7 Ocak 2014 Salı

Bilgi Güvenliği Politikaları

A-5 Bilgi Güvenliği Politikaları (EK-A 5.1 Bilgi Güvenliği için Üst Yönetim Yönlendirmesi)
Hedef: İş gereksinimleri ve ilgili yasal gereksinimlere uyum için bilgi güvenliği yönetim yönlendirmesi ve desteğinin sağlanması.



 
5.1.1 Bilgi Güvenliği Politikaları
Kontrol: Bilgi güvenliği için politikalar tanımlanmalı, yönetim tarafından onaylanmalı, yayınlanmalı, tüm çalışanlar ve ilgili dış taraflara bildirilmelidir.

Uygulama Kılavuzu;
İlk olarak organizasyon en üst seviye olarak üst yönetim tarafından onaylı bir “Bilgi Güvenliği Politikası” tanımlamalı ve bu politika bilgi güvenliği hedeflerinin nasıl yöneticileğine dair kuruluşun yaklaşımını belirlemelidir.

En iyi uygulama örneği olarak Bilgi Güvenliği Politikasının aşağıdaki ihtiyaçları karşılar nitelikte olması fayda sağlayacaktır;
-İş Stratejileri
-Yasalar, regülatif düzenlemeler ve sözleşmelerden doğan gereksinimler
-Bilgi Güvenliği tehditleri

Bilgi Güvenliği Politikası oluşturulurken aşağıdaki maddeler göz ardı edilmemelidir;
-Bilgi Güvenliğine ilişkin tüm aksiyonlara kılavuzluk edecek bir bilgi güvenliği tanımı
-Bilgi Güvenliğine ilişkin Roller ve Sorumluklarının tayini
-Beklentileri ve istenmeyen sapmaları yönetecek süreçlerin belirlenmesi

Üst seviye Bilgi Güvenliği Politikasını destekleyecek alt seviye politikaların tanımlanması gereklidir. Bu politikalar tüm paydaşlar tarafından anlaşılabilir olması ve bilgi güvenliği kontrollerinin uygulanmasına kılavuzluk edecek detayda olması fayda sağlar.

Bu politikalara örnek olarak aşağıdakiler sunulabilir;
-Erişim Kontrol Politikası
-Bilgi Sınıflandırılması
-Fiziksel ve Çevresel Güvenlik
-Son Kullanıcıya ilişkin;
   o Kabul Edilebilir Kullanım Politikası
   o Temiz Masa Temiz Ekran Politikası
   o Bilgi Değişim Politikası
   o Mobil Cihazlar ve Uzaktan Çalışma Politikası
   o Yazılım Yükleme ve Kullanım Politikası
-Yedekleme Politikası
-Kötücül Yazılımlardan Korunma Politikası
-Teknik Açıklık Yönetim Politikası
-Kriptografik Kontrol Politikası
-Ağ Güvenlik Politikası
-Tedarikçi Güvenliği Politikası
-Kişisel Bilgileri Koruma Politikası

Hiç yorum yok:

Yorum Gönder