İş süreçlerinin gereksinimi olarak her türlü bilgi, en az kesintiyle kapsam dâhilindeki birimler, hizmet alanlar, hizmet verenler ve gereken üçüncü taraflarca erişilebilir olacaktır.
Bilgilerin bütünlüğü her durumda korunacaktır.
Hizmet alanlar ve verenler ya da üçüncü taraflara ait olmasına bakılmaksızın, üretilen ve/veya kullanılan bilgilerin gizliliği her durumda güvence altına alınacaktır.
Uygun erişim kontrolü sağlanacak ve bilgi yetkisiz erişime karşı korunacaktır.
Bilgi Güvenliği Yönetim Sisteminin tasarımı, uygulaması ve sürdürülmesi aracılığıyla riskler kabul edilebilir düzeylere indirilecektir.
Bilgi; bilginin elektronik iletişimi, üçüncü taraflarla paylaşımı, araştırma amaçlı kullanımı, gibi kullanım biçimlerinden bağımsız olarak korunacaktır.
Bilgi varlıkları, gizlilik dereceleri ile tanımlanacak ve çalışanlar tarafından uygulanması ile gizliliği ve bütünlüğü sağlanacaktır.
Yasalar, yönetmelikler, genelgeler, sözleşmeler ile belirlenmiş gereksinimler karşılanacak, bunlar ile uyumlu çalışma sağlanacaktır.
Kritik iş süreçlerini büyük felaketlerin ve işletim hatalarının etkilerinden korumak amacıyla iş sürekliliği yönetimi uygulanacak ve iş sürekliliği yönetimi uygulama esası oluşturulacaktır. Bilgi teknolojileri iş sürekliliği planının sürekliliği sağlanacak ve test edilecektir.
Personelin bilgi güvenliği farkındalığını artıracak ve sistemin işleyişine katkıda bulunmasını teşvik edecek eğitimler düzenli olarak kurum çalışanlarına ve yeni işe giren çalışanlara sağlanacaktır.
Bilgi güvenliğinin gerçek ya da şüpheli tüm ihlalleri rapor edilecek; ihlallere sebep olan uygunsuzluklar tespit edilecek, ana sebepleri bulunarak tekrar etmesini engelleyici önlemler alınacaktır.
Çalışma alanlarında, “Temiz Ekran/Temiz Masa” prensiplerine uygun olarak, tasnif dışı özellikteki bilgiler dışında bilgilerin, başkalarınca görülmesine imkan verilmeyecek şekilde önlemler alınacaktır.
Çalışanlar, bütün faaliyetlerde “bilmesi gereken” prensibine göre bilgilendirilecektir.
BGYS esaslarını desteklemek için, bilgi güvenliği ile sınırlı kalmayacak şekilde gizli ve çok gizli olarak sınıflandırılmamış tüm esas, prosedür, talimat ve dokümanlar elektronik ortamda “bilmesi gereken” prensibi çerçevesinde erişilebilir olacaktır. Tüm bu dökümanlar oluşturulurken yasalar,uluslararası standartlar ve sözleşmeler dikkate alınacaktır.
Bilgi Güvenliği Yönetim Sistemi, kurumumuzdaki varlıklarının tespit edilerek değerlerinin belirlenmesini, varlıklara karşı oluşabilecek tehditlerin ortadan kaldırılması için risklerin belirlenerek risk analizi yapılmasını, belirlenen risklere karşı alınacak önlemleri ve bu önlemlerin gerektirdiği dokümanların hazırlanmasını ve bunların kayıtlarının tutmasını sağlayacaktır.
Tüm birim yöneticileri bu esasların uygulanmasından birinci personelinin esaslara uygun olarak çalışmasını sağlayacaktır.
Tüm bunları yerine getirebilmek için çalışanların katılımı ile Bilgi Güvenliği Yönetim Sistemi şartlarına uymayı ve sistemin etkinliğini sürekli iyileştirmeyi kabul ve taahhüt etmektedir.