Bilgi Güvenliği Politikamız
Bilgi Güvenliği Politikamız
Kurum BGYS’nin yürütülmesi için görev takımları oluşturur.
Görev takımları BGYS’nin işletilmesi, denetlenmesi ve iyileştirilmesinden sorumludur.
Risk değerlendirme, kontrol seçimleri, kontrollerin uygulanması ve risklerin sürekli takip edilmesi tüm varlık sahipleri ve çalışanların ortak katılması gereken sürekli bir faaliyettir.
Yönetim BGYS’nin işletilmesi ve iyileştirilmesi için gerekli kaynakları tahsis eder.
BGYS’nin devamlılığı için tüm personel gerekli bilgi güvenliği eğitimini almalıdır.
BGYS Görev takımı yapacağı 6 ayda 1 periyodik toplantılarla BGYS’yi gözden geçirir ve değişen riskleri, uygulanan kontrolleri izler, gerekli düzeltmeler için karar alır.
Üst Yönetim, yılda bir kez YGG toplantısı yapar.
Kurum içinde BGYS’nin denetimi için iç tetkik ekibi yetiştirilmesi ve sürekli denetim anlayışıyla sistemi izlemeleri ve iç denetim planına uygun olarak tetkik etmeleri gerekir.
BGYS kapsamında yayınlanan tüm alt politikalar konuya özel olarak hazırlanır. Tüm çalışanların bu politikaları çalışma kuralı olarak benimsemesi ve politikalardaki kurallara uyması beklenir.
Bir bilgi güvenliği politikası, bir organizasyonun verilerini ve bilgi varlıklarını korumak için uyguladığı kurallar, prosedürler ve stratejilerden oluşur. Bu politika, güvenliğin sağlanması için belirlenen standartları, sorumlulukları ve risk yönetimi yaklaşımını tanımlar. İşletmenizin veya kuruluşunuzun ihtiyaçlarına göre uyarlanmış bir bilgi güvenliği politikası, hem iç tehditlere hem de dış tehditlere karşı güçlü bir savunma hattı oluşturur.
Bilgi Güvenliği Politikasında Bulunması Gereken Temel Unsurlar:
- Amaç ve Kapsam:
- Politikanın amacı, bilgi güvenliği ile ilgili hedeflerinizi belirler.
- Kapsam ise hangi bilgi varlıklarının ve sistemlerin bu politika tarafından korunduğunu açıklar.
- Güvenlik İlkeleri:
- Gizlilik: Bilgilere yetkisiz kişilerin erişiminin engellenmesi.
- Bütünlük: Bilgilerin doğru ve eksiksiz olarak korunması.
- Erişilebilirlik: Bilgilere yetkili kişilerin ihtiyaç duyduklarında erişebilmesi.
- Risk Yönetimi:
- Organizasyonun maruz kaldığı bilgi güvenliği risklerini tanımlama ve değerlendirme süreci.
- Risklerin nasıl yönetileceği ve kabul edilebilir risk düzeyinin belirlenmesi.
- Yetki ve Sorumluluklar:
- Bilgi güvenliği ile ilgili rollerin ve sorumlulukların açıkça belirlenmesi.
- Her departman ve çalışan için güvenlik gereksinimlerinin tanımlanması.
- Bilgi Sınıflandırması:
- Bilgilerin hassasiyet derecesine göre sınıflandırılması (örneğin, gizli, yalnızca şirket içi, halka açık).
- Sınıflandırmaya göre güvenlik kontrollerinin uygulanması.
- Erişim Kontrolü:
- Kimlerin hangi bilgilere erişebileceği ve bu erişimlerin nasıl kontrol edileceği.
- Yetkili olmayan erişimlerin önlenmesi için gerekli mekanizmaların (şifreleme, çok faktörlü kimlik doğrulama) uygulanması.
- Eğitim ve Farkındalık:
- Çalışanların bilgi güvenliği politikası ve tehditler hakkında düzenli olarak bilgilendirilmesi.
- Güvenlik bilinci oluşturmak amacıyla eğitim programlarının düzenlenmesi.
- İzleme ve Denetim:
- Bilgi güvenliği politikalarının uygulanıp uygulanmadığının düzenli olarak izlenmesi ve denetlenmesi.
- Olası güvenlik açıklarının tespiti ve giderilmesi.
- Olay Yönetimi ve İhlal Bildirimi:
- Güvenlik ihlali durumunda izlenecek adımların ve iletişim prosedürlerinin belirlenmesi.
- İhlallerin nasıl raporlanacağı, analiz edileceği ve çözüleceği.
- Sürekli İyileştirme:
- Güvenlik politikalarının ve prosedürlerinin düzenli olarak gözden geçirilmesi.
- Yeni tehditlere ve teknolojik gelişmelere uyum sağlamak için güncellenmesi.
Bir bilgi güvenliği politikası, organizasyonun dijital güvenliğini sağlamada önemli bir temel oluşturur ve regülasyonlara uyum sağlama açısından da kritik rol oynar. Politikanızın spesifik ihtiyaçlarına göre bu unsurlar detaylandırılabilir.
