GÜV.02 — Bilgi Güvenliği Politikası

Güvenlik Yönetimi IT Standartları · Türkçe

Açıklama

Şirketin üst yönetim tarafından onaylanmış, yayınlanmış, tüm çalışanlar tarafından erişilebilen, açıkça tarif edilmiş ve kolay anlaşılabilecek bir güvenlik politikası olması gerekir. Bu politika; yönetimin taahhütlerini, desteğini ve organizasyonun bilgi güvenliği yönetimi konusundaki yaklaşımlarını içermelidir.

Güvenlik politikasının gerekliliği, içeriği, önemi ve çalışanların güvenlik politikası kapsamındaki sorumlulukları çalışanlara eğitimlerle anlatılmalı ve çalışanların güvenlik bilinci artırılmalıdır.

Bir güvenlik politikası dokümanının içermesi gereken minimum maddeler bu standartta tanımlanmaktadır.

Standartlar

  1. Bilgi güvenliğinin tanımını, amacını ve hedefini, bilgi paylaşımı açısından önemini içerir.
  2. Bilgi güvenliği hedef ve prensiplerini destekleyen, üst yönetim taahhüdünü ifade eden beyanatı (statement) içerir.
  3. Çalışanları ilgilendiren güvenlik politikaları, prensipleri ve standartları ile bunların organizasyona uyumu için gereklilikleri içerir:
    • Yasalardan ve sözleşmelerden doğan gerekliliklere uyum,
    • Güvenlik eğitim ihtiyaçları,
    • Zararlı yazılımlardan (virüs, fidye yazılımı vb.) korunma ve bunların tespiti,
    • İş sürekliliği yönetimi,
    • Güvenlik politikası ihlallerinin sonuçları.
  4. Bilgi güvenliği yönetimi için, güvenlik ihlallerinin raporlanmasını da içeren genel ve özel sorumlulukları içerir.
  5. Politikaları destekleyen çeşitli dokümanlara referansları içerir; örneğin, özel sistemler için daha detaylı bilgi güvenliği politika ve süreçleri ya da kullanıcıların uyması gereken detaylı güvenlik kuralları.
  6. Bilgi güvenliği politikası üst yönetim tarafından onaylanır.
  7. Bilgi güvenliği politikası tüm kullanıcıların erişebileceği bir ortamda (ör. portal) yayınlanır. İlk yayınlandığı ve değişiklik yapıldığı durumlarda çalışanlara bilgi mesajı gönderilir.
  8. Bilgi güvenliği politikası yıllık olarak gözden geçirilir.
  9. Bilgi güvenliği politikası oryantasyon eğitimleri ve farkındalık çalışmaları ile desteklenir.
  10. Güvenlik politikası dokümanı, organizasyon içerisindeki güvenlik rol ve sorumlulukları hakkında yol gösterici olmalı; gerekli olduğu durumlarda, kişilerin güvenlik sorumluluklarını yerine getirmesi için gerekli eğitimler sağlanmalıdır.

İyi Uygulama Örnekleri

  • Bilgi güvenliği politikasının çalışanlar tarafından anlaşılabilecek sade bir dille yazılması, çok uzun tutulmaması ve gerekli durumlarda ilave politikalarla desteklenmesi önerilir.

Ekler

← Tüm IT Standartları