YPO.04 — Güvenlik Organizasyonu
Açıklama
Bu doküman, şirket içerisinde bilgi güvenliğinin başlatılması ve kontrolü için oluşturulacak bir yönetim organizasyonunun minimum gerekliliklerini belirler.
Standartlar
1. Şirket Yönetiminin Sorumluluğu
- Bilgi güvenliği politikalarını onaylar; güvenlik rollerini belirler ve atar; güvenliğin şirket çapında uygulanmasını koordine etmek için bu konuda liderlik edebilecek sorumlular ya da uygun çalışma grupları belirler.
- Şirket güvenlik organizasyonunun bir görevi de, gerekirse bilgi güvenliği konusunda uzman profesyonel kaynaklarla bağlantı kurulmasını sağlamaktır. Bilgi güvenliği teknolojik trendlerinin takibinde, standartların ve değerlendirme yöntemlerinin kontrolünde ve güvenlik ihlallerinde irtibat noktası olarak dış güvenlik kaynakları ile gerekli iletişim ve koordinasyonu oluşturur.
- Yöneticiler, kullanıcılar, sistem yöneticileri (administrators), uygulama tasarımcıları, denetçiler, güvenlik çalışanları, sigorta ve risk yönetimi uzmanları gibi farklı görev ve sorumluluklardaki kişilerin ortak ve iş birliği içerisinde çalışmalarını sağlayacak bir sistem oluşturur.
- Güvenlik politikasını destekleyerek yayılımının sağlanması için gerekli kaynakları sağlar.
2. Güvenlik Sorumluluklarının Dağıtılması
- Bireysel kaynakların korunması ve özel güvenlik süreçlerinin yürütülmesi için sorumluluklar açıkça tanımlanır.
- Kaynakların ve ilgili sorumluların belirlenmesi için her bir sistem ile ilgili her türlü kaynak ve güvenlik süreçleri belirlenir ve açıkça tanımlanır.
- Her kaynak ve güvenlik sürecinden sorumlu kişi ve sorumluluğunun detayları, yetkilendirme seviyeleri ve ilgili süreçler açıkça tanımlanır ve belgelenir.