya da ağ paylaşımlarına erişebiliyorsa bunu en kısa sürede sistem yöneticisine bildirmekle sorumludur. Aksi takdirde güvenliği ihlal etmiş olur.
Sistemde her bilgisayarın birbirinden farklı bir fiziksel adresi (Mac Adress) ve network IP adresi (Internet Protocol) vardır. Kullanıcılar, gerekli olan ağ kaynaklarına düzgün bir şekilde bağlanıp gerekli olan bilgi ve paylaşılan kaynaklara erişebilirler.
Kullanıcıların internette yasaklanan sitelere girmeleri ve internette güvenliğinden kesin emin olmadıkları kaynakları kullanmalar, güvenlik ihlaline sebep olduğu için uygun değildir.
Uygunsuz ya da yasadışı internet sitelerine giren kullanıcılar network izleme cihazları ile takip edilip tespit edilirler. Tespit edilen kullanıcılar öncelikle uyarılır. Tekrar eden güvenlik ihlallerinden sonra şirket içi disiplin yönetmeliği gereği uygulanır.
Kullanıcı erişim hakkına sahip printer, dosya ya da dökümana erişip gerekli işlemleri yaptıktan sonra o kaynakla bağlantısını kesmeli, gereksiz yere ağı (networku) meşgul etmemelidir. Böylece bilgi güvenliği ihlal edilmemiş olur.
Sanal ortamda tanımadığı kimse ya da kimselerden bilmediği doküman ya da dosyalarını almamalı, şirket içindeki bilgileri de şirketin bilgi gizliliği kapsamında dışarıya çıkartmamalıdır.
Yetkisiz personel ya da kullanıcıların program yükleme, güncelleme ve silme gibi genel güvenliğe ve talimata aykırı davranmaları kesinlikle yasaktır.
Kullanıcılar, mecbur kalmadıkça şirket içindeki diğer bilgisayarları ve başkasına ait veri taşıma disklerini (usb memory) bilgi işlem genel güvenlik talimatı gereği kullanmamalıdır.
Şirket içinde kullanılan usb ya da harici diskler her kullanımda sistemde kullanılan antivirüs programı sayesinde otomatik olarak test edilmeli ya da kullanıcı tarafından elle (manual olarak) yapılmalıdır.
Çalışanlar sistem ve bilgi güvenliği kapsamında, mesai sonunda usb bellek, cd, dvd, disket, harici harddisk ya da gizli bilgi içeren şirket dökümanlarını (dosya, klasör, gizlilik içeren yazılı doküman vb.) masada ya da açıkta bulundurmamalıdır.
Yönetim, şirket içinde kullanılan bilgi işlem cihazlarından ve güvenliğinden, şirket içi bilgilerin gizliliğinden ve bilgi güvenliği ihlalinde yapılması gereken işlemlerden müştereken sorumludur.
Bilgi güvenliği ihlalleri durumunda ‘’Bilgi Güvenliği İhlali Tutanağı’’ hazırlanır. Bunun bilgisi üst yönetime verilir ve üst yönetimin uygun gördüğü disiplin cezası uygulanır.
Bilgi güvenliğine ilişkin olay ve ihlaller düzeltici ve önleyici faaliyetler ile rapor ve takip edilmektedir. Bilgi teknolojileri ve hizmetlerinin tüm çalışanları, yüklenicileri ve üçüncü taraf kullanıcıları, sistemler ve hizmetlerdeki gözlenen veya şüphelenilen herhangi bir güvenlik zayıflığını yine aynı şekilde düzeltici ve önleyici faaliyetler ile Sistem Mühendisi ve BGYS Temsilcisi’ ne rapor etmekle yükümlüdürler.
Bilgi güvenliği ihlal olaylarına hızlı, etkili ve düzenli olarak yanıt verebilmek için ve ayrıca tür, miktar, maliyetlerinin ölçülüp izlenebilmesi için düzeltici ve önleyici faaliyetler kullanılmaktadır.
Bilginin yetkisiz kişiler, varlıklar ya da proseslere kullanılabilir yapılmama ya da açıklanmama özelliği bilgi güvenliği, bilginin gizliliği, bütünlüğü ve kullanılabilirliğinin korunması. Ek olarak, doğruluk, açıklanabilirlik, inkâr edememe ve güvenilirlik gibi diğer özellikleri de kapsar.
Olası bir bilgi güvenliği politikası açığı, koruyucuların başarısızlığı ya da güvenlikle ilgili olabilecek önceden bilinmeyen bir durumu belirten bir sistem, hizmet ya da ağ durumunun tanımlanan bir ortaya çıkışı.
İş operasyonlarını tehlikeye atma ve bilgi güvenliğini tehdit etme olasılığı yüksek olan tek ya da bir dizi istenmeyen ya da beklenmeyen bilgi güvenliği olayı.
Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçası.
Kullanıcılar şunun farkında olmalıdırlar; Firma ağ yönetimi kişilere makul seviyede mahremiyet sağlasa da Firmanın bünyesinde oluşturulan tüm veriler Firmanın mülkiyetindedir Firma bilgi teknolojilerinin tehlikelere karşı koruyabilmek ihtiyacı sebebiyle, yönetim Firma ağ cihazlarına yüklenmiş olan kişisel bilgilerin mahremiyetini garanti edemez.
Çalışanlar bilgi teknolojilerini kendi kişisel kullanımı için makul seviyede yararlanabilirler. Her bir departman kendi bilgi teknolojilerinin kişisel kullanımı için gerekli kuralları koymalıdır. Departmanlar böyle bir kural koymamış ise Firmanın koyduğu genel güvenlik politika ve prosedürleri geçerlidir.
Kullanıcı herhangi bir bilginin çok kritik olduğunu düşünüyorsa o bilgi şifrelenir.
Güvenlik ve ağın bakımı amacıyla yetkili kişiler cihazları, sistemleri ve ağ trafiğini gözlemlemektedir.
Firma, bu politika çerçevesinde ağları ve sistemleri periyodik olarak denetleme hakkına sahiptir. Firma, kişilerin erişim yetkilerini Yetki Prosedürüne göre tanımlar ve uygunluğunu takip eder.
Tüm kullanıcılar cihazlarında, BGYS (Bilgi Güvenliği Yönetim Sistemi) YT (Yönetim Temsilcisi)’nin belirlediği Anti virüs Programlarını sistemlerinde bulundurmak, güncellemelerini yapmakla yükümlüdürler. Kullanıcı kendi kararı ile anti virüs programını değiştiremez ve kaldıramaz.
Kuruluş dışındaki cihazların güvenliğinden kullanıcı ve varlık sahibi birincil olarak sorumludur.
Bilgi teknolojilerinde bulunan kritik bilgilere yetkisiz kişilerin erişimini engellemek için gerekli erişim hakları tanımlanmıştır.
Şifreleri güvenli bir şekilde saklanır ve hesaplara ait bilgiler başka kimselerle paylaşılamaz.
Bütün desktop ve notebook’lar otomatik olarak 15 dakika içerisinde şifreli ekran korumasına geçer.
Notebook’lar güvenlik açıklarına karşı daha dikkatle korunmaktadır. İşletim sistemi şifreleri aktif hale getirilmiştir. Sadece gerekli olan bilgiler bu cihazlar üzerinde saklanmaktadır.
Notebook’ların çalınması/kaybolması durumunda, durum fark edildiğinde en geç 15 dakika içinde BİLGİ İŞLEM sorumlusuna veya BGYS Yönetim Temsilcisine haber verilmesi zorunludur.
Bütün cep telefonu ve PDA (Personal Digital Assistant) cihazları Firmanın ağı ile senkronize olsun veya olmasın şifreleri aktif haldedir.
Kullanılmadığı durumlarda kablosuz erişim (Kızılötesi, Bluetooth, vs.) özellikleri aktif halde tutulmamaktadır ve mümkün olduğu kadar anti virüs programları ile yeni nesil virüslere karşı korunmaktadır. Firmanin ağına bağlı bütün bilgisayarlar düzenli olarak güncel anti virüs yazılımı ile taranmaktadır.
Çalışanlar bilinmeyen kimselerden gelen dosyaları açarken çok dikkatli davranmaktadırlar. Çünkü bu postalar virus, e-mail bombaları ve Truva atı gibi zararlı kodları içerebilirler.
Bütün kullanıcılar ağın kaynaklarının verimli kullanımı konusunda dikkatli davranmaktadırlar.
E-posta ile gönderilen büyük dosyaların sadece ilgili kullanıcılara gönderildiğinden emin olurlar ve gerekirse dosyaları sıkıştırmaktadırlar (zip, rar vs.).
Bütün kullanıcılar kendi bilgisayar sisteminin güvenliğinden sorumludur. Bu bilgisayarlardan kaynaklanabilecek Firmaya veya kişiye yönelik saldırılardan (örnek, elektronik bankacılık vs.) sistemin sahibi sorumludur.
Genel olarak aşağıdaki eylemler yasaklanmıştır. Sistem yöneticileri bu kapsamın dışında olabilir (örnek, BİLGİ TEKNOLOJİLERİ sorumlusu sisteme zarar vermeye çalışan bir makinenin ağ bağlantısını kesebilir). Herhangi bir kullanıcı Firmanın kaynaklarını kullanarak hiçbir şart altında herhangi bir yasadışı bir aktivitede bulunamaz.
Çalışanlar, sunucu üzerinde sadece yetkili oldukları alanlara giriş yapabilirler. Yetkileri olmayan alana parola ile girmeye çalıştıklarında 3 kez yanlış parola girilmesi sonucu kullanıcı kilitlenir ve giriş yapamaz. Açılması için BİLGİ TEKNOLOJİLERİ sorumlusundan ve/veya ilgili BGYS Yönetim Temsilcisi’ den onay almak zorundadırlar.
Aşağıdaki aktiviteler hiçbir istisna olmadan kesinlikle yasaklanmıştır:
Kurum dışından web posta sistemini güvenliğinden emin olunmayan bir bilgisayardan kullanmak.
İstenilmeyen e-posta mesajlarının iletilmesi. Bunlar karşı tarafın özellikle istemediği reklam mesajlarını içeren mailler (spam mail) olabilir.
E-posta veya telefon vasıtası ile taciz etmek.
E-posta başlık bilgilerini yetkisiz kullanmak veya değiştirmek. Zincir e-postaları oluşturmak veya iletmek.
İş ile alakalı olmayan mesajları birçok haber gruplarına iletmek.
Firma bünyesinde, mobil cihazların kablosuz ağlara dâhil olması belirlenmiş yetki seviyelerine göre sınırlandırılmıştır. BGYS yönetim temsilcisinin izin ve onayı olmadan hiçbir cihaz kablosuz ağlara bağlanamaz.
Firma adına alınacak olan mobil cihazlar ve taşınabilir ortamlar kullanım şekline ilişkin tavsiye edilen adımlar:
Taşınabilir ortam kullanım dışı olduğunda, atılabiliyorsa format atılır, kırılarak elektronik atık kutusunda biriktirilir, BİLGİ TEKNOLOJİLERİ sorumlusu tarafından ilgili birime verilir.
Bilgi içeren ortam, bir diğer ortama sadece yetkisi olan personel aktarabilir, taşınabilir ortamlar zimmet formu (tutanağı) ile teslim edilir zimmet formu (iade tutanağı) ile iade alınır. Ortamın teslim edildiği kişi bilgi koruma (gizlilik) taahhütnamesi imzalar.
Ortam aktarımı sırasında, virüs bulaşmasına karşı aktarılacak ortam önce kontrol edilir. Bağlantı esnasında takıp çıkarırken birebir eşleşmesine özen gösterilmesi eşleşmiyorsa zorlanmaması, çıkartırken de güvenli çıkartılması gerekmektedir.
Aşırı sıcak ortamlarda ve kamuya açık alanlarda aktarım yapılması uygun değildir.
Firma içinde kullanılan tüm PC, laptop, server ve akıllı telefonlar, internet üzerinden zaman güncellemeleri ve saat senkronizasyonunu otomatik olarak yapar.
Şirket içerisinde herhangi bir bilginin değişimi ve nakli işleminde mutlaka Bilgi Transferi Prosedüründen yararlanılmalıdır.
Varlık ve Veri envanterine göre gizlilik açısından çok yüksek değerde belirlenmiş bilgiler veya bilginin bulunduğu teçhizatlar nakil edilmemelidir.
Bir bilginin nakli ve değişimi esnasında mutlaka sahibi ve BGYS ve KVKK Yöneticisi onayı alınmalıdır.
Kişisel bilgiler mümkünse nakli veya değişim yapılamamalı, yapılması halinde ise gizli olan veriler silinerek imha edilerek veya anonimleştirilerek verilmelidir. Gizli bilgiler kredi kartı, kişi özlük bilgileri gibi kişisel bilgiler içeren veya şirket için kritik olan tüm bilgileri içermektedir.
Bilgi değişimi dış bir firma ile yapılacaksa mutlaka o firma ile gizlilik anlaşmaları imzalanmalıdır. Bilgi değişimi ve nakli esnasında mutlaka bilginin bulunduğu fiziksel ortamın güvenli sağlanmalıdır.
Kargo çok kritik bilgiler için kullanılmamalıdır.
Bilginin değişimi ve nakli durumlarında bilgi eğer bir teçhizat üzerinde duruyor ise mutlaka gerekli önlemlerin alındığında emin olunduğunda yapılmalıdır.
Değişim ve nakil için kullanılan teçhizat ve içerindeki bilgi, teçhizat yok etme veya gereksiz bilgi yok etme imha prosedürlerine göre yok edilmelidir.
Prosedüre göre bilgi değişim veya nakli yapılan tüm kritik bilgiler mutlaka kayıt altına alınmalıdır. Çok gizli bilgiler şirketin kendi kuryeleri tarafından gönderilmelidir.
Gizli veya kritik bilgi dijital ortamda gönderilecekse (USB Disk, CD-DVD vb.) mutlaka kapalı zarfa konmalı ve zarf yapıştırıldıktan sonra zarfın yapıştırılma yerinden imza ve mühür kullanılmalıdır.
Yapılan tüm nakiller de mutlaka kayıt altına alınmalıdır.
Bilginin bulunduğu fiziksel ortam eğer bilgisayar ise mutlaka kutuya konmalı ve zarar görmüyecek şekilde paketlenmeli ve o şekilde gönderilmelidir. Mümkün ve gerekli olan durumlarda nakli kurum personeli yapmalıdır.
Şirket içerisinde elektronik mesajlaşma Microsoft Office uygulamaları kullanılarak yapılmaktadır.
Firma içerisinde kullanılan ana makinadaki İşletim Sisteminde tüm bilgisayarların kullanıcı tanımlarının ve erişim yetkilerinin belirlendiği aktif dizin oluşturulmuştur.
Kullanıcı yetkilendirilmeleri kişi bazında yapılmıştır.
Tanımlanan kullanıcıların donanım erişimleri (usb, cd-writer, cd-rom vb.) yasaklanmıştır.
Aktif dizine bağlanan kullanıcı parolaları “Parola Oluşturma ve Kullanım Prosedürü” ne göre verilmektedir.
Her personel kullanıcı şifresi ile sisteme girebilmektedir. Yetkilendirme sadece BT ekibi tarafından yapılmaktadır.
Erişim gereksinimi artık kalmamış kullanıcılar için “Personel Yönetmeliği”ne göre hareket edilir.
Sistemden de bu personelin erişim şifresi silinir.
Ağ üzerinde aktif dizin kullanıcıları için “x” sürücüsü oluşturulmuştur. “x” sürücüsü üzerindeki birimler ve kullanıcılara göre yetkilendirilmiştir.
Hiçbir personelin dosya silme yetkisi bulunmamaktadır. Silme işlemi sadece BT ekibi tarafından yapılmaktadır.
“x” sürücüsü üzerinde iso, iso formları, vb. ortak kullanıma açık dizinler oluşturulmuştur. Bu dizinlere erişim açıktır.
Paylaşımlar sistem yöneticisi tarafından belirlenmektedir.
Yazılım dizinine sadece yazılım grubuna ait üye kullanıcıların dosya oluşturma, ekleme, değiştirme yetkisi bulunmaktadır.
ISO formları dizinine tüm kullanıcılar erişebilmekte ancak sadece okuma yetkisine sahiptirler. Bilgi Güvenliği Yöneticisi dışında kullanıcıların dosya ve/veya form oluşturma, ekleme, değiştirme yetkisi bulunmamaktadır. Bu şekildeki istekleri var ise Kalite Güvence Müdürlüğü birimine haber verilir.
İso dizinine sadece Bilgi Güvenliği Yöneticisi kullanıcılarının dosya oluşturma, ekleme, değiştirme yetkisi bulunmaktadır. Silme yetkileri yoktur.
Ağ bağlantıları için kullanıcı paroları “Parola Oluşturma ve Kullanım Prosedürü” ne göre verilmektedir.
İşletim Sistemine sadece aktif dizin kullanıcıları erişebilir. Bu kullanıcılar dışındaki kişilerin erişimi engellenmiştir.
Tüm kullanıcılar kendi kişisel kullanımları için benzersiz bir kimliğe sahiptirler. Kullanıcı tanımlamaları ve yetkilendirmeleri yapılmıştır.
Sistemin üzerine yazabilme yeteneği olabilecek yardımcı sistem programlarının kullanımı yasaklanmıştır.
Kullanıcıların bağlantı süresinde bir kısıtlama yapılmamıştır.
Oturum açma işlemleri yetkisiz erişim olasılığını asgari düzeye indirecek şekilde düzenlenmiştir.
Sistem ve uygulamaya ilişkin olarak yetkisiz kullanıcıya yardımcı olabilecek bilgiler oturuma giriş başarıyla tamamlanana kadar gizlenmiştir.
Oturuma giriş sadece tüm girdi verilerinin doğrulanmasından sonra sağlanmıştır.
Bir hata durumu varsa sistem verinin hangi kısmının doğru veya yanlış olduğu bilgisini gizlenmiştir. Başarısız giriş denemeleri kaydedilmelidir.
Ağ üstünden şifrenin açık olarak gönderilmemesi sağlanmalıdır.
Firmamızın müşterilerimize erişimi bulunmamaktadır.
Dışarıdan bağlanan kişiler sadece VPN Bağlantısı ile sağlanmaktadır. Güvenliksiz bağlantı yasaklanmıştır.
Şirket bünyesinde bulunan elektronik posta sunucusuna, mobil telefonlar, PDA veya internet erişimi olan herhangi bir bilgisayar üzerinden erişim sağlanabilmektedir. Erişim için aktif dizinde kullanıcı hesabı ve yetkisi olmalıdır.
Şirketimizin uzaktan erişimi bulunmaktadır. Erişim için aktif dizinde kullanıcı hesabı ve yetkisi olmalıdır.
Şirket dışından erişim şirket çalışanları ve gizlilik anlaşması imzalanmış tedarikçiler için verilmiştir.
VPN uygulaması kullanımı, VPN Kullanımı Esaslarına göre takip edilebilir.
Sistem ve uygulamanın kontrollerini geçersiz kılma kabiliyetine sahip destek programların kullanımı yasaktır.
Şirket bünyesindeki bilgisayarlarda kurulu olan programlar periyodik olarak BT Departmanı tarafından göre kontrol edilir.
DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ bünyesinde çalışan yazılım personeli hariç hiçbir personel kaynak koduna erişemez.
VPN kurulum DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ envanterine kayıtlı cihaz üzerinden yapılmalıdır.
VPN kurulum mutlaka DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ sınırları dışında yapılmalıdır.
SSL VPN bağlantısı ile ilgili esaslar aşağıdaki gibi yapılır,
DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ binalarının fiziksel olarak korunması, farklı koruma mekanizmaları ile donatılması temin edilmiştir.
Tesis içinde kişilerin erişim yetkisi olan alanlar fiziksel yetki alanlarına gore belirlenmiştir.
Sistem dolapları elektrik kesintilerine ve voltaj değişkenliklerine karşı korunmalı, yangın ve benzer felaketlere karşı koruma altına alınmıştır.
Fotokopi, yazıcı vs türü cihazlar mesai saatleri dışında kullanıma kapatılmaktadır.
Çalışma alanlarının kullanılmadıkları zamanlarda kilitli ve kontrol altında tutulması temin edilmiştir. Sistem odalarına, Bilgi Teknolojileri Sorumlusu haricindeki personele girişi yasaklanmıştır.
Fiziki güvenliği sağlamak amacı ile cihaz kullanıcıların yapması gerekenler Temiz Masa ve Ekran Prosedür’ünde tanımlanmıştır.
Yangın, kabloların kırılması ve diğer fiziksel açıklara karşı Risk Analiz Planında belirtilmiş risklere uygun Düzeltici ve Önleyici Faaliyetler gerçekleştirilmektedir.
Kablolama, diğer fiziksel açıklar için yıllık olarak Penetrasyon testi yaptırılmakta ve fiziksel ve diğer açıklar tesbit edilmekte ve Risk Analiz planında tekrar değerlendirilmektedir.
İç Denetim Esasları genel anlamda 5 ana denetim alanına ayrılır.
Dış Çevre Denetimleri: Genel Olarak sistemin bulunduğu ortamın, Bilgi İşlem Sistem Odasının denetimini içerir.
Donanımsal Denetimler: Sistemlerin içerisindeki parçaların (RAM, Hard Disk, Ekran Kartı), kapalı kutu donanımların (Firewall, Switch) ve genel kablolama sisteminin denetimini içerir.
Yazılımsal Denetimler: Sistem içerisinde bulunan tüm yazılımların denetimini içerir.
Sunucu Bazlı Denetimler: Sunucunun kurumdaki işlevine göre yapılan denetimleri içerir. (DC, FileServer, WebServer)
Ağ Güvenliği Denetimleri: Dış Network ve İç Network Güvenliğini içerir.
Sistem odasının giriş çıkışlarının sorunsuz yapıldığı, kart sisteminin sorunsuz çalıştığı ve giriş kapısında herhangi bir sorunun olmadığı denetlenir.
Sistem odasında bulunan güvenlik kameralarının düzenli çalıştığı ve açılarının doğru noktalara ayarlı olduğu, giriş ve çıkışların görülebildiği, güvenlik kayıtlarının düzenli şekilde tutulup tutulmadığı denetlenir.
Sistem odasının sıcaklığı ve nemi uygun düzeyde oldukları denetlenir. Odadaki sıcaklık ve nem ölçer sensörlerinin düzenli çalıştığı denetlenir.
Duman sensörünün üzerinde bulunan led lerin yanıp söndüğü ve sistemde bulunan gazın miktarının yeterli olduğu, yangın söndürme tüplerinin uygun yerlerde olduğu, kontrollerinin yapıldığı denetlenir.
Su basmalarına karşı kurulan su sensörlerinin düzenli çalıştığı denetlenir. Havalandırma sistemi kontrol edilip, sistemde tıkanıklık olup olmadığı denetlenir. Sunucuların bulunduğu kabinlerin güvenliğinin üst düzeyde olduğu denetlenir.
Sunucuların bulunduğu yerde hava akımının sunucular için optimum düzeyde olması denetlenir.
Sistem odasında bulunan klimanın düzenli çalıştığı ve herhangi bir buzlanma ya da dışarıya su akıtması yapmadığı denetlenir.
Sistem odasından kabloların ortamda güvenli tehdit edecek şekilde olup olmadıkları denetlenir. Sistem odasının pencerelerinin güvenliği denetlenir.
Sistem odasındaki herhangi bir yerinde, kapıda, pencerelerde, kabinde ya da sunucuda herhangi bir korezyon ya da paslanma olup olmadığı denetlenir.
Şirket içerisinde veri bulunduran herhangi bir sunucu barındırılmamaktadır. Şirketin tüm verileri Cloud üzerinde tutulmaktadır. Şirket içinde olan sistem odasında sadece network cihazları ve kamera kayıt üniteleri bulunmaktadır.
UPS lerin düzgün çalıştıkları kontrol edilip, şebeke elektriği kesilerek UPS testleri yapılır.
Sunucularda kullanılan tüm yazılımların lisanları denetlenir. Sunucularda kullanılan tüm yazılımların güncellikleri denetlenir Sunuculardaki İşletim Sistemlerinin güncellemeleri, yamaları denetlenir. Özel yazılımlar üzerindeki erişme yetkileri denetlenir.
Güncelliğini yitirmiş ya da kullanılmayan yazılımlar sistemden silinir.
Group Policy yapısı gözden geçirilir, gerekli görülen değişiklikler varsa yapılır. Fazla yetki verilen kullanıcılar ya da Pc ler varsa yetkileri ellerinde alınır.
DNS yapısı gözden geçirilir, kullanılmayan PC isimleri ya da kullanıcı isimleri varsa silinir. Bir PC ismine birden çok ip bağlanmış olabilir. Kullanılmayan ipler, PC ismi entegrasyonundan çıkarılır.
DHCP yapısı denetlenir. Rezerve olan ip blokları denetlenir. Kullanılmayan ip bloklarının rezervasyonu silinir.
Active Directory’nin, Group Policylerin, DNS ve DHCP yapılarının yedekleri alınır.
Mail sistemi olarak Microsoft O365 alt yapısı kullanılmaktadır. Tüm mailler Cloud üzerinde Microsoftun güvencesi altında tutulmaktadır.
Dosya Sunucusunda kullanılmayan paylaşım dosyaları (ör: program kurulumları) silinir.
Dosya Sunucusundaki tüm dosyaların FULL Back-up’ı alınır.
Proxy için disk üzerinde ayrılan alan kontrol edilip, gereksiz şekilde tutulan adresler silinir. Group Policy üzerinde proxy tanımlarının doğru yapılıp yapılmadığı kontrol edilir.
Firewall’ın gerekli güncellemeleri yapılmalıdır. Webfilter’ın gerekli güncellemeleri yapılmalıdır Anti-Virus’ün gerekli güncellemeleri yapılmalıdır.
Firewallın kuralları gözden geçirilmeli ve görülen açıklıklar kapatılmalıdır.
Firewall üzerinde açık olan portlar kontrol edilmeli ve güvenlik açığı yaratacak olan portlar kapatılmalıdır.
IIS Server’da Windows doğrulaması kontrol edilmeli, misafir girişleri yasaklanmalıdır
IIS dosyalarının bulunduğu klasördeki kullanıcı yetkileri gözden geçirilmeli ve gereksiz yetkiler kısıtlandırılmalıdır.
FTP kullanımı açıksa yetkiler kontrol edilmelidir.
Windows’un güvenlik yamaları denetlenmeli, yeni yama varsa yüklenmelidir.
Veritabanı programının güncelliği denetlenmeli.
Veritabanı sunucusunda bulunan hard diskteki boş alan kontrol edilmeli, gerekirse hard disk takviyesi yapılmalıdır.
Veritabanı programınının kullandığı Memory miktarı kontrol edilmeli, kullanılan memory üst düzeydeyse memory takviyesine gidilmeli ya da miktar sınırlandırılmalıdır.
Firewallar, Webfilter ve Antivirüs’ün güncellemeleri denetlenmelidir.
Firewall kuralları gözden geçirilmeli, kurallarda güvenliği tehdit edecek açıklar varsa, kurallar düzenlenmelidir.
Firewalldaki açık olan portlar ve uygulamalar denetlenmeli, güvenliği tehdit eden portlar kapatılmalı, uygulamaların ise kullanımı engellenmelidir.
Webfilterların databaseleri Firewall lisansı ile her gün otomatik olarak güncellenmelidir.
Switch ve Router konfigurasyonları denetlenmelidir. Güvenlik açıkları varsa giderilmelidir. Kurumdaki DMZ yapısı denetlenmeli, DMZ’deki gereksiz sunucular DMZ’ten çıkartılmalıdır. VPN erişimleri denetlenmelidir.
İç denetim; yapılan yatırımın sürekliliğini sağlamayı, Uygunsuzluklardan doğan açıkların yol açabileceği zararları önlemeyi, Uygunsuzluklardan doğan açıkların yol açabileceği zararları önlemeyi amaçlamalıdır.
İç denetim Bilgi Güvenliği Yönetim Sisteminin kapsamını içermelidir, Kapsam dahilindeki tüm servislerden rastgele seçilmiş en az bir örneklem ile iç denetim yapılmalıdır.
İç denetimi yapan kişi Bilgi Güvenliği Yönetim Sisteminin Planlama ve Uygulama kısmında çalışmayan bir personel olmalıdır.
İç denetimi yapacak kişi Bilgi Güvenliği Yönetim Sistemi, denetleme ve risk yönetimi konusunda bilgili olmalıdır.
Denetçi tarafsız davranabilmelidir.
Önceki denetimlerin çıktıları incelenmelidir.
Kontrol hedeflerinin, kontrollerin, süreçlerin ihtiyaçlara uygunluğunun araştırılmalıdır. Uygunsuzluklar ve nedenleri belirlenmelidir.
Düzeltici, önleyici faaliyetleri belirlenmelidir.
Sonuç raporu ve sunumu yapılmalı, iç denetleme sonucunda yüksek risk içeren veya tüm kurumu etkileyen sonuçlar üst yönetimle paylaşılmalıdır.
İç denetim esasları planlanan aralıklar ile gerçekleştirilmelidir.
Evrak imha cihazında parçalanarak yok edilir.
Önce içerisindeki bilginin üzerine 0 blokları yazılarak silinir. Sonra kırılarak ve tekrar kullanılamayacak halde parçalara ayrılarak yok edilir.
Aşağıdaki yöntemlerden biri kullanılır. Seçilen yöntem hangisi olursa olsun veri güvenliğinin sağlanması amacıyla, donanımın üzerinde bulunan ve içinde kalıcı olarak veri depolanması mümkün bütün alanlar verinin tekrar elde edilmesini olanaksız kılacak bir şekilde silinir. Eğer şirket için ekonomik bir değer oluşturmuyorsa; parçalarına ayrılarak depolanır ve ilerleyen dönemlerde kullanılabilir.
Disk üzerindeki verinin silinmesi işlemi için ücretsiz DBAN (Darik’s Boot & Nuke) yazılımı kullanılır.
ISO imaj olarak bulunan yazılım CD üzerine yazıldıktan sonra cihaz boot edilerek program çalıştırılır.
Silme algoritması olarak Amerikan Savunma Bakanlığı tarafından kullanılan DoDshort algoritması kullanılır.
Silme işleminin başarılı olarak tamamlandığının görülmesi gerekir.
 |
Kurumun bilgisayar ağı, erişim ve içerik denetimi yapan ağ güvenlik duvarları üzerinden internete çıkmalıdır. Ağ güvenlik duvarı, kurumun ağı ile dış ağlar arasında bir geçit görevi yapan ve internet bağlantısında kurumun karşılaşabileceği sorunları önlemek üzere tasarlanan cihazlardır.
Kurumun politikaları doğrultusunda içerik filtreleme sistemleri kullanılmalıdır. İstenilmeyen siteler (pornografi, oyun, kumar, şiddet içeren vs.) yasaklanmalıdır.
Kurumun ihtiyacı doğrultusunda saldırı tespit ve önleme sistemleri kullanılmalıdır.
Kurumun ihtiyacı ve olanakları doğrultusunda antivirüs sunucuları kullanılmalıdır. İnternete giden ve gelen bütün trafik virüslere karşı taranmalıdır.
Kullanıcıların internet erişimlerinde firewall, antivirüs, içerik kontrol vs. güvenlik kriterleri hayata geçirilmelidir.
Ancak yetkilendirilmiş kişiler internete çıkarken, kurumun normal kullanıcılarının bulunduğu ağdan farklı bir ağda olmak kaydıyla, bütün servisleri kullanma hakkına sahiptir.
Çalışma saatleri içerisinde iş ile ilgili olmayan sitelerde gezinilmemelidir.
İş ile ilgili olmayan (müzik, video dosyaları) dosyalar gönderilmemeli ve indirilmemelidir. Bu konuda gerekli önlemler alınmalıdır.
Üçüncü şahısların internet erişimleri için misafir ağı erişimi verilmelidir.
Kurumun bilgisayar ağına bağlanan bütün erişim cihazları ve ağ arabirim kartları (örnek, PC Card) Bilgi Teknolojileri birimi tarafından kayıt altına alınmaktadır. Erişim cihazları periyodik olarak güvenlik testlerinden geçirilmektedir. Ancak Mac adresleri kayıtlı olan cihazlar kurumun bilgisayar ağına erişebilmektedir.
Bütün kablosuz erişim cihazları BİLGİ Teknolojileri tarafından onaylanmış cihazlardır ve bunların güvenlik ayarlarını kullanmaktadır.
Güçlü bir şifreleme ve erişim kontrol sistemi kullanılmaktadır. Bunun için Wi-Fi 6 ve sertifikalı WİFİ ağları kullanılmaktadır.
Erişim cihazlarındaki firmware'ler düzenli olarak güncellenmektedir. Bu, donanım üreticisi tarafından çıkarılan güvenlik ile ilgili yamaların uygulanmasını sağlar.
Erişim cihazları kolayca erişilebilir konumlarda değillerdir. Çünkü cihaz resetlendiğinde fabrika ayarlarına geri dönebilmekte ve güvenlik açığı oluşturmaktadır.
Cihaza erişim için güçlü bir şifre kullanılmaktadır. Erişim şifreleri varsayılan ayarlarda bırakılmamıştır.
Varsayılan SSID isimleri kullanılmamaktadır.
Erişim cihazları üzerinden gelen kullanıcılar Firewall üzerinden ağa dâhil olmaktadırlar.
Kritik noktalarda bulunan kullanıcılar VPN teknolojilerini kullanarak kurum ağına erişmektedirler.
Kullanıcılar dinamik IP, erişim cihazları statik IP adresleri kullanılmaktadır. Erişim cihazları günlük olarak devamlı bir şekilde gözlemlenmektedir.
Tüm kendi kendini denetlemeler kayda geçirilir. Raporlar denetleme sırasında edinilen tüm gözlemleri ve eğer mümkünse düzeltici tedbirlere ilişkin önerileri de kapsar. Ayrıca daha sonra gerçekleşen uygulamalara ilişkin açıklamalar da kaydedilir.
Kendi kendini denetleme faaliyeti etkin ve verimli bir şekilde yürütülür. Kendi kendini denetleme faaliyetinin etkinliği sürekli olarak izlenir.
Kendi kendini denetleme faaliyetine değer katma ve kurum faaliyetlerinin geliştirilmesi konularında yardımcı olur.
Sürekli izleme ve dönemsel değerlendirmeleri kapsar.
Danışmanlık hizmetleri de dahil kendi kendini denetleme, tüm yönlerini kapsayan Kalite Güvence ve Geliştirme Programının hazırlanmasından ve uygulanmasından Kalite Güvence Sorumlusu sorumludur.
Sürekli izleme yapılır.
Her bir görev için planlama, saha çalışmaları ve raporlamaya ilişkin standartlara ait denetim politika ve prosedürler oluşturulur.
Bireysel denetimler sonrası denetlenen birimden alınan sonuçlar değerlendirilir. Belirlenmiş performans kriterlerine ait sonuçlar analiz edilir.
Denetim faaliyetinin değerlendirmesi ve kişilerin ihtiyaçlarını etkin ve verimli bir şekilde karşılanma düzeyinin belirlenmesi amacıyla yapılır.
Kendi kendini denetleme sürekli mesleki gelişim sürecine yardımcı olmalıdır. Kendi kendini denetleme meslek ahlak kurallarına uygun olarak yapılır.
Sürekli iyileşmenin sağlanabilmesi için, hatalar değerlendirilir ve gerekli olması halinde politika ve prosedürlerde değişiklikler yapılır.
Kendi kendini denetleme mevcut ihtiyaçları ve hedefleri, ayrıca kurumun stratejisini ve amaçlarını dikkate alır.
Kendi kendini denetleme faaliyetinin belirlenmiş ortalama seviyenin altında performans göstermesinin yaratacağı risk değerlendirilir.
Kendi kendini denetleme faaliyeti işyeri standartların özüne ve amacına uygunluğu hakkında fikir vermesi sağlanır.
Kendi kendini denetleme kurum faaliyetlerine katma değer ve iyileştirme sağlayıp sağlamadığı tespit edilecek şekilde yürütülür.
Bu prosedür bütün elektronik veriyi kapsar ve verinin depolanması / transferi için kullanımı kabul edilen cihazlar ve üzerlerinde taşınan verinin hassasiyetine veya gizliliğine bakılmaksızın bu cihazlarda şifreleme yazılımının nasıl kullanılacağını açıklar.
Bu prosedür aşağıdaki cihaz ve uygulamaların şifrelenmesini kapsar:
Bu prosedür gereğince uygun şekilde şifrelenmemiş taşınabilir bilgisayarlara veya taşınabilir medya cihazlarına (harddisk, usb disk, hafıza kartları vs) DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ i’ne ait bilgi varlıkları kopyalanmamalıdır.
Kurum içerisinde e-posta ya da taşınabilir medya ile gönderilecek kritik ve hassas veriler için şifreleme yapılarak gönderilmektedir.
Kişisel depolama medyaları ve cihazlar DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ verilerinin taşınması için zorunlu kalmadıkça kullanılmamalıdır.
Mobil telefonlar, kameralar, tabletler gibi USB üzerinden veri kopyalanabilen cihazlar DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ bilgi varlıklarının taşınması için kullanılamaz. İş gereği kullanılması gerektiği durumlarda uygun şifreleme ve kullanım yöntemleri için BT departmanına başvurulmalıdır.
Yetki verilmiş bir taşınabilir depolama cihazı (USB bellek vb.) kullanılırken Parola Oluşturma Ve Kullanım Prosedürü ile uyumlu bir şifre kullanılarak veriler şifrelenmelidir. Çalışanın şirketten ayrılması durumunda da şifreli verilere erişim sağlanabilmesi için kullanılan şifre departman yöneticisine bildirilmelidir.
Tüm CD/DVD/Bluray cihazlar salt-okunur olarak kullanılabilecek ve bu kullanım şekli GroupPolicy kullanılarak tüm etki alanında (domain) uygulanacaktır. CD/DVD/Bluray’e yazma yapılmasını gerektiren iş fonksiyonları (yedekleme, müşteriye dosya gönderimi vb.) için istisnai olarak bu yetki BG Yöneticisi yazılı onayı ile açılabilir. Ancak yazılacak veriler, Parola Oluşturma ve Kullanım Prosedürü ile uyumlu bir şifre kullanılarak, Winrar yazılımı ile şifrelenmiş olarak kopyalanmalıdır.
Taşınabilir hard disklerin kullanılması gerekiyorsa, DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “tarafından onaylanmış ve şifreleme destekleyen diskler tercih edilmeli veya bu disklere kopyalanan tüm veriler Parola Oluşturma ve Kullanım Prosedürü ile uyumlu bir şifre kullanılarak, şifrelenmelidir.
Şifreleme gerektiren bilgisayarlarda diskler Microsoft Bitlocker ile şifrelenir.
DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ tüm elektronik verilerin güvenli bir şekilde depolanması, taşınması ve erişilmesi için çalışanlarına uygun depolama mekanizmaları, prosedürleri, cihazlar ve şifreleme yazılımı sağlar. Şifreleme prosedürsının uygulanıp uygulanmadığının kontrolü için taşınabilir cihazlar ve medyalar rastgele zamanlarda denetlenebilir.
Taşınabilir depolama cihazlarının ve taşınabilir medyanın kullanımı
Taşınabilir depolama cihazlarının ve taşınabilir medyanın kullanımı sırasında kullanıcılar aşağıdakileri sağlamaktan sorumludur:
Bu prosedürün ihlali durumunda Bilgi Güvenliği İhlal Olayı olarak raporlanır ve sorumlular hakkında DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ Disiplin Yönetmeliği uygulanır.
İhlalin DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ ile Bilgi Güvenliği Sözleşmesi imzalamış tedarikçiler veya üçüncü partiler tarafından yapılması durumunda, söz konusu bilgi varlıklarına erişim durdurulur. Böyle bir durumda DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ mevcut sözleşmeyi sonlandırma ve gerekiyorsa yasal işlem başlatma hakkını saklı tutar.
Bölüm yöneticileri kendilerine bağlı çalışan kullanıcıların ile üçüncü parti kullanıcıların Şirket içerisinde uygulanmakta olan politika ve prosedürler uyarınca hareket etmelerinin takip edilmesi ve yönetiminden sorumludur.
Şirket bilgisayar sisteminin ve sistemde yer alan tüm varlıkların (donanımlar, yazılımlar ve sistemdeki tüm bilgiler) kullanımı sadece Şirket hizmet alanı ve ilgili amaçlar doğrultusunda olmalıdır. Bilişim kaynakları sadece Şirket için yapılan çalışmalar ve Şirketin onayladığı alanlarda kullanılabilir.
Şirket içerisinden yapılan Internet erişimlerinde Şirket güvenliğini tehlikeye sokacak veya Türkiye Cumhuriyeti yasalarında yasadışı kabul edilen sitelere girilmemeye özen göstermek kullanıcı sorumluluğundadır.
Her kullanıcı bilgisayar sisteminde kayıtlı bilginin güvenlik ve gizliliğini sağlayan araçları kullanmakla sorumludur.
Sistemde bir güvenlik eksiği görüldüğünde bu durumun bildirilmesinden kullanıcı sorumludur.
Kullanıcılar şirket tarafından yayınlanacak olan güvenlik esaslarını uygulamaktan sorumludurlar. Kullanıcılar bilgisayarlarında aşağıda belirtilen yazılımların kullanımını sağlamaktan sorumludurlar:
Bilgisayar sistemi aşağıdaki durumlar ve benzeri işler için kullanılamaz:
Kullanıcılar Şirket tarafından kendilerine sağlanmış olan program lisans bilgilerini sadece Şirket faaliyetleri doğrultusunda kullanmakla sorumludurlar.
Şirket tarafından kullanıcılara sağlanmış olan tüm varlıkların gizliliğinin korunması için gerekli özenin gösterilmesi kullanıcı sorumluluğundadır.
USB Disk, CD-ROM gibi taşınılabilir cihazlarda Şirket ve proje bilgilerinin taşınması sırasında bilginin taşıma işlemi bittikten sonra ilgili yerden silinmesi ve taşıma sırasında bu cihazların kimseye verilmemesi kullanıcı sorumluluğundadır.
Kullanıcılar sistemleri kullanırken kullandıkları hesap bilgilerini kimseyle paylaşmamalıdır. İlgili kullanıcı hesabı ile yapılan tüm işlemlerin sorumluluğu hesap sahibi kullanıcıya aittir.
Kullanıcılar sorumlu oldukları Şirket varlıklarını başkaları ile paylaşamaz. Gerekli özenin gösterilmesi ve yetkisiz erişime karşı dikkatli olunması kullanıcı sorumluluğundadır.
Kullanıcı, Şirkette çalıştığı süre boyunca ilgili iş sorumluluğu nedeniyle ürettiği varlıkların, kendisine işini gerçekleştirmek için sağlanmış olan varlıkların sahipliğinin Şirket olduğunu bilerek hareket etme sorumluluğundadır.
Şirket içerisinden yapılan tüm ağ ve bilgi erişimleri, Şirket varlıkların kullanımı Şirket tarafından takip edilebilir. 5651 numaralı yasa nedeniyle Şirketler ilgili erişim bilgilerini tutmak ve devletin ilgili mercileri tarafından istenmesi durumunda bu bilgiye sağlamakla yükümlüdür. Bu nedenden dolayı ilgili izleme sistemlerinde bir aksaklık olduğunun gözlemlenmesi durumunda Şirket yetkilisine bildirilmesi kullanıcı sorumluluğundadır.
İşten ayrılma sırasında kullanıcılar Şirkette çalışmakta oldukları süre boyunca kullanım için kendisine verilmiş olan ve kendisinin Şirkette çalıştığı süre boyunca ürettiği tüm varlıkları Şirkete teslim eder.
Kullanıcılar Şirkette çalışmakta oldukları süre boyunca kullanım için kendisine verilmiş olan ve kendisinin Şirkette çalıştığı süre boyunca ürettiği tüm varlıkları Şirket dışında kullanamaz.
Yukarıda tanımlanmış olan esaslara uyulmadığı takdirde Şirket ilgili kullanıcının iş sözleşmesini tek taraflı olarak feshedebilir.
Notebook, akıllı telefon, tablet bilgisayar gibi mobil cihazlar şirket için önemli araçlardır ve “iş amaçlı olarak bu cihazların kullanımını desteklemektedir.
Ancak gerekli güvenlik yazılımları ve prosedürleri uygulanmadığı takdirde, mobil cihazlar aynı zamanda veri güvenliği açısından bir risk oluşturmakta ve şirket verilerine ve BT altyapısına izinsiz erişime araç olabilmektedir.
DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ müşterilerini, fikri mülkiyetini ve itibarını koruma altına almak için bilgi varlıklarını korumakla yükümlüdür. Bu doküman, mobil cihazların ve uygulamaların güvenli kullanımını sağlamak için gereksinimleri, uyulması gereken ilke, uygulama ve politikaları içermektedir.
Şirket ağına, şirket verilerine ve sistemlerine erişen tüm mobil cihazlar, ister DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ envanterine kayıtlı isterse çalışanların şahsına ait olsun, bu güvenlik politikası kapsamında yönetilir.
Çok maliyetli, karmaşık veya diğer iş gereksinimlerini olumsuz etkilemesi dolayısıyla bu politikadan muaf tutulması gereken bir durum oluştuğunda, Bilgi Güvenliği Yönetimi tarafından bir risk analizi yapılarak durum ona göre değerlendirilmelidir.
Çalışanların şirket verilerine ulaşmak veya depolamak için kullandıkları kendilerine ait cihazların üzerinde yüklü uygulamalar da bu politikaya tabidir.
Uygulanacak politikalar 4 bölüm altında toplanmıştır:
Mobil cihazlara erişimde mutlaka parola kullanılmalıdır.
Cihazlarda kullanılacak tüm şifreler “DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “i’nin “Parola Oluşturma Ve Kullanım Prosedürü’ ne uygun olmalıdır.
Tüm kayıp/çalıntı cihazlar vakit geçirmeden Bilgi Güvenliği Yöneticisine veya BT Departmanına bildirilmelidir.
Kullanıcılar sadece şirketteki görevleri ile ilgili şirket verilerini cihazlarına yükleyebilir.
Mobil cihazınızda ne tür bilgiler sakladığı farkında olunmalı, hassas ve gizli bilgiler mümkün olduğunca mobil cihazınızda bulundurulmamalıdır.
Verilerinizin yedeklerini alın ve güncel bir kopyasını farklı bir yerde saklayınız. Kaybolması ve çalınması kolay olduğundan mobil cihazlar başıboş bırakılmamalıdır.
Şirket tarafından cihazlara yüklenen standart yazılımlar kaldırılmamalıdır ve çalışması engellenmemelidir.
Lisanssız yazılım yüklenmemelidir.
Cihazların şirket dışına çıkarılması gerektiğinde şirket kaynakları ile yapılacak çalışmalar VPN bağlantısı üzerinden sunuculara bağlantı kurularak yapılmalıdır.
Şirket tarafından notebook verilen kullanıcıların iş amaçlı notebooklarını şirket dışına çıkarması üst yönetim tarafından onaylanmıştır.
Cihaza erişim mutlaka cihazın işletim sisteminin desteklediği şifre yöntemlerinden biri (rakam, grafik, sim şifresi) ile güvenlik altına alınmalıdır.
Şirket çalışanların kendilerine ait notebookları şirkete getirmemelidir. (Üst yönetim tarafından onaylanmış kişiler hariç) Aksi bir durum söz konusu olduğunda
Tüm sistem düzeyinde şifreler (örneğin, root, enable, NT administrator, uygulama yönetim hesapları vs) en az yılda iki kez değiştirilmelidir.
Tüm kullanıcı düzeyinde şifreler (örneğin, e-posta, web, masaüstü bilgisayar, vb.) en az yılda iki kez değiştirilmelidir. Önerilen değişim aralığı her üç aydır.
Her başarılı şifre benzersiz olmalıdır. Aynı şifrenin tekrar kullanılmasına izin verilmeyecektir.
Grup üyeliği ya da "Sudo" gibi program aracılığıyla verilen sistem düzeyinde yetkilere sahip kullanıcı hesapları bu kullanıcı tarafından kullanılan tüm diğer hesaplarından benzersiz bir şifreye sahip olmalıdır.
Şifreler e-posta mesajlarına veya diğer elektronik iletişim formlarına eklenmemelidir.
Basit Ağ Yönetimi Protokolü (SNMP) kullanıldığı durumlarda, iletişim dizeleri (community string) varsayılan olarak tanımlı; “private ", “public" "system” dizelerinden farklı başka bir şey olarak tanımlanmalı, sisteme giriş için kullanılan şifreden de farklı olmalıdır. Eğer mümkünse anahtar hash (a keyed hash) kullanılması gerekir (örneğin, SNMPv2).
Tüm kullanıcı düzeyi ve sistem düzeyinde şifreler aşağıda açıklanan kurallara uymak zorundadır. I. Şifreler hiçbir zaman yazılı ya da online olarak saklanmamalıdır.
Parolalar en az 8 karakter uzunluğunda olmalıdır ve bu karakterlerin en az 3 tanesi sayılardan oluşmalıdır.
Aşağıdaki karakterlerin en az üçünü içermelidir;
Parolalar aşağıdaki şekilde oluşturulmamalıdır;
Tüm kullanıcı hesaplarına ait bir parola vardır.
Yeni kullanıcı hesaplarına ait parolaların ilk kez giriş yapılırken kullanıcı tarafından kurallara uygun olarak tanımlanması sağlanır.
Başarısız parola denemeleri üst üste 3 kere ile sınırlandırılmıştır. Üçüncü denemeden sonra şifre ve bağlı olduğu kullanıcı, kullanım dışı bırakılır. Yenilenmesi / kullanım dışılığın açılması için ilgili BİLGİ İŞLEM Sorumlusuna başvurması beklenir.
Kullanıcılar giriş yaptıkları bilgisayardan çıktıktan sonra farklı bir bilgisayardan giriş yapabilirler. Yazılan parolanın ekranda görünmemesi veya maskelenerek görünmesi sağlanır.
Kullanıcı parolaları, saklandıkları ortamlarda, geri dönüşü mümkün olmayan bir şekilde bozularak korunur (örneğin Hash), bu sayede en yetkili kişilerin bile kullanıcı parolasını görmesi engellenir.
Bilgi kaynaklarına başarılı ve başarısız erişimlerin tarih, zaman ve erişilen kaynağın detayı ile ilgili bilgilerinin kaydı tutulur.
Kullanıcıların kimlik doğrulaması yaparak oturum açtıkları sistemlerin başından ayrıldıklarında (sisteme parola ile giriş yapıldıktan sonra sistem açık bırakılması halinde) en geç 10 dakika sonra otomatik olarak kapanması (sistemin kilitlenmesi) sağlanır.
Halka açık veya paylaşılan ağlardan iletilen kimlik bilgileri güçlü şifreleme metotları ile (SSL) korunur.
Başkaları tarafından öğrenildiğinden şüphelenilen parolalar hemen değiştirilir. Kullanıcılar parolalarını 3 ay içinde kullanmamaları durumunda ilgili hesap dondurulur.
Parolalar en geç 3 ayda bir değiştirilmelidir.
Her yeni parola için, son kullanılan 3 paroladan farklı yeni bir parola kullanılmalıdır. Parolalar hiç kimse ile paylaşılmamalıdır.
Parolaların klavyeden girilmesi sırasında dikkatli olunmalı ve çevredeki kişilerin görmesine izin vermeyecek şekilde girilmelidir.
E-posta yoluyla parolaların onaylanması veya güncellenmesi istenmez, bu yönde gelen e- postalar dikkate alınmamalıdır.
Herhangi bir kullanıcının parolası bilerek veya bilmeyerek bir kişi tarafından öğrenilirse, ilgili kullanıcı uyarılmalıdır. Gerekirse zarar verme ihtimaline karşı parolanın kullanıldığı sistem yöneticisi uyarılmalıdır.
Aynı parola birden fazla kaynakta kullanılmamalıdır.
Parolalar ilave bir şifreleme metodu kullanılmadan hatırlamak amacıyla kayıt edilmemelidir (kâğıt, bilgisayardaki bir dosya, cep telefonu gibi ortamlarda saklanmamalıdır).
İnternet tarayıcılarında (internet explorer, chrome, firefox vb.) “Parolayı hatırla” seçeneğinin kişisel bilgisayarlar dışında kullanılması yasaktır, kişisel bilgisayarlarda ise bir güvenlik açığı olduğu hatırlanmalıdır.
Bütün sistemler üzerinde, kullanıcıların parolasını unutma ihtimaline karşı bir çözüm sunulmalıdır.
Bu çözüm, kullanıcıların kişisel doğrulamasını yapmak amacıyla kişilerin gizli soruları ve özlük bilgilerinden oluşan en az iki soru içermelidir.
Hiçbir kullanıcının parolası güvenlik yöneticisinin onayı olmadan diğer yetkili kişiler tarafından değiştirilmemelidir.
Bütün parola değiştirme ve güncelleme işlemleri ayrıca kayıt altına alınmalı kullanıcı, eski ve yeni parolanın bozulmuş hali, değiştiren kişi (kullanıcıdan farklıysa) değiştirme saat ve tarihi, 3’lü şifre ile korunmalıdır.
DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ kullanıcıları kendileri dışındaki kişiler tarafından görülmemesi gereken belgeleri kesinlikle masa üstünde bulundurmamaktadırlar. Gün içinde çalıştıkları belgeleri mutlaka masa başından ayrıldıklarında, masa üstünden kaldırmaktadırlar.
Kendileri veya birimleri için kritik belgeleri mutlaka kilitli çekmece veya dolaplarda bulundurmaktadırlar.
Bilgi teknolojilerindeki kullandıkları şifreleri masa üstü, ekran üstü gibi hiçbir yere yazmamaktadırlar.
Bu konuda sözlü ve yazılı olarak uyarılmaktadırlar.
Kullanıcılar bilgisayarlarında bulunan kritik dosyaları ekran üzerinde masa üstünde bırakmamaktadırlar.
Masa başından kısa ayrılmalar için dâhil ctrl+alt+delete tuşlarına (Windows + L) aynı anda basıp bilgisayarı kilitle seçeneği ile bilgisayarlarını kilitlemekteler.
Masaüstünde cd, flashdisk, dvd ve benzeri depolama cihazlarını bulundurmamaktadırlar. Yazıcılardan baskı aldıkları dokümanları uzun süre yazıcı üzerinde bırakmamaktadırlar.
Temiz masa ve ekran politikası içeriği her sene farkındalık eğitimlerinde kurum kullanıcılarına tekrarlanmaktadır.
Uygulanabilir Yasaları Tanımlanma: İlgili tüm yasal, düzenleyici ve sözleşmeden doğan gereksinimler güncel tutulmaktadır.
Fikri Mülkiyet Hakları: Fikri mülkiyet haklarına göre materyallerin kullanımı ve patentli yazılım ürünlerinin kullanımı gerçekleştirilmektedir. Sözleşmelerde ve anlaşmalarda yasal olan yazılımlar ve lisansı olan ürünler satın alınmaktadır.
Kurumsal Kayıtların Korunması: Bilgilerinin güvenliği ve Önemli kayıtların, kaybedilmeye, yok edilmeye ve sahteciliğe karşı, yasal, düzenleyici, anlaşmalarla doğan gereksinimler ve iş gereksinimleri sözleşmelerde uygun olarak korunmaktadır.
Veri Koruma ve Kişisel Bilgilerin Gizliliği: ISO 27001:2013 kapsamında veri güvenliği ve gizliliği sağlanmaktadır. Önemli dosyaların bulunduğu dolaplar kilitli olarak korunmaktadır. Personeller bilgisayar ekranını kilitleyip masadan kalkmaktadırlar.
Bilgi İşleme Olanaklarının Kötüye Kullanımını Önleme: Personel sadece yetkilerinin olduğu ortamlara kart ile giriş yapabilmektedir. Bilgisayar erişim yetkilileri kişiye özel şifreler ile bilgisayarlara bağlanmaktadırlar. Ortak paylaşım noktalarındaki kullanıcılar sadece yetkilerinin olduğu dosyalarda yetkilerinin olduğu işlemleri yapabilmektedirler.
Güvenlik Politikaları ve Standartlarla Uyum: Yöneticiler, güvenlik politikaları ve standartlarla uyumu başarmak için sorumluluk alanlarındaki tüm güvenlik prosedürlerinin doğru olarak gerçekleştirilmesini sağlamalıdırlar.
Teknik Uyum Kontrolü: Şirket yöneticileri ve birim müdürleri değişiklikleri ve yenilikleri takip ederler.
Uzaktan erişim için yetkilendirilmiş DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “i çalışanları ile sözleşmelerle sınırları belirlenmiş yazılım tedarikçileri yerel ağdan bağlanan kullanıcılar eşit sorumluluğa sahiptir.
Uzaktan erişim metotları ile kuruma bağlantılarda bilgi teknolojilerinin güvenliliğinin sağlanması için aşağıdaki Prosedürlere göz atmak gerekmektedir.
Uzaktan erişim güvenliği sıkı bir şekilde denetlenmektedir. Kontrol şifreli VPN tünel vasıtası ile sağlanmaktadır.
DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ çalışanları hiçbir şekilde kendilerinin oturum açma ve e-posta şifrelerini aile bireyleri dâhil olmak üzere hiç kimseye veremezler.
Kurumun ağına uzaktan bağlantı yetkisi verilen çalışanlar veya sözleşme sahipleri bağlantı esnasında aynı anda başka bir ağa bağlı olmadıklarından emin olmalıdırlar. Kullanıcının tamamıyla kontrolünde olan ağlarda bu kural geçerli değildir.
Standart olmayan donanımlar bilgi teknolojileri müdürü tarafından onaylanmaktadır ve erişim için gerekli güvenlik yapılandırması uygulanır.
Uzaktan erişim yöntemi ile DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ ne erişen bütün bilgisayarlar en son güncellenmiş ant virüs yazılımına sahiptirler.
Kurum ağına standart dışı erişim isteğinde bulunan organizasyon veya kişiler Bilgi Teknolojileri departmanımızdan izin almak zorundadırlar.
Uzaktan erişimde bulunan tüm yetkililer Temiz Masa Temiz Ekran Prosedürüne uymakla yükümlüdürler. Uzaktan erişimde doğacak güvenlik açıklarından sorumludurlar.
Uzaktan erişim sonrası çalışılan cihaza uzaktan erişimin kapatıldığından emin olunmalıdır.
Veri depolama sistemine erişime yetkisi olan personeller belirlenerek yetkisiz kişiler sisteme erişemezler.
Veri depolama sistemi üzerinde yapılan her bir değişiklik kayıt edilir. Veri depolama sistemi güncellemeleri düzenli olarak kontrol edilir.
Kritik ve riskli sunucuların verileri, veri depolama sisteminde tutulur.
Sunucularda bulunan veriler yerel disklerinde ve şirket veri depolama sisteminde bulunur.
Sunucuların yerel disklerinde ve şirket veri depolama sisteminde bulunan veriler Raid 0 olmayacak şekilde herhangi bir raid yapısına göre konfigüre edilir.
Dosya sunucuya atılmayan bilgililerin yedeğinden kullanıcı sorumludur. Gizliliği ve kritikliği yüksek bilgiler dosya sunucuda saklanır.
Dosya sunucu ve kişisel bilgisayarlarda depolanan veriler düzgün bir şekilde isimlendirilerek düzenlenir.
Gizliliği yüksek veriler usb bellek, cd ve disket gibi taşınabilir ortamlarda tutulmaz.
Gizliliği ve kritikliği yüksek verilerin paylaşımda olup olmadığı kontrol edilir. Paylaşıma açılması gerektiği durumlarda erişimin sınırlandırılmasına dikkat edilir.
Veri Depolama Sistemi Kuralları her yıl tekrar gözden geçirilerek düzeltmeler yapılır.
Veri Depolama Sistemi Kuralları yönetim tarafından kontrol edilip onaylanmalı ve uygulanması kontrol edilir.
Bilgi Güvenliği kapsamında kullanıcıya yönelik tüm dokümantasyon “Ortak Alan\BGYS Dokümanları” klasörü altında bulunmakta ve salt okunur yetkiyle erişime açıktır. Tüm yetkiler BGYS yöneticisi tarafından verilir.
Kablolama Güvenliği: Veri taşıyan ya da bilgi hizmetlerini destekleyen elektrik ve haberleşme kabloları, kesilme ya da hasarlardan korunaklıdır.
Teçhizatın Güvenli Olarak Elden Çıkarılması ya da Tekrar Kullanımı: Teçhizatın depolama ortamı içeren tüm parçaları, elden çıkarılmadan önce, herhangi bir hassas veri ve lisanslı yazılım varsa kaldırılmasını veya güvenli şekilde üzerine yazılmasını sağlamak için kontrol edilir.
Kurum tüm sunucularını kapsayacak ve yönetimi tek bir sunucudan yapılacak lisanslı bir enterprise anti-virüs yazılımı kullanılmalıdır. Düzenli olarak anti-virüs güncellemeleri yapılmalıdır.
Solucan ve casus yazılımları engellemek için lisanslı Anti-Spywareler kullanılmalıdır. Kullanıcılar virüs, solucan, trojan ve casus yazılımlara ve zararlarına karşı bilinçlendirilmelidir.
Kurumda işletim sistemleri mutlaka lisanslı olmalıdır. İşletim sistemi güncellemeleri düzenli olarak yapılmalıdır.
Kullanıcılar lisanslı ürün kullanımı için teşvik edilmeli, lisanssız ürün kullanımının zararları anlatılmadır.
Zararlı sitelere girişleri engellemek için Firewall kullanılmalıdır. Kullanıcıların internet üzerinden oyun, müzik ve dosya indirmeleri engellenmelidir.
Mail istemcileri için güvensiz e-postalar engellenmelidir.
Kullanıcılar maillerine gelen güvensiz e-postaları açmamaları ve e-postaya bağlı dosyaları çalıştırmamaları konusunda bilgilendirilmeliler.
Bilgisayardaki anti-virüs yazılımları kurum bilgisayarlarına USB disk, harici disk ya da CD takıldığı zaman virüs taramasından geçirilmelidir.
Kullanıcılar bilgisayarlarını haftalık olarak taramalardan geçirilmelidir.
Anti-virüs yazılım servisleri online kontrole müsait olmalı servisleri hiçbir sebeple kapatılmamalıdır.
Tüm sistemdeki anti-virüs yazılımları çalışması, veri tabanı güncelliği ve bulunan virüsler düzenli olarak kontrol edilmelidir.
Birden fazla bilgisayarda bulunan virüsler raporlanmalıdır. Tüm sunucularda anti-virüs yazılımı yüklü olmalıdır.
Gelen mailler mail güvenlik sistemi ile aktif olarak taranmalıdır.
Bilgisayarlara program yüklenmesi kayıt altına alınmalı ve düzenli olarak takip edilmelidir. Risk yaratan donanımlar ağ ortamından çıkarılmalıdır.
Kurumda kullanılan Güvenlik Duvarı ile aynı zamanda zararlı yazılımlar, trojanler, sisteme yapılan saldırılar cihaz tarafından uygulama katmanında kesilmelidir.
İşletim sistemleri ve uygulama yazılımlarındaki bilinen açıklıklara karşı önlemler alınmalıdır.
Yama yönetimi uygulanacak envanter belirlendikten sonra hangi bileşenlere nasıl bir teknik kullanarak yama yönetimi yapılacağı belirlenmelidir.
BT altyapısını oluşturan bileşenlerin kurulması sonrasında güvenlik sıkılaştırması yapılmalıdır. Bileşenlerin güvenlik sıkılaştırması sonrasında sürekli olarak belirlenmiş bir güvenlik seviyesinde tutulmalıdır.
Güncelleştirmeler güvenilir bir kaynaktan elde edilmelidir.
Güncelleştirme yayınlanmadan önce güncelleştirmenin normal veya acil bir değiştirme olduğunun belirlenmeli, yayınlama sıralaması bu kavramlara göre yapılmalıdır.
Güncelleme dağıtımının gerçekten gerekli olup olmadığı belirlenmelidir.
Güncellemenin nasıl çıkarılacağının planlanmalı ve buna göre güncelleme paketinin oluşturulmalıdır.
Gerekli hallerde genel yayınlama öncesi güncelleme üretim ortamına benzer bir test ortamında test edilmelidir.
Dağıtımın ve dağıtım sonrası bilgisayarların durumun kontrol edilmelidir.
Kötü Niyetli Koda Karşı Kontroller: Kötü niyetli koda karşı korunmak için saptama, önleme ve kurtarma kontrolleri ve uygun kullanıcı farkındalığı prosedürleri gerçekleştirilmelidir.
Mobil Koda Karşı Kontroller: Mobil kod kullanımı yetkilendirildiğinde, konfigürasyon yetkilendirilmiş mobil kodun açıkça tanımlanmış bir güvenlik politikasına göre işletilmesini sağlamalı ve yetkilendirilmemiş mobil kodun yürütülmesi önlenmelidir
Bu prosedür kurumun bütün çalışanları, sözleşmelileri ve DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ adı altında çalışan bütün kişiler için geçerlidir. Aynı zamanda DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “’nin sahip olduğu ve kiraladığı bütün cihazlar içinde geçerlidir.
Gözetimsiz kullanılacak teçhizatın sorumluluğu, teçhizatın sahibindedir. Teçhizatın sahibi gerekli güvenlik önlemlerini almakla yükümlüdür.
Tanımı Yetkili Sistem Odası
DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “i Tedarikçi Seçme ve Değerlendirme işlemlerinin Kalite & Çevre & ISG & MMYS Yönetim Sistemine göre sistematik ve uygun bir şekilde gerçekleşmesinin sağlanmaktır. Bu prosedürde DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “i’nin hizmet kalitesine, bilgi güvenliğine ve İş sürekliliğine etki eden tedarikçilerin değerlendirilmesi, seçim kriterlerinin belirlenmesi ve performanslarının takibinde göz önünde tutulacak ölçülerin belirlenmesi amaçlanmaktadır.
DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “, Hammadde, Malzeme, Ticari Ürün ve Hizmet Tedarikçi Seçme ve Değerlendirme, Onaylı Tedarikçi listesi oluşturma işlemlerini kapsar.
Tedarikçilerin sağladıkları ürün ve hizmetler DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ hizmetinin kalitesine, bilgi güvenliğine ve iş sürekliliğine olan etkisine göre değişik seviyelerde ve kapsamlarda değerlendirmelere tabi tutulurlar. Ürün, hizmet veya süreç satın alınan tüm tedarikçilerin DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ ve beklentilerini karşılayabilecek yeterlilikte olmalıdır. Tedarikçilerden sürekli istenen kalitede ürün temin edebilmek için yapılan değerlendirmelerin kayıtları Kalite Güvence Müdürlüğü tarafından tutulur.
Tedarikçiler yılda bir Satın Alma Müdürlüğü & Kalite- Ürün Güvenliği Birimi tarafından değerlendirilir. Değerlendirme sonuçları Kalite Güvence Müdürü tarafından konsolide edilir, Genel Müdür onayına sunulur. Genel Müdür kararı ile tedarikçi ile çalışma kararı verilir.
Alternatif Tedarikçi bulunduğunda tedarikçi beş ana kriter açısından değerlendirilir.
Eşitlik İlkesine uygun olarak, çalışanlarımız arasında etik kurallar ve fırsat eşitliğinin istisnasız uygulanmasını sağlamak amacıyla; maaş, yan ödeme/yardımlar, terfi, disiplin, işten çıkarma veya emekliye ayrılma dahil olmak üzere, işe alma ve istihdam uygulamalarında ırk, din, yaş, milliyet, sosyal ve etnik köken, cinsel eğilim, cinsiyet, siyasi görüş veya özürlülüklerine dayanarak ayrımcılık yapmayız.
Yukarıdaki kriterlere uyan tedarikçiler belirlenir.
Yukarıdaki kriterlere uyan tedarikçilerden, numune ile birlikte aşağıda belirtildiği gibi;
Ar-Ge & Tasarım veya Ticari Satın Alma Bölümlerinden gelen yeni ürünler için temin edilen numuneler veya fason ürettirilmesi ön görülen Ticari Satınalma tarafından uygun görülen Ticari Ürünler (prototip ürünler/ pilot ürünler/ numune ürünler) için belirlenen süreçler işletilir.
Ticari Ürünler (prototip ürünler/ pilot ürünler/ numune ürünler) Ticari Satın Alma Yöneticisi/ Ticari Satın Alma Uzmanı tarafından Kalite - Ürün Güvenliği Birimine verilir.
Kalite - Ürün Güvenliği Birimi numuneyi şartnameye göre inceler, fonksiyonel olarak değerlendirir.
Kalite Kontrol ve Laboratuvar Teknikeri / Kalite Kontrol Mühendisi tüm kontrol ve görüşleri değerlendirdikten sonra karar verir ve kararını yazar.
Numune talep formu hangi bölümden geliyorsa (Tasarım & Ar-Ge veya Satınalma Birimine) ilgili birime ürün gönderilir ve ilgili birimlere rapor yayımlanır.
Ticari Satınalma Birimi, Numune İnceleme Raporunu tedarikçiye gönderir. Numune inceleme raporu teknik şartnameyi ve şartnameye göre numune malzemenin test sonuçlarını içerir. Tedarikçi test sonuçlarını kabul etiğinin teyidini vererek, raporu Ticari Satınalma Uzmanına /Ticari Satınalma Süreç Personeline ulaştırır.
Uygun olan ürünler için Ticari Satınalma Uzmanı tarafından sipariş açılır ve satınalma işlemi başlatılır.
Numune Ürünler, Satınalma Uzmanı/ Satınalma Süreç Personeli tarafından Kalite - Ürün Güvenliği Birimine verilir.
Kalite - Ürün Güvenliği Birimi numuneyi şartnameye göre inceler, fonksiyonel olarak değerlendirir.
Kalite Kontrol ve Laboratuvar Teknikeri / Kalite Kontrol Mühendisi tüm kontrol ve görüşleri değerlendirdikten sonra karar verir ve kararını yazar.
Numune talep formu hangi bölümden geliyorsa (Tasarım & Ar-Ge veya Satın Alma Birimine) ilgili birime ürün gönderilir ve ilgili birimlere rapor yayımlanır.
Satın Alma Birimi, Numune İnceleme Raporunu tedarikçiye gönderir. Numune inceleme raporu teknik şartnameyi ve şartnameye göre numune malzemenin test sonuçlarını içerir. Tedarikçi test sonuçlarını kabul etiğinin teyidini vererek, raporu Satın Alma Uzmanına /Satın Alma Süreç Personeline ulaştırır.
Uygun olan ürünler için Satın Alma Uzmanı tarafından sipariş açılır ve satın alma işlemi başlatılır.
Makine Yedek Parça Seçme Kriterleri aşağıdaki gibidir:
Makine Yedek parça alımı esnasında, ihtiyaç olunan parça numunesi veya katalog numarası dikkate alınarak Teknik Satın Alma Birimi ve Bakım ve Onarım Birimi tarafından gerekli araştırma yapılır.
Fiyat teklifleri alınır, fiyat onay baremine göre Tedarik Zinciri, Satın Alma Müdürü en son Genel Müdürlük onayına sunulur. Yukarıda belirtilen kriterlere göre uygun olan tedarikçiden alım gerçekleştirilir.
Sevkiyat ve Mamul Depoda Mamul ve Sevk Depo Hizmet Tedarikçileri Değerlendirmesi tablosuna göre, hizmet tedarikçileri seçilir. Burada belirtilen seçme kriterleri aşağıdaki gibidir.
Uygun tedarikçilerin teklifleri, Lojistik Müdürü tarafından değerlendirilir ve incelenir.
Uygun tedarikçi belirlendikten sonra önce Tedarik Zinciri, Satın Alma Müdürü onayı sonrasında Genel Müdür onayı ile hizmet alımı başlatılır.
Seçme İşlemi Aşağıda belirtilen HİZMET TEDARİKÇİLERİ SEÇME KRİTERLERİ tablosuna göre yapılmaktadır.
|
ALINAN HİZMET |
SEÇME KRİTERİ |
İLGİLİ BÖLÜM YETKİLİSİ ONAY |
|
Kalibrasyon |
TS ISO 17025 standardına göre izlenebilirliğe sahip olmalıdır. |
Kalite Güvence Müdürü |
|
Fiyat |
||
|
Kalibre edilecek %70 kapsayan kısmının kalibre edebilecek kapasitede olması |
||
|
Laboratuar |
TS ISO 17025 standardına göre izlenebilirliğe sahip olmalıdır. |
|
|
Fiyat |
||
|
Danışmanlık hizmeti |
Referansların uygun olması |
|
|
Konusunda uzman olması |
||
|
Eğitim hizmeti |
Referansların uygun olması |
İnsan Değerleri ve Kurumsal İletişim Direktörü |
|
Konusunda uzman olması |
||
|
Eğitimin içeriği ve süresi uygunluğu |
||
|
Fiyat |
||
|
Yangın Söndürme tipleri dolum hizmeti |
TSE Yeterlilik belgesi olması |
|
|
ISO 9001 2000 KYS belgesi olması |
||
|
Referansların uygun olması |
||
|
Forklift Bakımı ve Onarımı |
Servis Yetki belgesi olmalıdır |
Bakım ve Teknik Hizmetler Müdürü |
|
Fiyat |
||
|
Yük kaldırıcı ekipmanların testleri |
Yetki belgesi olmalıdır |
|
|
Fiyat |
||
|
Tank sızdırmazlık testleri |
Yetki belgesi olmalıdır |
|
|
Elektronik kart onarım hizmeti |
Referansların uygun olması |
|
|
Tamir bedeli |
||
|
Bakım Servis Hizmeti |
Yetki belgesi olmalıdır |
|
|
Referansların uygun olması |
||
|
Servis kapsamı |
||
|
Fiyat |
Tedarikçi Değerlendirme işlemi iki ana gruba ayrılır;
Ürün kalitesine etki eden hammadde ve malzeme tedarikçilerine yapılan işlemleri kapsar. (Sarf malzemelerini kapsamaz.)
Değerlendirme her yıl aralık ayında Kalite Güvence Müdürü ve Satın Alma Müdürü tarafından yapılır. Değerlendirme kriterleri aşağıdaki gibidir.
|
|
 |
 |
||
Değerlendirme faaliyeti sonucunda firmalara performanslarına göre puan verilir. Her yeni yıl başlangıcında hazırlanan Onaylı Tedarikçi Listesinde, bu firmaların performansı, aldıkları puana göre 5 ana grupta gruplandırılır:
|
GRUP |
MİN |
MAX |
AÇIKLAMA |
|
A GRUBU |
81 |
100 |
Tedarikçi "Stratejik Firma " kapsamındadır. AR-GE çalışmaları da dahil olmak üzere yoğun çalışılabilir . |
|
B GRUBU |
70 |
80 |
Tedarikçi "İşbirlikçi Firma " kapsamındadır. |
|
C GRUBU |
55 |
69 |
Tedarikçi "Geliştirilmesi Gereken Firma " kapsamındadır. |
|
D GRUBU |
31 |
54 |
Tedarikçi "Zorunlu Hallerde Çalışılacak Firma " kapsamındadır. İlk 6 ay içinde 50 puanı geçmesi şarttır. 50 puanı geçemezse |
|
E GRUBU |
0 |
30 |
Tedarikçi "Çalışılamayacak Firma " kapsamındadır. |
Yapılan performans değerlendirme sonucunda, puan türüne karşılık gelen grubunda yer alan tedarikçilere, Satın Alma Müdürü tarafından performans sonuçları bildirilir.
Yıl içerisinde eklenen yeni tedarikçiler için 5.1 Maddesinde bulunan Tedarikçi Seçme Sistemi uygulanır. Tedarikçi seçme kriterlerine uygun olan tedarikçilere alım yapılmaya başlanır ve performansı ilk 6 ay gözlemlenir. Yukarıdaki kriterler eğer uyuyorsa onaylı tedarikçi listesine alınır.
Onaylı tedarikçi listesinde olmayan C ve D grubundaki tedarikçilerden alım yapılmak zorunda kalındığında, Satınalma Müdürü tarafından Kalite ve Güvence Müdürüne bilgi verilir. Giriş Kalite Kontrol örneklem/sıklıkları arttırılır. (Bkz. Giriş Kalite Kontrol talimatı)
Her yıl aralık ayı sonunda Tedarikçi Değerlendirme sonuçlarına göre Onaylı Tedarikçi Listesi Satın Alma Müdürlüğü tarafından revize edilir. Onaylı Tedarikçi listesinde değişiklik mevcut ise revizyon sayısı bir arttırılır. Satın Alma Müdürlüğü tarafından Genel Müdür onayı alındıktan sonra QDMS’de yayınlanır.
Temin edilen Makine Yedek Parçasının tedarikçileriyle yapılan işlemleri kapsar
Temin edilen Makine Yedek parçasının kullanım ömrü dikkate alınarak yapılır. Bakım ve Teknik Hizmetler Müdürü tarafında uygun olmayan tedarikçiler Satınalma Birimine bildirilir.
Değerlendirme her yıl aralık ayı sonunda Bakım ve Teknik Hizmetler Müdürü ve Satın Alma Müdürü tarafından yapılır. Değerlendirme kriterleri aşağıdaki gibidir.
Sevkiyat ve Mamul Depoda Mamül Ve Sevk Depo Hizmet Tedarikçileri Değerlendirmesi tablosuna göre, hizmet tedarikçileri değerlendirilir. Burada belirtilen değerlendirme kriterleri aşağıdaki gibidir.
Hizmet Tedarikçileri değerlendirme, hizmeti alan ilgili birim müdürleri tarafından yapılır.
Birim müdürleri her yılın aralık ayında hizmet tedarikçilerini aşağıda belirtilen HİZMET TEDARİKÇİLERİ DEĞERLENDİRME KRİTERLERİ tablosuna göre yaparlar.
Tedarikçi değerlendirmelerinde yerinde denetimde yapılabilir. Yerinde Denetim sonuçları ek bir kriter ve puan olarak eklenir.
|
ALINAN HİZMET |
DEĞERLENDİRME KRİTERİ |
İLGİLİ BÖLÜM YETKİLİSİ ONAY |
|
Kalibrasyon |
Cihaz hatalarından kaynaklanan ölçüm hatası olmaması (Uygun Olmayan Ürünün ve Düzeltici Faaliyet formları) |
Kalite Güvence Müdürü |
|
ISO 9001 de kalibrasyon işleminden kaynaklanan uygunsuzluk olmaması |
||
|
Laboratuar |
Test sonucundan kaynaklanan hata ve buna bağlı Düzeltici Faaliyet açılmış olmaması |
|
|
Danışmanlık hizmeti |
Danışman tarafından verilen faaliyet planına uyum |
|
|
Eğitim hizmeti |
Eğitim Genel değerlendirme formunda uygun sonuç alması |
İnsan Değerleri ve Kurumsal İletişim Direktörü |
|
Yangın Söndürme tipleri dolum hizmeti |
Yangın Tüpleri Doluluk oranı |
|
|
Servis hizmeti (Boşalan tüplerin doldurulma süresi) |
||
|
Forklift Bakımı ve Onarımı |
Yapılan tamirlerden ve bakımından sonra arızanın tekrarlanmaması (parça ömrü periyodu içinde) |
Bakım ve Teknik Hizmetler Müdürü |
|
Yük kaldırıcı ekipmanların testleri |
Yük kaldırıcı ekipmanda uygun çalışması |
|
|
Tank sızdırmazlık testleri |
İş kazası olmaması |
|
|
Periyodik olarak kontrol esnasında problem görülmemesi |
|
Elektronik kart onarım hizmeti |
Tamir olarak kartın arızasının tekrarlanmaması |
|
|
Bakım Servis Hizmeti |
Yapılan bakım sonrasında cihazda arıza oluşmaması |
Tedarikçi denetimi aşağıdaki durumlarda yapılabilir:
C ve D grubunda bulunan, kapasite ve fiyat kriterine uygun ana hammadde tedarikçileri Bir alt gruba düşen ana hammadde tedarikçileri
Ana Hammadde sağlayan yeni tedarikçiler
Denetim esnasında Tedarikçi değerlendirme soru listesi kullanılır.
Soru listesine binaen oluşan puana göre tedarikçilere uygulanması gereken tedarikçi grubu tespiti yapılır ve tedarikçi grubuna karşılık gelen uygulama seçilir.
ISO 9001 Kalite Yönetim Sistemi ve/veya ISO 27001 BGYS Belgelerinin olması tercih sebebidir. Referans onayı olması gereklidir. (Daha önce çalıştığı firmalardan bilgi istenir)
Sözleşmede gizlilik maddesi içermeyen sözleşme sunan ya da DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ Gizlilik sözleşmesini onaylamayan firmalar ile çalışılmaz.
İnsan Değerleri ve Kurumsal İletişim Prosedürleri, İşyeri Yönetmeliği’nde detaylı olarak anlatılmakta olup ihtiyaç olması halinde, https://derenpak.com.tr/ portalı üzerinden Kalite Doküman Entegre Yönetim Sistemi (QDMS) butonuna tıklanılarak QDMS sistemi üzerinden Yönetmeliğe erişilebilir. Bu Yönetmelik DERENPAK OFSET AMBALAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ “ Şirketlerine aittir. İzinsiz kopyalanamaz ve firma dışına çıkarılamaz.
DERENPAK İnsan Değerleri, şirket stratejilerinin gerçekleştirilmesinde nitelikli iş gücünü arttırabilecek insan kaynağının şirkete kazandırılmasını, sürekli gelişimini ve motive edilmesini sağlayacak sistemler geliştirmeyi ve Şirket ilkeleri (Kalite, Müşteri Memnuniyeti, İnsana Odaklılık, Ekip Ruhu, İşbirliği, Globalleşme, Çevreye Duyarlılık ve Etik Değerler) doğrultusunda uygulamayı hedefler.
Şirketin merkezi EFELER / AYDIN’de olup, Yönetim Kurulu’na bağlı Genel Müdürlük, Genel Müdürlüğe bağlı; İnsan Değerleri ve Kurumsal İletişim , Mali İşler, Tedarik Zinciri, Üretim, İhracat, Satış & Pazarlama Direktörlükleri ile Kalite, Arge & Tasarım Merkezi ve Bayi, Müşteri Hizmetleri & Teknik Servis Müdürlüklerine bağlı bölüm ve birimlerden oluşan organizasyon yapısına sahiptir.
Genel “Organizasyon Şeması” iş bu Yönetmeliğin ekinde bulunmakta olup ayrıntılı organizasyon şeması QDMS (Kalite Doküman Entegre Yönetim Sistemi) sistemi üzerinden yayımlanmaktadır.
DERENPAK ’ da haftalık çalışma süresi 45 saattir. Haftalık çalışma süresinin iş günlerine bölünerek uygulanması, günlük çalışmanın başlangıç ve bitiş saatleri, öğle dinlenme süresi, işin gereğine ve yöresel koşullara şirket (DERENPAK) tarafından düzenlenir. DERENPAK gerekli gördüğünde uygulanan işe başlama, ara dinlenme ve işi bitirme saatlerinde değişiklik yapabilir. Çalışanlardan vardiya veya denkleştirme esasına göre çalışması talep edildiğinde, personel belirtilen isteğe uygun olarak çalışmayı kabul eder.
Çalışanlar DERENPAK nun hafta tatili, genel tatil ve ulusal bayram (29 Ekim Hariç) günlerinde yaptıracağı çalışmalara ya da fazla sürelerle yahut fazla çalışmaya uymayı peşinen kabul eder.
Çalışanların devam kontrolünün yapılabilmesi bakımından; tüm çalışanlar her gün işe geldiklerinde ve her gün çalışma süresi sonunda işyerinden ayrılırken, ana giriş-çıkış kapısında bulunan (Şirket ön girişinde bulunan güvenlik noktası) Personel Devam Kontrol Sistemine (PDKS) terminallerine “Personel Kimlik Kartı” nı okutması zorunludur.
Şirket merkezi dışında bulunan perakende mağazalar, lojistik ve teknik servis ekiplerinin PDKS takipleri ilgili müdürlükler tarafından “Puantaj Cetveli Formu” ile takip ve kontrol edilmekte ve ay sonlarında İnsan Değerleri ve Kurumsal İletişim Departmanında Ücretlendirme ve Yan Haklar Birimine raporlanarak maaş tahakkuk yapılmaktadır.
Tüm personel, izin, görev, iş seyahati vb. durumlarda ilgili formları, izin, görev, iş seyahati vb. durumlardan önce üst yöneticilerine imzalatarak İnsan Değerleri ve Kurumsal İletişim Departmanında Ücretlendirme ve Yan Hakları Uzmanına teslim etmek zorundadır.
Beyaz yaka ve mavi yaka tüm personel “Belirsiz Süreli İş Sözleşmesi” ile istihdam edilmektedir. Kişi ve pozisyon bazında (İşyeri Hekimi, Danışman vb. istihdamı) “Kısmi Süreli (Part Time) İş Sözleşmesi” ve “Belirli Süreli İş Sözleşmesi” de kullanılabilmektedir.
Hafta tatili, çalışanın vardiya şekline göre haftada 1 gün olarak uygulanmaktadır.
Aşağıda belirtilen ulusal bayram ve genel tatil günlerinde çalışılmaması esastır. 29 Ekim günü özel işyerlerinin kapanması zorunludur.
Şirket’in gerekli gördüğü durumlarda, yasal hakları sağlamak koşulu ile personel UBGT günlerinde de çalıştırılabilir.
Güvenlik personeli, çalışanların arasına giren yabancı kişileri ayırt edebilmek için tüm çalışanları tanımakla yükümlüdür. Tüm çalışanların, ana giriş-çıkış kapısını (Şirket ön girişinde bulunan güvenlik noktası) kullanmaları zorunludur. Aynı zamanda tüm giriş ve çıkışlarda, İK PDKS sisteminde çalışana tanımlı “Personel Kimlik Kartı”, çalışan tarafından giriş-çıkış noktasında yer alan kart terminallerine okutulmalıdır.
Çalışma saatleri içinde işyerine giriş ve çıkış için; çalışanın bağlı bulunduğu yönetici tarafından onaylanan; izinli olunduğunda “İzin/Görev Formu” nun, görevli olunması ve bu görev için araç talebinin olması durumunda ise “Araç Talep Formu” veya online onayın Güvenlik Personeline ibraz edilmesi zorunludur.
Çalışma saatleri dışında işyerine girişler ise, beyaz yaka personelin İdari İşler Yöneticisi’nin bilgisi dahilinde Güvenlik Birimine mail atarak, mavi yaka personel ise “Fazla Mesai Formu” nun bağlı bulunulan yönetici tarafından onaylanması ve İdari İşler Yöneticisi’ne ibraz edilmesi suretiyle mümkündür.
Mesai saatleri dışında işyerine dışarıdan danışman/tedarikçi/bakım onarımcı/görevli kişilerin gelmesi ya da mesai saatleri içerisinde bu kişilerin şirketimize gelmesi ve mesai sonrasına bu kişilerin işlerinin uzaması durumunda, İdari İşler Birimi’nin bilgisi dahilinde Güvenlik Birimine mail atılması ve bu kişilere yine ilgili departman tarafından nezaretçi sağlanması gerekmektedir.
İşyerinde uygulanmakta olan öğle molası zaman dilimine denk sürede, çalışanın işyerinden çıkış ve tekrar giriş yapması durumunda, mutlaka İK PDKS sisteminde çalışana tanımlı “Personel Kimlik Kartı”, ile çalışan tarafından giriş-çıkış noktasında yer alan kart terminallerine okutulması gerekmektedir. Ayrıca İzin Görev Formu hazırlanarak işyerinden çıkarken “Güvenlik Birimi” teslim edilmesi gerekmektedir. (Kartın kaybolması/unutulması vb. gibi durumlar için de mutlaka İzin Görev Formu hazırlanmalıdır.)
Personel, öğle molası haricindeki tüm çıkış ve girişlerde, mutlaka “İzin/Görev Formu” nu doldurmalı -kendisi ve ilk amiri imzalamak suretiyle Ücretlendirme ve Yan Haklar Uzmanına teslim etmelidir. Aynı zamanda, PDKS sisteminde çalışana tanımlı “Personel Kimlik Kartı”, çalışan tarafından giriş-çıkış noktasında yer alan kart terminallerine okutulmalıdır.
İzin/Görev Formsuz ve/veya PDKS terminaline Personel Kimlik Kartı okutulmadan şirket dışına çıkış yapılması halinde, bu durum Güvenlik Personeli tarafından İnsan Değerleri ve Kurumsal İletişim Departmanına bildirilir ve çalışanın gün içindeki kalan bakiye çalışma süresi (çalışılmaması halinde) eksik saat olarak değerlendirilip, çalışanın ücretinden kesilir.
Şirketimize gelen bütün misafirlerin kimlik kontrolü ve ziyaretçi kayıtları, Güvenlik Personeli tarafından Kişisel Verilerin Korunması Kanunu (KVKK) başlığında detaylı anlatıldığı üzere, KVKK kapsamında gerekli Açık Rıza ve Aydınlatma Metni” onayları alınarak yapılır, “Ziyaretçi Kartı” verilerek, ziyaretçi Resepsiyona yönlendirilir.
Misafirin görüşeceği kişiye, Santral Operatörü tarafından telefonla bilgi verilir. Görüşmelerin, işyerinde belirlenen toplantı odalarında yapılması esastır. Ofislerde görüşme yapılması gerektiğinde, misafir Santral Operatörü tarafından ilgili ofise götürülür.
Ayrıca, ziyaretçiler/misafirlerin/tedarikçilerin, “DERENPAK Uygulama Merkezi” https://derenpak.com.tr/ linki üzerinden, “Ziyaretçi Modülüne” kaydı, hammadde ve malzeme getiren araçların “Araç Giriş-Çıkış İşlemleri Modülüne” kaydı, Güvenlik Personeli tarafından yapılır.
Şirketimize iş başvurusu için gelen çalışan adaylarının kimlik kontrolü ve kayıtları, Güvenlik Personeli tarafından, Kişisel Verilerin Korunması Kanunu (KVKK) başlığında detaylı anlatıldığı üzere, KVKK kapsamında gerekli Açık Rıza ve Aydınlatma Metni” onayları alınarak yapılır, “Ziyaretçi Kartı” verilerek, çalışan adayıyla iş görüşmesi yapılması için İnsan Değerleri ve Kurumsal İletişim Departmanıyla görüştürülmek ürere, Resepsiyona yönlendirilir.
Yapılacak iş görüşmesi için İnsan Değerleri ve Kurumsal İletişim Departmanına, İdari İşler Uzman Yardımcısı tarafından telefonla bilgi verilir. İş görüşmelerin, işyerinde belirlenen toplantı odalarında yapılması esastır. İnsan Değerleri ve Kurumsal İletişim Departmanına iş görüşmesi yapılması gerektiğinde, çalışan adayı İdari İşler Uzman Yardımcısı tarafından İnsan Değerleri ve Kurumsal İletişim Departmanına götürülür.
Ayrıca, iş görüşmesine gelen adayların, “DERENPAK Uygulama Merkezi” https://derenpak.com.tr/ linki üzerinden “Ziyaretçi İşlemleri Modülüne” kaydı, Güvenlik Personeli tarafından yapılır.
Şirketimizde daha önce çalışmış, şirketimizle davalaşmış, çekişmeli veya sorunlu olarak işten ayrılmış eski çalışanlar, şirketimize ziyaret, tedarik vb. nedenlerle de olsa davet edilmemeli ve şirketimize girmemeleri gerekmektedir.
Bu kapsamda olan kişilerin işyerine alınmamaları, şirketimizle ilgili önem arz eden konularda, bu kişilerle şirketimizde görüşülmesi gerektiği durumlarda ise İnsan Değerleri ve Kurumsal İletişim Departmanına gerekçesiyle birlikte bilgi verilerek hareket edilmesi gerekmektedir.
Şirket merkezinde çalışanlar için, işyerine geliş gidişini sağlamak üzere, tedarikçi firma aracılığıyla servis hizmeti sunulmaktadır. Servis aracından yararlanmak isteyen çalışanlar, servis araçlarının hareket saatlerini ve duraklarını İnsan Değerleri ve Kurumsal İletişim Departmanı İdari İşler Biriminden öğrenerek, servis saatlerinden makul bir süre önce durakta hazır bulunmalıdır. Güzergah değişikliğinden dolayı servis aracı değişiklikleri İdari İşler Birimine önceden bildirilmelidir. Servis aracı, şoförü, güzergah değişikliği vb. talep ya da şikayetleri sadece İdari İşler Birimine bildirilmelidir. Servis güzergahları ve hareket noktalarındaki değişiklikler, duyurular ile İnsan Değerleri ve Kurumsal İletişim Departmanı tarafından tüm çalışanlara duyurulur.
Sunulan servis hizmeti, yalnızca çalışanlarımıza mahsus ve münhasırdır. Çalışanların yakınları ya da yabancılar, servise kabul edilemez.
Şirket merkezi dışında bulunan perakende mağazalar, SSH ve Lojistik gibi lokasyonlarında çalışanlar için servis hizmeti uygulaması yoktur.
Her yıl yapılan Çalışan Memnuniyeti Anketi sonuçlarına doğrultusunda iyileştirme ve aksiyonlar alınmaktadır.
Şirket merkezinde çalışanlar için, öğle arası dinlenme molalarında belirlenen zaman dilimlerinde, idari bina ve üretim yemekhanelerinde çalışanlara tedarikçi firma aracılığıyla yemek hizmeti sunulmaktadır. Yemek saati zaman diliminde şirketimizde olacak misafir/tedarikçi/şoför vb. bilgisinin, sabah saat 10:00’ a kadar İdari İşler Birimine bildirilmesi gerekmektedir. Günlük yemek sayısı PDKS kayıtları ve İdari İşler Birimine gelen misafir/tedarikçi/şoför vb bilgiler doğrultusunda sabah saat 10:00’ a kadar İdari İşler Birimi tarafından yemekhaneye bildirilmelidir.
Yemek menüleri, çalışanlardan gelen talep ve memnuniyetler dikkate alınarak, kalori, protein, karbonhidrat, yağ, sebze, bakliyat ve et dengesi gözetilerek tedarikçi firmayla birlikte İdari İşler Birimi tarafından yapılmaktadır.
Şirket merkezi dışında bulunan SSH ve Lojistik lokasyonlarında çalışan Mavi Yaka ve Beyaz Yaka ile işleri gereği çoğunlukla şirket dışında çalışan personele (Görsel Düzenleme Çalışanları, Satınalma Uzmanı, Kalite Kontrol Personeli vb.) yemek çeki kartı uygulaması bulunmaktadır. Bu kişilerin aylık puantaj kayıtları ve rut planları dikkate alınarak, İdari İşler Birimi tarafından çalışanın yemek kartına, aylık yemek çeki yüklemesi yapılmaktadır.
Yemek çeki tutarları her yıl Genel Müdürlük onayıyla İnsan Değerleri ve Kurumsal İletişim Departmanına tarafından güncellenmekte olup yemek çeki tutarları, iş bu Yönetmeliğin Seyahat ana başlığında belirtilmektedir.
Her yıl yapılan Çalışan Memnuniyeti Anketi sonuçları doğrultusunda iyileştirme ve aksiyonlar alınmaktadır.
Çalışanların rahatı, çalışma atmosferinin uygunluğu ve güvenlik açısından şirket, çalışanlarından bulundukları yeri temiz ve düzenli tutmaları beklenmektedir. Çalışanlardan temizlik ve düzene yönelik her türlü çalışmada yer almaları beklenir ve tüm çalışanlar kendi çalıştığı bölgenin temiz ve düzenli olmasından sorumludur. Beyaz yaka personelin şahsi çalışma masası ve kullandıkları eşyaların temizliğinden çalışan kendisi sorumludur. Temizlik ve Genel hizmet Personeli idari bina ve ofislerin genel temizliğinden sorumludur. Çalışma yeri terk edilirken masa üstünde evrak ve kırtasiye bırakılmamalı, gizli evrak ve dosyalar dolaplarda kilitli tutulmalıdır. Ortak kullanılan dosyalar ve diğer materyaller kullanıldıktan sonra, belirlenmiş yerlerine konulmalıdır. Şirket odalarının düzeni ve genel görünümü şirket kültürünün bir parçasıdır ve çalışma yerlerinin düzenli tutulmasına gereken özen gösterilmelidir.
Şirketimizde, tüm kapalı alanlar ile üretim sahalarını kapsayan açık mekanlarda sigara içmek yasaktır. Sigara içilmesine izin verilen yerler belirlenmiş dinlenme yerleridir.
Şirket araçları, pozisyon bazlı tahsis edilen araçlar, görev gereği tahsis edilen araçlar, genel kullanım araçları, SSH araçları ve Lojistik araçlarından oluşmaktadır. SSH ve Lojistik araçları şirketin öz mal araçları olup, diğer araçlar filo kiralama yöntemiyle kiralanmış araçlardır.
Şirket dışındaki, kısa ya da uzun süreli, görev/seyahat talepleri için ilgili kişi ya da departmanlar, İdari İşler Birimi’ ne “Araç Talep Formu” ile başvurmalıdır. Araç Talep Formu olmadan, pozisyon fark etmeksizin, araç tahsisi yapılmayacaktır.
Araçların optimum düzeyde verimli kullanımı, koordinasyonu ve iş planlarının sağlıklı yürütülebilmesi adına, gün içinde ihtiyaç duyulacak araç taleplerinin, İdari İşler Birimi’ ne her gün sabah saat 10:00’ a kadar iletilmesi gerekmektedir. Bir tam günlük ya da daha uzun süreli araç tahsis talepleri, ilgili görev/seyahat planından en az 2 iş günü önceden İdari İşler Birimi’ ne mail yoluyla yapılmalıdır.
İdari İşler Birim’ i görev/seyahat talebi süresi ve içeriğine göre uygun aracı tahsis ederek (genel kullanım havuz araçlarının yetersiz kaldığı durumlarda o anda şirkette bulunan pozisyon ve göreve tahsis araçlar da, tahsisinde bulunan kişiye bilgi verilerek kullanılır), ilgili kişiyi/departmanı ve Güvenlik Birimi’ ni bilgilendirecektir. Güvenlik Personeli, tahsis edilen araca ait, (giriş-çıkış saatleri, kullanıcı, gidiş- geliş km. ve hasar durumu vb.) bilgileri “DERENPAK Uygulama Merkezi” https://derenpak.com.tr/ linki üzerinden “Araç Takip İşlemleri Modülüne” kaydedecektir.
Göreve/seyahate gidecek kişi sayısına göre, şirket araçlarının yetersiz ya da verimsiz olması durumunda İdari İşler Birimi, İnsan Değerleri ve Kurumsal İletişim Direktöründen onay alarak dışarıdan uygun araç kiralama yoluna da başvurabilir.
Söz konusu araçların bakımından ve temizliğinden kullanan personel, denetiminden Güvenlik Personeli sorumludur.
Güvenlik personeli tarafından, kendisine araç tahsis edilen kişilerin ehliyetleri, prensip olarak yılda
2 kez (Ocak ve Haziran ayları) olmak üzere, fiziki olarak kontrol edilmektedir. Güvenlik personeli, kendisine araç tahsis edilen ve günlük olarak araç talebinde bulunan kişilere, anlık, habersiz fiziki ehliyet kontrolü de yapabilir.
Pozisyona ve göreve tahsis edilen araçlar dışındaki genel kullanım araçları (işten ayrılan personelden geçici süreliğine boşa çıkan araçlar da dahil) mesai bitiminde şirkette kalacak ve acil haller dışında (iş kazası, güvenlik amacıyla kullanım vb.) oluşacak kullanımlar İdari İşler Yöneticisi’nin bilgisi dahilinde, ilgili vardiyadaki Güvenlik Personelinin sorumluluğunda olacaktır.
Şirket araçlarına kesilen trafik cezalarının şirkete tebliğine müteakip, İdari İşler Birimi tarafından “Ödeme İsteği” düzenlenir ve ödenmek üzere Mali İşler Departmanına teslim edilir. Mali İşler Departmanınca süresinde indirimli olarak ödenen trafik cezaları çalışana “Trafik Cezası Kesilmesine Karar Verilen Personel Formu” ile tebliğ edilerek, çalışanın maaşından mahsup edilir. Cezanın içeriğine ve tutarına göre, cezanın tamamının veya belirli bir oranın şirket tarafından ödenmesi Genel Müdür’ ün yetkisi ve onayıyla mümkündür.
Pozisyona ve göreve tahsis edilen araçların ilgili kişilere zimmet işlemleri, İdari İşler Birimi tarafından Demirbaş/Malzeme/Araç ve Gereç Eşyaları Kullanma ve Takibi başlığı altında anlatıldığı şekliye ve ayrıca “Araç Kullanım ve Zimmet Sözleşmesi” yle gerçekleştirilir.
Şirketin tarafından satın alınan veya kiralanan araçların tamamında “Araç Takip Sistemi” uygulaması vardır. Araç Takip Sisteminin kullanım yetkisi konusunda, İdari İşler Birimi genel yetkili, departman yöneticileri ise kendi sorumluluk alanlarındaki araçlar özelinde yetkilidir.
Pozisyona ve göreve tahsis edilen araçların, hafta içi/sonu, mesai saatleri içindeki ve dışındaki kullanımları, İdari İşler Birimi tarafından aylık olarak kontrol edilmekte, pozisyona ve göreve tahsis edilen kişilerin şirket ile ikametgahları arasındaki geliş/gidiş km ve iş amaçlı kullanımları haricindeki kullanımları, özel kullanım olarak kabul edilmekte ve bu özel kullanımlardan aşağıdaki özel kullanım muafiyeti düşülerek, İdari İşler Birimi tarafından maliyetlendirilmekte, ilgili kişilere “Akaryakıt Borcunun Kesilmesine Dair Muvafakatname Formu” tebliğ edilmekte ve çalışanın maaşından kesilmektedir.
İzinli, görevli, istirahatli ya da mesai saatleri dışındaki iş amaçlı kullanımlar, araç kullanıcısı tarafından mail yoluyla İdari İşler Birimine bildirilmelidir. Aksi halde, bu kullanımlar özel kullanım olarak kabul edilip yukarıdaki süreç işletilecektir.
Şirket ve işletmelerin hedef ve stratejileri doğrultusunda yapılacak İnsan Değerleri ve Kurumsal İletişim Planlaması, işe alım sürecinin ilk basamağını oluşturmaktadır ve İnsan Değerleri ve Kurumsal İletişim Departmanı tarafından yapılmaktadır. İnsan Değerleri ve Kurumsal İletişim Departmanı bu planı; beyaz yaka personel için iş yükü ve norm kadro analizi çalışmasıyla, mavi yaka personel için ise ilgili yılın bütçe verileri ve olası sektörel dalgalanmaları da dikkate alarak yapar ve Genel Müdür’ den onay alarak yürürlüğe koyar.
Bütün bölüm yöneticileri şirketin ve işletmelerin hedef ve stratejileri çerçevesinde belirlenen İK Planlamasına paralel olarak, norm kadro ve ek kadro dahilinde gereksinimlerini, talep gerekçeleri ile birlikte, "Personel İstek Formu" nu doldurmak suretiyle İK Departmanına iletilir. İletilen kadro talebi İK Departmanı tarafından şirket bazındaki gereksinimler göz önüne alınarak incelenir ve Genel Müdür’ün onayına sunulur. Genel Müdür’ün onayından sonra personel temini için girişimlere başlanır. Ancak ek kadro taleplerinde İnsan Değerleri ve Kurumsal İletişim Departmanı ve Genel Müdür’ün onayından sonra kadro yürürlüğe girer.
DERENPAK ’ya bağlı işletmelerde eleman temini çeşitli yollarla gerçekleştirilir. Şirket bilgi bankası, kariyer siteleri, danışmanlık firmaları, ilan ve kariyer günleri bu yollardan birkaçıdır. İnternet ortamında ve diğer elden gelen başvurular İnsan Değerleri ve Kurumsal İletişim Departmanında toplanmaktadır.
İhtiyaç olan kadro için ilgili personel temin kaynaklarından gelen başvurular İnsan Değerleri ve Kurumsal İletişim Yöneticisi’nde toplanır. Toplanan başvurular gözden geçirilir. İşin gerektirdiği niteliklere sahip görünen adaylar ilk olarak İnsan Değerleri ve Kurumsal İletişim Yöneticisi tarafından ön elemeden geçirilir. Ön elemeden geçen adaylar "İş Başvuru Formu BY/mevcut cv’leri" / "İş Başvuru Formu MY" nu doldurduktan sonra, İnsan Değerleri ve Kurumsal İletişim Yöneticisi tarafından eleme görüşmesine alınır. Eleme görüşmesinden sonra gerek duyulursa adaylara pozisyonlarına uygun olarak yetenek, yabancı dil ve/veya kişilik testleri verilebilir. Yine gerek görülürse “Değerlendirme Merkezi” çalışması gerçekleştirilerek seçme ve yerleştirme yapılabilir. Değerlendirme Merkezinde kullanılacak pozisyonun yetkinliklerine ve niteliklerine göre çalışma çeşidi belirlenir.
Seçme görüşmesi, yetenek ve kişilik testlerinden sonra başarılı bulunan adaylar İnsan Değerleri ve Kurumsal İletişim Yönetmeni tarafından Bölüm Direktörüne/Müdürüne önerilir. Adaylar kapsamlı (panel/teknik) görüşmeye alınır. Kapsamlı görüşmeye ilgili Birim Müdürü, gerekirse bağımsız başka bir Birim Müdürü ve İnsan Değerleri ve Kurumsal İletişim Direktörü/Yöneticisi/Uzmanı katılabilir. Bu görüşmenin sonunda İnsan Değerleri ve Kurumsal İletişim Yöneticisi görüşme notlarını İnsan Değerleri ve Kurumsal İletişim Direktörü’ne iletir. Son aşamaya kalan adayların referans araştırmaları da İnsan Değerleri ve Kurumsal İletişim Departmanı tarafından formda belirtilir. Mavi yaka için ilgili birim müdürünün, beyaz yaka kadroları için ilgili bölüm Müdürü/Direktörü ve Yönetici pozisyonları için Genel Müdür’ ün onayı ile işe başlatma yerleştirme işlemleri başlatılır.
Seçme işlemleri sonunda işe alınması uygun görülen aday İnsan Değerleri ve Kurumsal İletişim Departmanı tarafından şirkete davet edilir, İnsan Değerleri ve Kurumsal İletişim Yöneticisi/Direktörü tarafından kendisine özlük ve yan haklar konusunda nihai açıklamalar yapılır. Karşılıklı olarak anlaşma sağlanması halinde adayın işe başlatılabilmesi için adaya mail üzerinden yazılı olarak iş teklifi yapılır ve "İşe Giriş Evrak Listesi Formu" ekinde iletilir.
İşe alınması Yönetim Kurulu tarafından onaylanan kişilerin bilgileri Ücretlendirme ve Yan Haklar Uzmanı tarafından kontrol edildikten sonra, adaya "İş Sözleşmesi MY" / "İş Sözleşmesi MY" vb. ile birlikte aşağıda yer alan “İşe Girişte İmzalatılacak Evraklar” ı imzalatır, SGK işe giriş işlemlerini yapar, adayın bilgilerini şirketin kullanmakta olduğu İK yazılım programına, PDKS’ ye vb. kaydeder. İşbaşı yapacak personelin Bilgi Teknolojileri tarafından hazırlanması gereken süreçleri işbaşı öncesinde “İşe Giriş Check List Formu” ile Yönetici onayı dahilinde İnsan Değerleri ve Kurumsal İletişim Yöneticisi tarafından Bilgi Teknolojileri Yöneticisi’ne mail yolu ile iletilir ve tamamlanması sağlanır.
Demirbaş/Malzeme/Araç ve Gereç Eşyaları Kullanma başlığında belirtildiği üzere; ilgili departmanlar tarafından “DERENPAK Uygulama Merkezi” https://derenpak.com.tr/ linki üzerinden Demirbaş İşlemleri modülüne demirbaş sistem kaydı yapılır.
Oryantasyon ve İşbaşında Eğitim başlığında belirtildiği üzere; oryantasyon ve işbaşı eğitimleri ve bilgileri İnsan Değerleri ve Kurumsal İletişim Departmanı tarafından, iş sağlığı ve güvenliği eğitimi İSG Yöneticisi tarafından verilir ve oryantasyon ve işbaşı eğitiminin devamı ve işbaşı için aday, İnsan Değerleri ve Kurumsal İletişim Departmanı tarafından ilgili departmana yönlendirilir.
Tüm şirket genelinde her pozisyonun sorumlu olduğu işler, bağlı bulunduğu bölüm, raporladığı pozisyonlar, raporlayan pozisyonlar, yetki ve sorumluluklar, teknik ve kişisel yetkinlikler görev tanımları üzerinde belirtilmiştir. DERENPAK ’nun tüm çalışanları, görev tanımında belirtilen maddeleri ya da işleri, kaliteli hizmet anlayışı içinde değerlendirmek ve yerine getirmekle sorumludur. Görev tanımları, QDMS sistemi üzerinde bulunmakta olup, çalışanlar isterlerse kendileriyle ilgili görev tanımlarına ulaşabilirler. Görev tanımlarında meydana gelebilecek değişiklikleri, İnsan Değerleri ve Kurumsal İletişim Departmanı ve ilgili bölüm yöneticileriyle koordineli olarak ve gerektiğinde o pozisyondaki çalışanla görüşerek gerçekleştirir. Görev tanımlarındaki değişiklikler ilgili departmanın en üst amiri onaylanarak yürürlüğe girer.
Mevcut görev tanımının revize edilmesi ya da terfi ve atama sonucu pozisyon ve unvanı değişen çalışana, “Personel Ücret ve Görev Değişiklik Formu” nun onaylanması sonrasında, yeni görev tanımı İnsan Değerleri ve Kurumsal İletişim Departmanı tarafından çalışana tebliğ edilir.
İnsan Değerleri ve Kurumsal İletişim Departmanı ilgili departman yöneticisi tarafından hazırlanan, revize edilen ve onaylanan görev tanımları ıslak imzalı ya da Kayıtlı Elektronik Posta (EDM) üzerinden tüm ilgili personelin EDM adresine gönderilerek imza altına alınmış olur.
Oryantasyon programının amacı DERENPAK bünyesine yeni katılan personeli şirketin genel yapısı, kurum kültürü, organizasyonu, çalışma düzenleri hakkında bilgilendirmek, işe uyum sürecinin önceden belirlenen plana uygun yürütülmesini sağlamaktır. Oryantasyon ve İşbaşında Eğitim süreci, iş bu Yönetmeliğin Oryantasyon ve İşbaşında Eğitim süreci ana başlığında detaylı anlatılmıştır.
DERENPAK ’ ya bağlı işletmelerde çalışacak personel için deneme süresi; sendika üyesi mavi yaka için 4 ay, sendika üyesi olmayan mavi yaka ve beyaz yaka için ise 2 aydır.
Daha önce şirketimizde çalışan ve aynı pozisyonda tekrar işe alınan kişilere deneme süresi uygulanmamaktadır. Ancak, çalışanın daha önce çalıştığı pozisyonun şartlarının ve gerekliliklerinin değişmiş olması halinde ise deneme süresi uygulanmaktadır.
Personelin deneme süresinin dolmasına 15 gün kala “DERENPAK Uygulama Merkezi” https://derenpak.com.tr/ linki üzerinden ilgili direktörlüğe/bölüm/birim müdürü/yönetmenine “Deneme Süresi Değerlendirme ve Atama Formu” eşliğinde "Deneme Süresi Bilgilendirme Maili" yönlendirilir. İşe yeni başlayan personel deneme süresi sonunda başarı gösteremez ise işine son verilir.
Personelin 6 ayı doldurmasına 30 gün kala yine sistem üzerinden ilgili yöneticiye “6 aylık deneme ve uyum süreci bilgilendirme” maili yönlendirilir.
Eğer deneme süresi sonrası bir ücret değişikliği söz konusu ise “Personel Görev/Ücret Değişikliği Formu” üzerinde Genel Müdür onayı alınır. Aynı süreç personel görev değişikliğinde de geçerlidir.
Kadro değişiklikleri veya iptal işlemleri söz konusu ise, “Personel Görev/Ücret Değişikliği Formu” ile mevcut personelin, kurum içinde faydalı olabileceği bir başka alan varsa bu tespit edilerek rotasyonu sağlanır. Rotasyon yapılamıyorsa kurum ile ilişkisi kesilir. Boşalan göreve getirilecek yeni personel için seçme yerleştirme prosedürü en baştan işlemeye başlar.
DERENPAK ’ ya bağlı işletmelerde, iş akdi feshedilecek personelin birim yöneticisi tarafından İnsan Değerleri ve Kurumsal İletişim Departmanında Ücretlendirme ve Yan Haklar Birimine personelin iş akdi fesih tarihi ve gerekçesi mail yoluyla bildirilir. İş akdi fesihleri, mavi yaka personel için, ilgili Birim Müdürü’nün onayı ile, beyaz yaka personel için ise ilgili birim müdürünün/direktörünün/Genel Müdürün bilgisi ve onayı ile yapılır. Yukarıda belirtilen onaylardan sonra işveren tarafından iş akdi feshedilen personel veya iş akdini istifa yoluyla kendisi fesheden personel Ücretlendirme ve Yan Haklar Birimine yönlendirilir.
İş akdi feshi sırasında, demirbaş envanter kaydı İnsan Değerleri ve Kurumsal İletişim Direktörlüğü ve Bilgi Teknolojileri Direktörlüğü tarafından yapılır. İşten çıkış halinde, İnsan Değerleri ve Kurumsal İletişim Direktörlüğü (İdari İşler Yönetmeni) tarafından “DERENPAK Uygulama Merkezi” https://derenpak.com.tr/ linki üzerinden Demirbaş İşlemleri modülünde “Demirbaş/malzeme/araç ve gereç Zimmet İşten Çıkış Teslim Formu” oluşturulur. Bilgi Teknolojileri Direktörlüğü elektronik zimmetleri, İnsan Değerleri ve Kurumsal İletişim Direktörlüğü (İdari İşler Yönetmeni) ise elektronik zimmet haricindeki zimmetleri teslim alır ve form taraflarca imzalanır. İnsan Değerleri ve Kurumsal İletişim Direktörlüğünde Ücretlendirme ve Yan Hakları Birimi söz konusu personelin iş akdi fesih işlemini, düzenlendikten sonra gerçekleştirir.
İş akdi feshedilen personelin işten çıkış işlemleri, Ücretlendirme ve Yan Haklar Birimi tarafından aşağıda yer alan “İşe Akdi Feshi Sırasında İmzalatılacak Evraklar” hazırlanarak personele tebliğ edilir, SGK İşten Ayrılış Bildirimi yapılır, adayın işten çıkışına ilişkin bilgiler İK yazılım programına, PDKS’ ye vb. kaydedilir ve adayın e-mail bilgisinin kapatılması için Bilgi Teknolojileri Departmanına mail yoluyla bilgi verir.
Ayrıca işten ayrılmalarda çıkış anketinin yapılması amaçlanmıştır. "İşten Ayrılan Personel Anket Formu" Ücretlendirme ve Yan Haklar Birimi tarafından işten ayrılan personele doldurtulacaktır. İşten Ayrılan Personel Anket Formları gizli bir şekilde Genel Müdür’ün görmesi de sağlanarak İnsan Değerleri ve Kurumsal İletişim Departmanında saklanır. İşten Ayrılan Personel Anket Formunun amacı elemanın işten ayrılma nedenlerinin nesnel olarak ortaya konmasının sağlanmasıdır.
Anket süreci tamamlanan personele, Ücretlendirme ve Yan Hakları Uzmanı tarafından aşağıda belge/form ve tebligatlar tebliğ edilir. Ayrıca yaş haddinden emekli olarak ayrılan personele “Hizmet Sertifikası” İnsan Değerleri ve Kurumsal İletişim yönetmeni tarafından takdim edilir.
İş akdi feshi sırasında, demirbaş envanter kaydı İnsan Değerleri ve Kurumsal İletişim Direktörlüğü ve Bilgi Teknolojileri Departmanı tarafından yapılır. İşten çıkış halinde, İK (İdari İşler Yöneticisi) tarafından “DERENPAK Uygulama Merkezi” https://derenpak.com.tr/ linki üzerinden Demirbaş İşlemleri modülünde “Demirbaş/malzeme/araç ve gereç Zimmet İşten Çıkış Teslim Formu” oluşturulur. Bilgi Teknolojileri Departmanı elektronik zimmetleri, İK (İdari İşler Yöneticisi) Departmanı ise elektronik zimmet haricindeki zimmetleri teslim alır ve form taraflarca imzalanır. İnsan Değerleri ve Kurumsal İletişim Departmanı, söz konusu personelin iş akdi fesih işlemini, düzenlendikten sonra gerçekleştirir.
Zimmet/Demirbaşların teslimi süreci, iş bu Yönetmeliğin Demirbaş/Malzeme/Araç ve Gereç Eşyaları Kullanma ve Takibi süreci ana başlığında detaylı olarak anlatılmıştır.
Belirsiz süreli iş sözleşmesiyle istihdam edelin çalışan ya da işveren, beraber çalışamayacaklarını düşünüyorlarsa, iş sözleşmesini fesheden taraf aşağıda belirtilen ihbar sürelerine uymak zorundadır. Bildirim şartına uymayan taraf aşağıda belirtilen sürelere ilişkin ücret tutarında tazminat ödemekle yükümlüdür.
İhbar süreleri, işe giriş tarihinden başlamak üzere, hizmet süresi;
İhbar süresini kullanarak işten ayrılmak isteyen çalışanlar, durumu departman yöneticisine yazılı olarak bildirir. İlgili departman yöneticisi de kendisini yapılan başvuruyu İnsan Değerleri ve Kurumsal İletişim Departmanında Ücretlendirme ve Yan Haklar Birimine iletir. İstifa eden çalışan, yukarıda belirtilen ihbar sürelerine uymak zorundadır. Ancak, departman yöneticisinin uygun görmesiyle bu süre kısaltılabilir ya da hiç uygulanmayabilir. İstifa edenlere ihbar tazminatı ödenmez.
Özellikle yönetici pozisyonlar için, kendi iş sözleşmelerinde belirtilen hükümler saklıdır.
Kıdem tazminatına hak kazanma şartları aşağıdaki gibidir:
DERENPAK ’ da en az 1 yıl çalışmış olmak ön koşuluyla;
çalışanın işe başladığı tarihten itibaren hizmet akdinin devamı süresince her geçen tam yıl için işveren tarafından çalışana 30 günlük ücreti tutarında kıdem tazminatı ödenir.
Şirketimizde çalışmakta iken, istifa, evlilik, emeklilik, emeklilik için yaş dışında diğer şartları taşıma (3600 hakkı) ya da haklarını alarak vb. şekilde işten ayrılan kişiler, prensip olarak tekrar şirketimizde işe alınmamaktadır. Ancak, teknik ve uzmanlık gerektiren kişi ve pozisyon özelinde ihtiyaç analizi yapılarak tekrar işe alımları, Genel Müdür onayına tabidir.
İşveren işin ve işyeri koşullarının gerekli kılması durumunda, çalışanın ücretinde indirim yapmaksızın, işyerindeki görevini başka bir benzer iş ve görev unvanı ile muvafakat aranmaksızın geçici veya devamlı olarak değiştirebilir. Çalışan, işverenin Türkiye içinde kurduğu, kuracağı bütün işyerlerine gitmeyi, işverenin Türkiye sathındaki bütün işyerlerinde çalışmayı işbu yönetmelikle kabul ve taahhüt etmektedir.
Çalışan, varsa aynı şirketler topluluğuna bağlı başka bir işyerinde veya başkaca bir işverene ait işyerinde çalışmak üzere ödünç ilişkisi çerçevesinde görevlendirebilecektir. Çalışan, bu hususta iş yasasında yer alan yasal düzenleme çerçevesinde ödünç iş ilişkisi gereğince başkaca bir işveren nezdinde çalışmaya ve bu işverenle geçici iş ilişkisi kurulmasına işbu yönetmelikle muvafakat etmektedir. Çalışan, ödünç iş ilişkisi çerçevesinde çalışmasının gündeme gelmesi halinde, işverence talep edilmesi durumunda ayrıca bu husustaki yazılı muvafakatini de işverene sunmakla yükümlüdür.
Yer değişikliği ya da terfi ve atama sonucu pozisyon ve unvanı değişen çalışana, “Personel Ücret ve Görev Değişiklik Formu” nun onaylanması sonrasında, çalışana; İSG Uzmanı tarafından İSG Eğitimi verilir, İşyeri Hekimi tarafından periyodik sağlık muayenesi yapılır, İnsan Değerleri ve Kurumsal İletişim Departmanı tarafından görev tanımı tebliğ edilir.
Lise ve dengi mesleki ve teknik öğretim kurumlarında okumakta olan öğrenciler okul dönemi boyunca, yükseköğrenim kurumlarında okumakta olan öğrenciler de yaz dönemi ya da okul dönemi boyunca, stajlarının resmi ve zorunlu olması şartıyla şirketimiz bünyesinde stajlarını gerçekleştirebilirler. Stajyer öğrencilerimize kanunen belirlenen tutarda ücret ödemesi yapılır.
Departmanlar stajyer taleplerini, yaz staj dönemi için nisan ayına kadar, kış staj dönemi için ise ağustos ayına kadar mail ortamında İnsan Değerleri ve Kurumsal İletişim Departmanına iletirler. İnsan Değerleri ve Kurumsal İletişim tarafından konsolide edilen talepler Genel Müdürlük onayına sunulur ve onaylanan bölüm ve stajyer talepleri temin edilir.
Stajlara ilişkin bilgi, belge ve formlar, ilgili stajyerin özlük dosyasında muhafaza edilir.
DERENPAK da işe başlayan tüm Beyaz Yakalı personel için düzenlenen ve katılımın zorunlu tutulduğu eğitim olup, uygulamaları aşağıda belirtilmektedir.
İşe alma ve yerleştirme süreci çerçevesinde istihdamı gerçekleştirilen personel, işbaşı İşlemleri ve özlük dosyasının oluşturulması amacıyla İK Departmanı tarafından kabul edilir ve aşağıda yer alan konularda genel bilgilendirme yapılır:
İnsan Değerleri ve Kurumsal İletişim Departmanı Tarafından;
İşe yeni başlayan tüm Beyaz Yakalı personele, “Görev Tanımı”, İnsan Değerleri ve Kurumsal İletişim Departmanı tarafından yazılı ve ayrıca KEP sistemi üzerinden tebliğ edilir. Tebliğ edilen görev tanımının bir nüshası, personelin özlük dosyasında Oryantasyon Formunun ekinde saklanır. İşe yeni giren kişi, İK Departmanı tarafından gerçekleştirilen eğitimden sonra, departman içi oryantasyon eğitimi için, istihdam edildiği ilgili departmana yönlendirilir. Oryantasyon Formu teslim edilen adaya departmanında bulunan bir kişi oryantasyon koçu olarak atanır ve departman içi eğitimi tamamlanan kişinin diğer departmanla yapacağı oryantasyon programının planlaması ve tamamlanmasını sağlanarak Oryantasyon Formu İnsan Değerleri ve Kurumsal İletişim Yöneticisi’ne teslim edilir.
İK Departmanı’nda gerçekleştirilen işbaşı işlemleri ve eğitim sonrası, ilgili personelin gerek tanışma gerekse pozisyonu gereği etkileşim içerisinde olacağı departmanlar/pozisyonlar ile belli bir program kapsamında yürütülen eğitim sürecidir.
Yeni giren personelin diğer departman ve pozisyonlar ile gerçekleştirdiği Dış Oryantasyon Süreci öncesinde bölüm işleyişi ve pozisyona yönelik görev kapsamında yapılacak İç Oryantasyon Süreci’ni kapsamaktadır.
Aşağıda yer alan konuları kapsaması beklenen bu eğitim ile ilgili sürelendirme, Oryantasyonu gerçekleştirecek Bölüm Yöneticisi tarafından belirlenir.
Bölüm İçi Eğitim Konuları:
Bölüm Yöneticisi tarafından gerçekleştirilen eğitim ile birlikte iç oryantasyon süreci tamamlanmış olur.
Oryantasyon eğitimi, “Oryantasyon Eğitim Formu” ve “Oryantasyon Programı Kontrol Çizelgesi Formu” nun İK Departmanı tarafından tanzimi başlatılır. Departman yöneticisi tarafından atanan Oryantasyon Koçu, diğer departmanlar ile gerçekleşecek görüşme planlamasına destek olur.
Yeni giren personelin Oryantasyon Eğitimi için departmanlara yapacağı ziyaret kapsamında, ilk kabul Departman Yöneticisi tarafından yapılacak ve departman çalışanları tanıştırılacaktır. Departman Yöneticisi, yeni giren personelin pozisyonuna uygun olarak, eğitimin kendisi veya yönlendireceği eşdeğer pozisyondaki departman personeli aracılığı ile gerçekleştirilmesini sağlayacaktır.
Genel Müdürlük ile yapılacak olan Oryantasyon Eğitimi ise, -gerek duyulduğu taktirde- işbaşı yapan personelin yöneticisi veya kendisi tarafından Genel Müdürlükten alınacak randevu ile gerçekleştirilir. İşbaşı yapan Beyaz Yakalı personel, Genel Müdür ile yapılacak görüşmeye “Görev Tanımı” ile gidecektir.
Oryantasyon Eğitimi gerçekleştirilen departmanlarla eğitim sonrası karşılıklı imza atılır ve eğitim süreci tamamlanır.
Oryantasyon sürecini tamamlayan personel formunu süre sonunda İnsan Değerleri ve Kurumsal İletişim Departmanı’ na teslim eder.
Genel ve İş Merkezli Oryantasyon Programı’nın bitirilerek İnsan Değerleri ve Kurumsal İletişim Departmanı’na teslimi sonrası, Oryantasyon Programı’nın yeterliliğinin ölçülmesi amacıyla oluşturulan “Oryantasyon Memnuniyet Anketi” nin oryantasyon gören tarafından doldurulması sağlanır.
Anket üzerinden alınan sonuçlar ile oryantasyonun yetersizliğinin tespiti halinde, eksikliklerin giderilmesine yönelik olarak oryantasyonun ek sürelerle veya ilave konu başlıkları ile yinelenmesi sağlanmaktadır.
Oryantasyon Eğitimi alan personel “Oryantasyon Memnuniyet Anketi Formu” ile eğitim aldığı ilgili yöneticilikleri ve eğitimcileri değerlendirerek İnsan Değerleri ve Kurumsal İletişim Yöneticisi’ne teslim eder. Bu formda verilen yanıtlar gizlilik ilkesi çerçevesinde sadece İK Departmanı ve GM tarafından değerlendirilir ve saklı tutulur.
DERENPAK ’ da işe başlayan tüm Mavi Yakalı personel için düzenlenen ve katılımın zorunlu tutulduğu eğitim olup, uygulamaları aşağıda belirtilmektedir.
İşe alma ve yerleştirme süreci çerçevesinde istihdamı gerçekleştirilen personel, işbaşı işlemleri ve özlük dosyasının oluşturulması amacıyla İK Departmanı tarafından kabul edilir ve “İşbaşında Eğitim Formu” ve “İşbaşında Eğitim Programı Kontrol Çizelgesi Formu” kapsamında İK Departmanı ve İSG Uzmanı tarafından; şirketin tarihçesi, organizasyon yapısı, prosedür ve talimatlar, sağlık-ulaşım-yemek hizmetleri, İSG ve sendikalı personel için Toplu İş Sözleşmesi çerçevesinde ücret ve sosyal imkanlara ilişkin genel kurallar aktarılır ve işbaşı eğitiminin devamı ve işbaşı için aday, İK Departmanı tarafından ilgili departmana yönlendirilir.
İlk Kademe Yöneticiler Tarafından İşbaşında Eğitim Süreci’ne Alınan Personele;
İlk Kademe Yöneticiler tarafından yukarıdaki konular hakkında verilen eğitim sonrası işbaşı yaptırılan adaya ait, eğitim verildiğine / görüldüğüne dair imzaların yer aldığı “İşbaşında Eğitim Formu” ve “İşbaşında Eğitim ve Kontrol Çizelgesi Formu” ilgili personelin özlük dosyasında saklanmak üzere en geç 2 hafta içerisinde İK Departmanına teslim edilir.
Tebligat Mevzuatı ve KEP Mevzuatı kapsamında şirket olarak aylık ücret bordo gönderimleri, yıllık izin cetvellerinin gönderimleri, kişisel bazda aylık PDKS kayıtları olmak üzere, devamsızlık, disiplin cezası, talimatlar vb. İK Departmanının iş ve işlemlerinin ihtiyacı olan konularda KEP kullanılmakta ve ihtiyaç duyulan tebligatlar, İK Departmanı tarafından çalışanlarımıza KEP üzerinden tebliğ edilmektedir.
İşe yeni başlayan ve işten ayrılan personelin KEP kapsamındaki başvuru formu, protokol, taahhütname vb. süreçleri İnsan Değerleri ve Kurumsal İletişim Departmanı tarafından yönetilmektedir.
Kişisel Verilerin Korunması Kanunu (KVKK) Mevzuatı kapsamında şirketlerimizin VERBİS kayıtları yapılmıştır. Süreç ve işleyiş hakkında Danışman Firma desteği alınmakta olup işleyiş online olarak “İzin Sistemi” yazılım ve paket program üzerinden ilgili departmanlar/kişiler tarafından takip edilmekte ve yönetilmektedir. Konu hakkındaki detaylı bilgi ve işleyiş, Kişisel Verilerin Korunması, İşlenmesi, Saklaması ve İmha Politikası ve ekinde bulunan prosedürlerde anlatılmakta olup ilgili politika ve prosedürlere https://derenpak.com.tr/ portalı üzerinden Kalite Doküman Entegre Yönetim Sistemi (QDMS) butonuna tıklanılarak QDMS sistemi üzerinden erişilebilir.
Çalışan, işbu Yönetmelik kapsamında göreviyle ilgili olarak, kendisi ile paylaşılan ve/veya işi gereği öğrendiği müşterilere ya da çalışanlara ait Kişisel Verilerin (özel nitelikli kişisel veriler dâhil) paylaşılması durumunda, başta işbu Kişisel Verileri 6698 sayılı Kişisel Verilerin korunması Kanunu ile ilgili mevzuat (“Kişisel Veriler Mevzuatı”) kapsamında belirlenen usul, esas ve ilkelere uygun olarak ve sadece Yönetmelik kapsamında yerine getirmekle yükümlü olduğu edimlerin ifası için gerekli olduğu ölçüde işleyeceğini; bu bilgileri gizli tutacağını; amacı dışında kullanmayacağını ve herhangi bir işleme tabi tutmayacağını; iş ilişkisinin herhangi bir nedenle son bulması durumunda söz konusu kişisel verileri hiç bir şekilde kendi uhdesine almayacağını, şirket/işyeri dışına çıkarmayacağını, çıkarmış olması halinde derhal imha edeceğini, gizlilik ve kişisel verilerin korunması ile alakalı tüm dikkat ve ihtimamı ölçüde göstermekle yükümlüdür. Şu kadar ki Çalışan, yasal zorunlulukları kapsamında gerektiği ölçüde kişisel verileri saklayabilecektir.
Çalışan, kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi durumunda, bu durumu derhal veri sorumlusu ve/veya işleyeni, veri sahibine ve veriyi ileten tarafa bildirmeyi kabul ve beyan eder. Çalışan, kişisel veriyi iletenin talebi halinde ilgili veri sahibi ile bağlantılı olarak elinde tuttuğu işbu Yönetmelik kapsamdaki herhangi bir Kişisel Verinin açıklamasını ve işleme iznini derhal veriyi ileten tarafa sunmak da dâhil olmak üzere, veriyi iletenin herhangi bir şikâyeti ya da iddiayı ele almak için uygun bulduğu herhangi bir adımı atmasına yardımcı olacaktır.
Çalışan, muhafaza edilen ve işlenen kişisel verilerin güvenliğini sağlamak amacıyla hukuken zorunlu olan her türlü teknik ve idari güvenlik tedbirini almakla, müştereken sorumlu olunan kişisel olarak karşı taraftan gelen “verilerin güvenliğinin sağlanması” taleplerini makul bir sürede yerine getirmekle yükümlüdür. Çalışan, kişisel verilerin güvenliğini korumak için, risk ile orantılı seviyede olmak üzere uygun fiziki, teknik ve yapısal önlemleri alacak, ayrıca bu verilerin işlendiği sistemlerin ve servislerin gizliliğini, bütünlüğünü, kullanılabilir olmasını ve dayanıklılığını sağlayacaktır.
Çalışan, Kanun, Kişisel Veriler Mevzuatı ve Kişisel Verileri Koruma Kurulu kararları başta olmak üzere, kişisel verilerin korunması ile ilgili yürürlükte bulunan tüm düzenlemelere, usul ve esaslara uygun davranmakla yükümlüdür.
Çalışan, işbu Yönetmelik ve işbu Yönetmelik ile sıkı biçimde bağlı olan iş sözleşmesi kapsamında hizmetin ifası için kişisel verilerin muhafaza edilmesi ve işlenmesi ile ilgili olarak görevi kapsında veri İşleyicisi olduğunu beyan ve kabul eder.
İşe giren personelin KVKK kapsamında “Kişisel Verilerin İşlenmesine Yönelik Çalışan Açık Rıza Onay Metni” ve “Kişisel Verilerin Korunması Çalışan Aydınlatma Metni” onayları, işe giriş işlemleri sırasında İzin Sistemi üzerinden online olarak İK Departmanı tarafından alınmaktadır.
Şirketimize iş başvurusu için gelen çalışan adaylarının KVKK kapsamında “Kişisel Verilerin İşlenmesine Yönelik Çalışan Adayı Açık Rıza Onay Metni” ve “Kişisel Verilerin Korunması Çalışan Adayı Aydınlatma Metni” onayları, adayın iş başvuru formunu doldurması aşamasında İzin Sistemi üzerinden online olarak Güvenlik Biriminde ilgili Güvenlik Personeli tarafından alınmaktadır.
Ayrıca, çalışan adayların, “DERENPAK Uygulama Merkezi” https://derenpak.com.tr/ linki üzerinden ziyaretçi işlemleri modülüne kaydı, Güvenlik Personeli tarafından yapılır.
Şirketimize misafir, ziyaretçi, tedarikçi vb. olarak gelen kişilerin KVKK kapsamında “Kişisel Verilerin İşlenmesine Yönelik Ziyaretçi Açık Rıza Onay Metni” ve “Kişisel Verilerin Korunması Ziyaretçi Aydınlatma Metni” onayları, kişinin Güvenlik noktasından geçişi sırasında İzin Sistemi üzerinden online olarak Güvenlik Biriminde ilgili Güvenlik Personeli tarafından alınmaktadır.
Ayrıca, ziyaretçilerin, “DERENPAK Uygulama Merkezi” https://derenpak.com.tr/ linki üzerinden ziyaretçi işlemleri modülüne kaydı, Güvenlik Personeli tarafından yapılır.
KVKK İzin Sisteminin sağlıklı sürdürülebilmesi için açılan ve/veya kapan mağaza ve bayi bilgilerinin, ilgili Satış Müdürü tarafından KVKK kapsamında hizmet alınan Danışman Firmaya ve Bilgi Teknolojileri Departmanına bildirilmesi gerekmekte olup, sonrasında sürecin işlerliğinin takip edilmesi ilgili Satış Müdürü’nün sorumluluğundadır.
Perakende mağazalarımıza gelen müşterilerin “Kişisel Verilerin İşlenmesine Yönelik Müşteri Açık Rıza Onay Metni” ve “Kişisel Verilerin Korunması Müşteri Aydınlatma Metni” onayları, müşterinin işlemi sırasında İzin Sistemi üzerinden online olarak, ilgili Mağaza Müdürü ve/veya Mağaza Satış Danışmanı tarafından alınmaktadır.
Bayilerimize gelen müşterilerin “Kişisel Verilerin İşlenmesine Yönelik Müşteri Açık Rıza Onay Metni” ve “Kişisel Verilerin Korunması Müşteri Aydınlatma Metni” onayları, müşterinin işlemi sırasında İzin Sistemi üzerinden online olarak, ilgili Bayi ve/veya Mağaza Personeli tarafından alınmaktadır.
Personelin, işyerinde ve işverene bağlı çalışması sırasında ya da buradan sağladığı doğrudan veya dolaylı olanakla yapılan buluşlar, çizimler, tasarımlar, modeller ve koleksiyonlar, Personelin İşveren için çalıştığı zaman içinde yarattığı değerler, müşteri portföyü, öğrendiği tüm know-how, yazılı metin, kayıt ve buna benzer tüm ürün ve eserler üzerinde İşveren münhasıran hak sahibidir. İşveren tarafından Personele ödenen ücret aynı zamanda bu tür buluşların ve hizmetlerin bedelini de içermektedir. Bunlar üzerindeki her türlü entelektüel mülkiyet hakları da sadece İşveren’ e aittir. Bu hususta İşveren tarafından Personel’ e ekstra bir ücret ödenmeyecektir. Personelin bunlar üzerinde herhangi bir hakkı söz konusu olmadığı gibi, işverenin yazılı onayı dışında Personel bunları tek başına kullanamaz veya 3. kişilerin kullanımına tahsis edemez. Aksi halde, İşveren personelin iş akdini haklı nedenle ve tazminatsız olarak fesih hak ve yetkisine sahiptir. Personel, İşverenin bu nedenle uğrayacağı tüm zararlarını tazmin etmekle yükümlüdür.
Personel, işyerindeki çalışma süresince, ifa ettiği işle ve işyeri ile ilgili veya İşveren’e ait hiçbir mesleki, ticari veya şahsi sırrı ya da bilgiyi, hedef ve stratejiyi resmi ve gayri resmi hiçbir bilgi, belge, doküman, kayıt ve benzeri unsurları İşveren’ in personeli de dâhil olmak üzere bir başkasına açıklayamaz. Personel, işyerindeki çalışması nedeniyle edindiği teknik proje, çizim, koleksiyon, model ve bilgilerle, İşverenin ortaklık yapısına, mali durumuna, tedarikçi ve müşterilerine, satış, pazarlama ve satın alma çalışma ve yöntemlerine ilişkin bilgileri hiçbir şekilde ve nedenle bir başkasına açıklayamaz ve kendisi veya bir başkası adına kullanamaz.
Personel, çalışma süresince eline geçen belgelerden veya İşveren’ e ait resmi ve gayrı resmi belgelerden kayıt ve kopya alamaz, bunları çoğaltamaz, paylaşamaz ve işle ilgili yerler dışında bulunduramaz. Personel bu maddede yer alan bilgi ve belgelerin korunması için gerekli her türlü tedbiri alır. İşyeri kayıt, bilgi ve belgelerinin herhangi bir şekilde kasıt veya ihmal neticesinde silinmesi, kaybolması, zarara uğraması ve manipüle edilmesi, Personel’ in kastı yanında ihmali neticesinde de ilgili olmayan kişilerce bu bilgi ve belgelere ulaşılması da bu maddeye aykırılık teşkil edecek ve Personel’ in sorumluluğunu doğuracaktır. Personelce işbu madde ile düzenlenen hükümlere aykırı davranılması durumunda, İşveren iş akdini derhal, bildirimsiz ve tazminatsız olarak sonlandırma hak ve yetkisine sahip bulunmaktadır. Ayrıca Personel bu durumda İşveren’ in uğrayacağı tüm zararı tazminle de yükümlü olacaktır.
Bu maddede yer alan tüm sınırlamalar, Personel’ in İşveren’ le olan iş ilişkisinin sona ermesinden sonra da süresiz olarak aynen devam edecek olup, Personel, işbu sözleşme hükmüne aykırı davranışı nedeniyle İşverenin uğrayacağı her türlü maddi ve manevi zararları tazminle mükelleftir. Bu maddede düzenlenen hususlara aykırı davranışlarının tespiti durumunda İşveren’ in bu sebeple uğrayacağı tüm zararları tazminle yükümlü olmasının yanı sıra ve bunlara ek olarak, belirtilen taahhütlerinden herhangi birini ihlal etmesi durumunda İşverene, ayrıca, son (brüt) aylık ücretinin 5 katı tutarındaki maktu cezai tazminatı, ödemekle yükümlüdür.
Personel işten ayrıldığı takdirde yukarıda anılan nitelikteki tüm bilgi, belge ve çalışmaların tamamını eksiksiz ve tam olarak, hiçbir zarara uğratılmaksızın, manipüle etmeksizin ve değiştirmeksizin, kopyalamaksızın İşveren’ e teslim ve iade etmek zorundadır.
Personel, İşveren nezdinde ifa ettiği görevi dikkat ve özenle yerine getirmek ve dürüstlük, bağlılık ve sadakatle davranmakla yükümlüdür. İşveren ile hizmet ilişkisi devam ettiği süre boyunca başkaca bir
3. kişi nezdinde, mesai saatleri içinde veya dışında ve/veya yıllık izinde olduğu dönemde, faaliyet konusu ne olursa olsun hiçbir şekilde çalışamaz, bir başka işyerine ortak olamaz, herhangi bir sıfatla görev alamaz, İşveren ile rekabete girişemez ve kendi nam ve hesabına da iş yapamaz. Aksi durum İşveren’ e işbu sözleşmeyi bildirimsiz ve tazminatsız olarak derhal fesih hak ve yetkisi vermektedir.
Personel, iş ilişkisi devam ettiği ve işbu sözleşme yürürlükte kaldığı sürece, İşverenle doğrudan doğruya veya dolaylı rekabet etmeme yükümlülüğü altındadır. Personel, bu hususta yasal mevzuat başta olmak üzere, doğruluk, dürüstlük ve sadakat ilkeleri ile, iyi niyet kurallarından doğan tüm yükümlülüklere uygun davranacaktır. Personel, bu yükümlülüklere aykırı davranışlarının başta İş Kanunu olmak üzere yasal düzenlemelere göre İşveren’ e derhal, haklı nedenle ve tazminatsız fesih hak ve yetkisi vardır.
Personel, taraflar arasındaki iş ilişkisinin sona ermesinden itibaren 2 yıl süresince, işyerinin bulunduğu aynı il sınırları içerisinde, İşveren’in fiili faaliyet konuları çerçevesinde, işyerinde görev tanımı ile aynı ve benzeri mahiyette bulunan işleri kapsamında İşveren’ e rakip olan veya olma potansiyeli bulunan veya bu konumda bulunan şirketlerle aralarında ortaklık ilişkisi bulunan ya da aynı şirketler grubu içerisinde yer alan yerli veya yabancı şirketlerde veya işletmelerde işveren nezdinde yerine getirdiği görevle aynı veya benzer mahiyette görevleri ifa edemez, vekâlet akdi ile de çalışamaz, bu şirket veya işletmelere ortak olamaz, doğrudan veya dolaylı, bedeli karşılığı veya bedelsiz olarak hizmet veya destek veremez, danışmanlık veya işbirliği yapamaz, tavsiye niteliğinde de olsa görüş bildiremez, bunlara bayilik, temsilcilik, acentelik gibi ticari temsil ilişkileri içerisine giremez, bu mahiyetteki şirket veya işletmeler kuramaz ve işletemez, İşveren’ in yurt içindeki ve yurt dışındaki müşterileri, bayileri, satış ve dağıtım kanallarında yer alan kişi ve kurumlar ya da tedarikçileri ile hiçbir şekilde, doğrudan veya dolaylı
olarak ticari ilişki kuramaz, müştereken iş yapamaz, teklif veya sipariş veremez, teklif veya sipariş alamaz, bu kişilere yönelik ticari girişimde bulunamaz.
Personelin iş ilişkisinin devamı süresince veya sona ermesinden sonra da, bu madde ile düzenlenen sorumluluklara ve rekabet yasağı ile ilgili getirilen düzenlemelere aykırı davrandığının tespiti durumunda; rekabete aykırı davranışlarını derhal durdurmayı ve sonlandırmayı, İşveren’in yukarıda anılan fesih hakkı yanı sıra, DERENPAK ’nın uğrayacağı tüm zararlar personele rucü edilir ve belirtilen taahhütlerinden herhangi birini ihlal etmesi durumunda son (brüt) aylık ücretinin 5 katı tutarındaki maktu cezai tazminatı, ödemek zorundadır.
Personel, İşveren tarafından kendisine tahsis edilecek her türlü kod, şifre, manyetik kart vb. unsuru, işyerinin belirlediği ve belirleyebileceği amaçlar dâhilinde kullanmakla yükümlüdür. Personel, göreviyle ilgili olarak kendisine verilecek, kartlı ya da kartsız her türlü şifrenin (e-mail şifresi dahil) gizliliğinden ve korunmasından şahsen sorumludur. Her ne şekilde olursa olsun, şifresini/kartını 3. bir kişiye vermeyecek ve kullandırmayacaktır. Personel bu konuda herhangi bir sorun yaşanması halinde derhal İşveren’ e bilgi vermekle yükümlüdür. Şifresi ile verdiği onaylar imzası yerine geçecek ve şifresiyle verilen onaylardan imzası ile yapılmış gibi sorumlu tutulacaktır. Şifresi ile işyeri içine ve dışına gönderdiği bilgilerden şahsen sorumlu olacaktır. Personel, şifresinin başkaları tarafından kullanılması, onay verilmesi, işlem yapılması, şirket içine ve dışına bilgi gönderilmesi ya da kendisine verilen yetkiyi kötüye kullanması sonucunda, İşveren’ in bu nedenle uğrayacağı zararların tamamından sorumlu olup, bu zararı derhal tazmin etmekle yükümlüdür. Bu durumda İşveren’ in ayrıca derhal ve tazminatsız fesih hak ve yetkisi saklıdır.
İşveren dilerse Personel’ e işyerinde ve iş amaçlı kullanılmak üzere cep telefonu, bilgisayar ve iş yerinin aldığı uzantıya sahip elektronik posta adresi verebilir. Bu durumda Personel kendisine teslim edilen söz konusu araç ve gereçler ile elektronik posta adresini iş dışında herhangi bir özel amaçla kullanamaz, oyun oynayamaz, ahlaka ve hukuka aykırı elektronik posta gönderemez. Personel, Şirkete ait bilgi ve belgeleri hiçbir şekilde internet ve e-posta ortamında aktaramaz ve yayınlayamaz.
Bilgisayar, cep telefonu veya interneti alışveriş, oyun, bahis ve benzeri amaçlarla kullanamaz. Bilgisayar ve internet kullanımı sırasında başta yasa dışı siteler olmak üzere, işi ile ilgisi bulunmayan hiçbir siteyi ziyaret edemez, kullanamaz ve herhangi bir yere kayıt yaptıramaz. Bilgisayar, cep telefonu, internet ve e-posta adresini Facebook, X, Instagram ve benzeri sosyal paylaşım sitelerini, sadece işleri ihtiyaçları hariç olmak üzere, şahsi ve sohbet amaçlı kullanamaz. Bu sosyal paylaşım sitelerinden İşveren aleyhine, beyan ve yorumlarda bulunamaz, İşverenle ilgili herhangi bir fotoğraf paylaşamaz. Personel bu hususta, İşverence ve yürürlükteki mevzuat hükümlerine ve ilgili tüm düzenleme ve yasaklara uygun davranmakla yükümlü olup, bu maddeye aykırı her türlü davranışından ve bu nedenle işverenin uğrayacağı her türlü zarardan tek başına sorumludur.
Personel işin gereği kullanılması için kendisine verilen cep telefonuna, bilgisayarına, işverenin izni olmaksızın herhangi bir program yükleyemez. Personel hiçbir şekilde işyeri çalışanlarıyla ve diğer personellerle herhangi bir whatsapp, wiber, line, tango ve bunlarla sınırlı olmamak üzere benzer iletişim araçlarında gruplar oluşturamaz, İşveren aleyhine yazışmalar yapamaz. Personel bilişim konusunda İşveren’ce getirilen tüm kurallara, uygulamalara, kısıtlamalara ve yasaklara uygun hareket eder. Kendisinin yanı sıra sevk ve idaresinde çalışan personelin de aynen bu madde kapsamında getirilen düzenleme ve sınırlamalara uygun hareket etmesini temin eder ve bu hususu denetler.
İşveren, Personel’ in İşveren unvanı uzantılı elektronik posta trafiğini izleyen yazılımlar kullanabilir. İşveren, Personelin kullanımında olan e-mail, bilgisayar, cep telefonu, internet kullanımı, şirket internet sağlayıcıları aracılığıyla yapılan sosyal medya yazışmaları vb. denetleyebilir ve inceleyebilir. Kullanılan yazılım, denetleme ve incelemeler hiçbir surette haberleşme özgürlüğünün ihlali anlamına gelmez.
Personel, işyerinin tüm bölümlerinin aleni güvenlik kameralarıyla takip edilmek suretiyle, ses ve/veya görüntülerin kayıt altına alındığını, ses ve/veya görüntülere ait güvenlik kamera kayıtlarının delil olarak kullanılabileceğini bilmekte, kabul etmekte ve bu hususa peşinen muvafakat etmektedir. Ayrıca Personel, işbu sözleşme ile şahsi sicil dosyası ve sair kayıtlar içerinde 6698 sayılı Kanun gereği kişisel verilerinin kaydedilmesine ve saklanmasına işbu sözleşme ile muvafakat etmektedir.
Beyaz yaka Disiplin Kurulu; işverenin seçeceği 2, online olarak gerçekleştirilen Beyaz Yaka Disiplin Kurulu İşçi Temsilcisi Anketi sonucuna göre, en yüksek oyu olan 2 beyaz yaka çalışandan olmak üzere 4 kişiden ibarettir. Disiplin Kurulu toplantı çağrıları kurul üyelerinin şirket e-posta adreslerine gönderilecek e-mail yoluyla ya da telefonla iletişim kurularak yapılır. Disiplin Kurulu başkanını işveren tayin eder. Kurul lüzumu halinde taraflardan birinin yazılı talebi veya e-posta yoluyla toplanır. Başkan disiplin kurulu üyelerine yazılı tebligat ya da e-posta atarak toplar. Kurul 2 üyenin katılması ile de toplanabilir. Disiplin Kuruluna sevk edilecek kişinin konuyla ilgili “Soru Açma ve Savunma Alma Tebligatı” ilgili birim yöneticisi tarafından alınır ve Disiplin Kuruluna sevk edilir. Kurul karar verebilmek üzere her türlü delilleri toplar ve gerek duyarsa ilgilileri ve yazılı savunması alınan sanık işçiyi dinler. Kararlar 3 işgünü içinde toplantıya iştirak edenlerin çoğunluğu ile verilir. Başkanın oyu tektir, oyların eşitliği halinde başkanın oyu çifttir. Karar sadece 2 üyenin katılması ile verilmişse ve oyların eşitliği hallerinde başkanın oyu çifttir. İşveren kurulun verdiği kararları ağırlaştıramaz yeni cezalar ihdas edemez ancak, dilediği takdirde cezayı hafifletmek veya tamamen kaldırmak hakkına sahiptir. İhtar/Uyarı Cezası ve Azami 2 Yevmiyeye Kadar Para Cezası disiplin cezaları, Disiplin kurulu kararları ile; İşten Çıkarma Cezası, Tazminatsız Fesih Disiplin kurulu kararları işverenin onayı veya yetkili işveren vekilinin onayı ile yürürlüğe girer, İşveren, disiplin kurulu kararını onaylayıncaya kadar üyenin hizmet akdi devam eder ve ücreti ödenir. Kurul kararları 6 işgünü içinde uygulanır. Uygulanmadığı takdirde verilen karar hükümsüz sayılır. Karar sureti ilgili çalışana yazılı olarak tebliğ edilir.
Disiplin Kurulu işverenin seçeceği 2, sendikanın işyerinden seçeceği iki olmak üzere 4 kişiden ibarettir. Bu şekilde oluşturulan kurul üyelerine birer e-posta adresi tanımlanır. Disiplin Kurulu toplantı çağrıları kurul üyelerinin şirket e-posta adreslerine gönderilecek e-mail yoluyla ya da telefonla iletişim kurularak yapılır. Disiplin Kurulu başkanını işveren tayin eder. Kurul lüzumu halinde taraflardan birinin yazılı talebi veya e-posta yoluyla toplanır. Başkan disiplin kurulu üyelerine yazılı tebligat ya da e-posta atarak toplar. Kurul iki üyenin katılması ile de toplanabilir. Disiplin Kuruluna sevk edilecek kişinin konuyla ilgili Soru Açma ve Savunma Alma Tebligatı ilgili birim yöneticisi tarafından alınır ve Disiplin Kuruluna sevk edilir. Kurul karar verebilmek üzere her türlü delilleri toplar ve gerek duyarsa ilgilileri ve yazılı savunması alınan sanık işçiyi dinler. Kararlar 3 işgünü içinde toplantıya iştirak edenlerin çoğunluğu ile verilir. Başkanın oyu tektir, oyların eşitliği halinde başkanın oyu çifttir. Karar sadece 2 üyenin katılması ile verilmişse ve oyların eşitliği hallerinde başkanın oyu çifttir. İşveren kurulun verdiği kararları ağırlaştıramaz yeni cezalar ihdas edemez ancak, dilediği takdirde cezayı hafifletmek veya tamamen kaldırmak hakkına sahiptir. İhtar/Uyarı Cezası ve Azami 2 Yevmiyeye Kadar Para Cezası disiplin cezaları, Disiplin kurulu kararları ile; İşten Çıkarma Cezası, Tazminatsız Fesih Disiplin kurulu kararları işverenin onayı veya yetkili işveren vekilinin onayı ile yürürlüğe girer, İşveren, disiplin kurulu kararını onaylayıncaya kadar üyenin hizmet akdi devam eder ve ücreti ödenir. Kurul kararları 6 işgünü içinde uygulanır. Uygulanmadığı takdirde verilen karar hükümsüz sayılır. Karar sureti sendikaya ya da işyeri temsilcilerine ve işçiye verilir.
Yasaklara riayetsizlik halinde tatbik edilen cezalar (A), (B), (C) rumuzlarıyla gösterilmiştir. Bu cezalar Disiplin Kurulu Kararı olmaksızın uygulanamaz.
İşlenen hatalı fiillerin bir yıl içerisinde tekrarlanması durumunda bir üst seviyedeki ceza uygulanır. Aşağıda ayrıca düzenlenmemiş olsa dahi işbu yönetmelikte düzenlenmiş kural ve yükümlülüklerin ihlali halinde ağırlıklarına göre aşağıda benzer ağırlıktaki yasaklara öngörülen cezalar uygulanır.
Daha ağır bir yaptırımı gerektirmemek kaydı ile aşağıdaki hallerde ilgili çalışana Uyarı / ihtar cezası verilir.
İş Kanunu hükümlerine göre işçinin işten çıkarılması halleri mahfuz kalmak şartı ile aşağıda gösterilen hallerde de işçiye işten çıkarma cezası verilir.
Turkish
English