Bilgi Güvenliği Politikası Nedir, Nasıl Hazırlanır, Kapsamı ve Hedefleri

Merhaba,

Bu yazımda Bilgi Güvenliği Politikası konusuna eğilmek istedim. Elimden geldiğince kapsamlı bir yazı olsun istiyorum ki gerektiğinde yol gösterici bir doküman olarak kullanabilelim.

İlk olarak Bilgi Güvenliği Politikası nedir ?

Bir kurumun değerli bilgilerinin ve işlevlerinin yönetimi, korunması, dağıtımı gibi konularını düzenleyen kurallar ve uygulamalar bütünüdür.

Bu konu en tepeden genel bir yapıda olabileceği gibi daha spesifik alt konularda da olabilir. Örn : e-posta kullanım, uzaktan erişim uygulama talimatı veya prosedürleri gibi.

Tavsiye edilen kullanım şekli ;

En tepede bir adet Bilgi Güvenliği Politikası onun altında da alt politikaların ayrıca tanımlanmasıdır.

Bilgi Güvenliği Politikası için bir doküman hazırlanırken dokümanın amacı kurumun bilgi kaynaklarını kullanan her bir kişiye konuyu anlatmak ve aktarmak olmalıdır.  Anlatılan konunun yasal zorunlulukları var ise bunlarda doküman içerisinde belirtilmelidir.

Bilgi Güvenliği Politikası hazırlanırken ISO/IEC 27001 standartının A.5.1 maddesi gereğince en az aşağıda belirtilen hususların bulunmasına dikkat edilmelidir.

  • Bilgi güvenliğinin tanımı, genel kapsamı ve hedefi
  • Bilgi güvenliğinin kurum için önemi,bilgi güvenliği sağlanmasının amacı, bilgi güvenliği ilkeleri
  • Kontrol hedefleri ve kontrollerin seçimi risk değerlendirmesi ve risk yönetimi
  • Güvenlik politikaları, ilkeleri, standarlar ve uyum gereksininmlerinin özet açıklamaları
  • Bilgi güvenliği ile ilgili tüm görev ve sorumlulukların tanımı
  • Bilgi güvenliği ile ilgili tüm prosedürler ve kullanıcıların uymaları gereken kurallara atıflar bulunmalıdır.

Bilgi Güvenliğinin Tanımı :

Bilgi güvenliği firma personeli tarafından farklı algılanabilmektedir. Bu nedenle tanımın açık ve net olmasında fayda bulunmaktadır.

Bilgi güvenliği, bilgi varlıklarının aşağıdaki gözelliklerinin korunması olarak tanımlanabilir.

  • Gizlilik : Bilginin sadece yetkili kişiler tarafından erişilebilir olması,
  • Bütünlük : Bilginin yetkisiz değişimlerden korunması ve değiştirildiğinde farkına varılması,
  • Kullanılabilirlik : Bilginin yetkili kullanıcılar tarafından gerektiğinde kullanılabilir olması.

Bilgi Güvenliğinin Önemi ve Kapsamı :

Kurumun bilgiye dolayısı ile güvenliğe olan bağımlılığını vurgulamaktadır. Neden bilgi güvenliği sorusunun cevabı bu madde de açıklanmalıdır.

Örn : Kurumumuzda tüm fatura işlemleri elektronik ortamda yapılmaktadır. Dolayısı ile bu işlemlerin güvenliği sağlanmalıdır.

Kapsam olarak ;

Bu politika bilgi sistemlerine erişimi olan tüm birimleri hizmet yazılım ve donanım sağlayıcılarını kapsamaktadır gibi ancak daha detaylı olarak açıklanmalıdır.

 Bilgi Güvenliğinin Hedefleri :

  • Kurumun güvenilirliğini ve temsik ettiği makamın imajını korumak
  • Üçüncü taraflarla yapılan sözleşmelerde uygunluğu sağlamak
  • Kurumun temel ve destekleyici iş faaliyetlerinin en az kesinti ile devamlılığını sağlamak

Risk Yönetimi Çerçevesi :

Bilgi güvenliğinin riskleri tanımlanmalı, değerlendirilmeli ve bunlara göre risk işleme planı hazırlanmalıdır. Bu planın yönetilmesinden ve gerçekleştirilmesinden Bilgi Güvenliği Koordinasyon Kurulu sorumludur.

Yönetimin Desteği

Kurum yönetiminin bilgi güvenliği çalışmalarına tam destek olması ve bunu politika mahiyetinde deklare etmesi gerekmektedir. Aksi takdirde yapılması tasarlanan çalışmalar yapılamayabilir. Yönetim verdiği söz ile bilgi güvenliği konusundaki kararlılığını ve bu iş için gereken desteği sağlıyacağını ifade etmektedir.

Örn Yazı :

Kurum yönetimi olarak “Kurum Bilgi Güvenliği Politikası”’nın uygulanmasının sağlanmasını ve kontrolünün yapılmasını, süreçlere uymayan durumlarda ya da ihlallerde gerekli yaptırımların icra edilmesinin yönetim tarafından desteklendiğini beyan ederim.

                                                                                                                             Genel Müdür

Bilgi Güvenliği İlkeleri :

Kurumun bilgi işlem altyapısını kullanan ve bilgi kaynaklarına erişen herkes için :

  • Kişisel ve elektronik iletişimde ve üçüncü taraflarla yapılan bilgi alışverişlerinde kurum bilgilerinin gizliliği korunmalı
  • Bilgi kritiklik seviyesine göre yedekleme yapılmalı
  • Risk düzeylerine göre güvenlik önlemleri alınmalı
  • Bilgi güvenliği ihlalleri raporlanmalı ve Bilgi Güvenliği Birimi’ne bildirilmeli
  • Kurum içi bilgi kaynakları yetkisiz kişiler ile paylaşılmamalı
  • Kurum bilişim kaynakları T.C. yasalarına ve bunlara bağlı yönetmeliklere aykırı faaliyetler amacı ile kullanılmamalı

Roller Görevler Sorumluluklar

Bu bölümde kurumda bilgi güvenliği ile ilgili olarak kimlerin hangi görev ve sorumluklara sahip olacağı belirlenmeli ve bu yapı tüm şirket genelini kapsayacak şekilde olmalıdır.

Politikanın İhlali ve Yaptırımlar

Bu alanda ihlal gerçekleşmesi durumunda kurumun disiplin politikası ile ilişkili yapıda olacak olan yaptırımlar net bir biçimde açıklanmalıdır. Bunlar ;

  • Uyarma
  • Kınama
  • Sözleşme Feshi olabilir.

Atıflar

Unutmamak lazım ki Bilgi Güvenliği Politikası tek başına bir doküman olmayıp, uygulama talimatları, standartlar, prosedürler ile desteklenmelidir ve bu desteklenmede ilgili dokümanlar işaretlenerek gösterilmelidir. Ayrıca kanun, mevzuat ve yönetmeliklerde eğer gerekiyor ise refere edilmelidir.

Bilgi Güvenliği Politikası Gözden Geçirme Kuralları

Bilgi güvenliği politikasınun uygulanabilirliği, koyulan kurallar ve alınan önlemlerin işleyişi sekteye uğratmaması adına belirli aralıklarla bu yapılar gözden geçirilmeli ve aksiyon planları hazırlanmalıdır.

Örn :

Güvenlik koordinasyonu tarafından 6 ayda BGP kapsamında kontroller gerçekleştirilecektir.

Bu bölümde bu bilgiler bulunmalıdır.

Bu yazımda Bilgi Güvenliği Politikası yazılırken nelere dikkat edilmeli, hangi yol izlenmeli ve hazırlanan dokümanın içeriği ne olmalıdır idi.

Umarım işinize yarar.

İyi Günler Dilerim,