ISO & Uyumluluk18 Mayıs 20266 dakika okuma

Bilgi Güvenliği Politikası Nasıl Hazırlanır? Kurumsal Rehber

Bilgi güvenliği politikası, ISO 27001'in temel belgelerinden biridir. Politika yapısı, kabul edilebilir kullanım, erişim kontrolü, şifreleme ve olay yönetimi politikalarının nasıl hazırlanacağını adım adım anlatıyoruz.

Bilgi GüvenliğiPolitikaISO 27001Kabul Edilebilir KullanımProsedür

Bilgi Güvenliği Politikası Nedir?

Bilgi güvenliği politikası, bir kuruluşun bilgi varlıklarını korumaya yönelik üst düzey taahhüdünü, hedeflerini ve genel çerçevesini tanımlayan belgedir. ISO 27001'in zorunlu belgelerinden biridir; üst yönetim tarafından onaylanmış ve tüm personele duyurulmuş olması gerekir.

Politika Hiyerarşisi

  • Seviye 1 — Ana Politika: Üst düzey taahhüt ve prensipler. Kısa, sade ve tüm çalışanların anlayacağı dilde yazılır.
  • Seviye 2 — Konu Bazlı Politikalar: Erişim kontrolü, şifreleme, fiziksel güvenlik gibi konulara özgü kurallar.
  • Seviye 3 — Prosedürler: Politikaları hayata geçiren adım adım talimatlar. Teknik ekibe yöneliktir.
  • Seviye 4 — İş Talimatları ve Formlar: Belirli görevler için detaylı yönergeler ve kayıt formları.

Ana Bilgi Güvenliği Politikasında Olması Gerekenler

  • Politikanın amacı ve kapsamı
  • Üst yönetimin bilgi güvenliğine taahhüdü
  • Bilgi güvenliği hedefleri ve temel prensipleri (gizlilik, bütünlük, erişilebilirlik)
  • Bilgi güvenliği sorumluluklarının atanması
  • İhlal durumunda uygulanacak disiplin sürecine atıf
  • İlgili mevzuata ve standartlara uyum taahhüdü (KVKK, ISO 27001)
  • Gözden geçirme periyodu (genellikle yılda bir)

Temel Konu Bazlı Politikalar

Kabul Edilebilir Kullanım Politikası (AUP):

  • Kurumsal cihaz ve internet erişiminin kabul edilebilir kullanım sınırları
  • Kişisel kullanım için kurumsal kaynakların ne ölçüde kullanılabileceği
  • Sosyal medya, bulut depolama ve harici depolama aygıtlarına ilişkin kurallar

Erişim Kontrolü Politikası:

  • En az ayrıcalık ilkesi — kullanıcılara yalnızca ihtiyaç duydukları erişim hakkı verilir
  • Ayrıcalıklı hesap (admin) yönetimi kuralları
  • Kullanıcı hesap yaşam döngüsü (oluşturma, revize, silme)

Şifre ve Kimlik Doğrulama Politikası:

  • Minimum şifre uzunluğu ve karmaşıklık gereksinimleri
  • Çok faktörlü kimlik doğrulama (MFA) zorunlulukları
  • Şifre paylaşımının yasak olduğuna dair açık hüküm

Veri Sınıflandırma Politikası:

  • Gizli, Dahili, Genel gibi sınıflandırma seviyeleri tanımlanır
  • Her seviye için etiketleme, saklama ve imha kuralları belirlenir

Uzaktan Çalışma ve Mobil Cihaz Politikası:

  • Ev ağından kurumsal sistemlere erişim için VPN zorunluluğu
  • Ekran kilidi, cihaz şifreleme ve kayıp/çalıntı cihaz bildirim prosedürü

Politika Yaşam Döngüsü

  • Taslak: Konuya hâkim ekip tarafından yazılır.
  • Gözden Geçirme: IT, hukuk ve üst yönetim incelemesi.
  • Onay: Üst yönetim imzası veya yönetim kurulu kararı.
  • Yayın ve Duyuru: Tüm çalışanlara duyurulur; okudum-anladım formu imzalatılır.
  • Eğitim: Farkındalık eğitimleriyle desteklenir.
  • Periyodik Gözden Geçirme: Yılda en az bir kez veya önemli değişiklik anında.

Sonuç

İyi hazırlanmış bir bilgi güvenliği politikası seti, ISO 27001 denetiminin temel belgelerini oluşturur ve kurumsal güvenlik kültürünün inşasında belirleyici rol oynar. Lider Network, politika yazımı, gözden geçirme ve personel eğitimi konularında danışmanlık hizmeti sunmaktadır.

İlgili Makaleler

ISO & Uyumluluk

ISO 27001 Nedir? Bilgi Güvenliği Yönetim Sistemi Rehberi

Oku ISO & Uyumluluk

KVKK Nedir? Kişisel Verilerin Korunması Kanunu Kapsamlı Rehberi

Oku ISO & Uyumluluk

ISO 22301 İş Sürekliliği Yönetim Sistemi: Felaket Senaryolarına Hazırlık

Oku
Tüm MakalelerÜcretsiz Altyapı Analizi