Bilgi Güvenliği Farkındalığı, Eğitim ve Öğretimi

7.2 İstihdam Süresince

Amaç: Çalışanlar ve yüklenicilerin tüm bilgi güvenliği sorumluluklarının farkında olmalarını ve yerine getirmelerini sağlamak.

7.2.2 Bilgi Güvenliği Farkındalığı, Eğitim ve Öğretimi

Kontrol: Kuruluştaki tüm çalışanlar ve ilgili yükleniciler, kendi iş fonksiyonları ile ilgili olarak uygun bilgi güvenliği farkındalığı eğitimini almalı ve kurumsal politika ve prosedürler hakkında düzenli olarak bilgilendirilmelidir.

Uygulama Kılavuzu:

Öncelikle bilgi güvenliği farkındalık programı, kuruluştaki çalışanların ve ilgili yüklenicilerin, bilgi güvenliğine ilişkin sorumlulukların anlaşılmasını hedeflemelidir.

Bilgi güvenliği farkındalık programı kuruluşun politika/prosedür/standartlarına paralel olarak geliştirmelidir ve kuruluşun bilgi varlıklarının korunması ve uygulanan kontrolleri tanıtıcı özellikte olmalıdır. Farkındalık programının etkinliğini artırmak için kurum içi ödüllendirme mekanizmaları, yarışmalar  ve “Farkındalık Günü” gibi çalışmalar önemli ölçüde katkı sağlayacaktır.

Farkındalık programı, çalışanlar ve ilgili yüklenicilerden beklentileri açıkça ifade etmelidir. Farkındalık programı bir düzen çervesinde ele alınmalı ve periyodik olarak tekrarlanmalıdır. Gerekli durumlarda yeni çalışanlar ve düzeltici faaliyet olarak tekrarlanması için program gerekli esnekte tasarlanmalıdır. Farkındalık eğitimleri, kurum içi yıllık eğitim programı takvimine alınmalıdır. Farkındalık eğitimi kurumsal ihtiyaçlara göre güncellenmeli ve gerekli durumlarda uzmanlardan destek alınmalıdır.

Bilgi Güvenliği Farkındalık eğitiminde aşağıdakilerle sınırlı olmamak üzere aşağıdaki maddelerin göz önünde bulundurulması faydalı olacaktır;

•         Üst yönetimin Bilgi Güvenliği’ne bakış ve desteği
•         Politika, prosedür, talimatlar, yasalar ve düzenlemelerle kuruluş bünyesine dahil olan bilgi güvenliği gereksinimlerin tanıtılması
•         Son kullanıcı sorumlulukları, hesap verebilirlik
•       Temel düzeyde yönetim sistemi gereksinimleri (ihlal olayı bildirme, temiz masa temiz ekran kurallarına uyum v.b)
•         Ek bilgi gereksinimi için kaynaklara nerden ve nasıl ulaşılacağı
•         Bilgi güvenliği iletişim kanallarının tanıtılması (acil danışma hattı, e posta grubu v.b)

Bilgi güvenliği farkındalık programı, sınıf içi eğitim olabileceği gibi e-öğrenme ve self-study (kendi başına çalışma) şeklinde planlanabilir.

Bilgi güvenliği kontrolleri anlatılırken sadece ne ve nasıl yapıldığından çok neden yapıldığı ve kök nedenlerden de bahsedilmesi, kuruluş bünyesinde anlaşılmayı kolaylaştıracaktır.