Bilgi Sistemleri Güvenliği
Bilgi Güvenliği Politikaları ve Kurumsal Çerçeve
Bilgi güvenliği politikası, kapsam, hedefler, roller, risk yönetimi, yasal yükümlülükler, dış paydaşlara duyuru ve destek politikaları sınav odaklı ve detaylı biçimde ele alınmaktadır.
Konu İçeriği
Bilgi Güvenliği Politikaları ve Kurumsal Çerçeve
Bilgi güvenliği yönetiminin kurumsal zemini, yazılı politika ve bu politikayı destekleyen çerçeve ile kurulur. Kurum bilgi güvenliğine hangi gözle baktığını, hangi alanları kapsadığını, hangi hedefleri benimsediğini, rol ve sorumlulukları nasıl tanımladığını, risk yönetimine nasıl yaklaştığını ve hangi yasal yükümlülüklere tabi olduğunu politika düzeyinde ortaya koymalıdır. Bu nedenle bilgi güvenliği politikası, sadece bir belge değil, kurumsal yaklaşımın yazılı ifadesidir. Kitabın bu bölümünde bilgi güvenliği politikası ve onu çevreleyen kurumsal çerçeve ele alınmaktadır.
1) Bilgi Güvenliği Politikasının Önemi
Kitaba göre kurumlar, bilgi güvenliğini uygulama yaklaşımı her ne şekilde olursa olsun, bir bilgi güvenliği politikası oluşturmalıdır. Bu ifade çok önemlidir. Çünkü bilgi güvenliği politikasının varlığı, kurumsal güvenlik yaklaşımının temel göstergelerinden biridir. Politika, konuya ilişkin dağınık uygulamaları bir araya getiren, ortak ilke ve yön belirleyen üst düzey dokümandır.
Bilgi güvenliği politikası olmadan kontrollerin neden uygulandığı, hangi alanın kapsama girdiği, hangi hedeflerin esas alındığı ve çalışanlardan ne beklendiği açık biçimde ortaya konulamaz. Bu nedenle politika, bilgi güvenliği yönetiminin bel kemiğidir.
Politikanın varlığı kadar, kurumsal sahiplik ve uygulanabilirlik de önemlidir. Yazılı olmayan, duyurulmayan veya erişilemeyen bir yaklaşım, kurumsal politika işlevi göremez.
Bilgi güvenliği politikasının oluşturulması zorunlu bir kurumsal gerekliliktir.
Yaklaşım ne olursa olsun kurum bir politika oluşturmalıdır.
2) Politikanın Amacı ve Kurumsal Rolü
Bilgi güvenliği politikası, üst yönetimin genel yaklaşımını, konuya verdiği önemi ve kapsamı belirlemelidir. Başka bir ifadeyle politika, kurumun bilgi güvenliğine bakış açısını yazılı hale getirir. Bu yönüyle sadece teknik veya operasyonel detayları sıralayan bir metin değil, kurumun bu alandaki yönetsel iradesini ortaya koyan bir çerçeve dokümandır.
Politika sayesinde çalışanlar, yöneticiler ve ilgili diğer taraflar kurumun bilgi güvenliği beklentilerini aynı çerçevede görür. Böylece güvenlik uygulamaları kişisel tercihlere göre değil, kurumsal ilkelere göre şekillenir.
Politikanın amacı, kurumsal güvenlik yaklaşımını ortaklaştırmak, yön vermek ve süreklilik sağlamaktır.
Bilgi güvenliği politikası, üst yönetimin genel yaklaşımını, konuya verdiği önemi ve kapsamı belirler.
3) Kapsamın Belirlenmesi
Politikanın temel unsurlarından biri kapsamdır. Kapsam, bilgi güvenliği yaklaşımının hangi alanlarda geçerli olduğunu ortaya koyar. Kurumun hangi bilgi varlıklarının, hangi süreçlerin, hangi kullanıcı gruplarının ve hangi ilişkili yapıların bilgi güvenliği politikası çerçevesinde değerlendirileceği açık biçimde anlaşılmalıdır.
Kapsamın net olmaması, politika hükümlerinin uygulamada belirsiz kalmasına neden olur. Bu yüzden politika, kurumsal bilgi güvenliği alanının sınırlarını tanımlayan bir çerçeve de sunmalıdır.
Kitapta bilgi güvenliğinin tanımı ve kapsamının politika içinde yer alması gerektiği vurgulanmaktadır. Bu nedenle kapsam unsuru, yalnızca giriş kısmında değinilen bir başlık değil, politikanın uygulanabilirliğini belirleyen temel bileşenlerden biridir.
4) Kurumsal Hedeflerin Belirlenmesi
Bilgi güvenliği politikasında yer alması gereken unsurlardan biri de kurumsal bilgi güvenliği hedefleridir. Politika yalnızca genel prensipleri değil, kurumun bu alanda neyi amaçladığını da göstermelidir. Böylece güvenlik faaliyetleri rastgele ve dağınık değil, belirli hedeflere bağlı biçimde yürütülür.
Hedeflerin belirlenmesi, bilgi güvenliği çalışmalarının ölçülebilir ve değerlendirilebilir hale gelmesine de katkı sağlar. Çünkü gözetim, ölçüm ve değerlendirme faaliyetlerinin anlamlı olabilmesi için önceden tanımlanmış hedeflere ihtiyaç vardır.
Bu nedenle bilgi güvenliği politikası, kurumun bu alandaki yönünü ve beklenen sonucu tanımlayan hedef yapısını da içermelidir.
Politika yalnızca kural metni değildir.
Aynı zamanda kurumsal bilgi güvenliği hedeflerini de ortaya koymalıdır.
5) Roller ve Sorumlulukların Politikada Yer Alması
Kitapta bilgi güvenliği politikasının kurumsal roller ve sorumlulukları ele alması gerektiği belirtilmektedir. Bu husus, politika ile organizasyon yapısı arasındaki bağlantıyı kurar. Politika sadece ilkeleri değil, bu ilkelerin kimler tarafından yürütüleceğini de çerçeve düzeyinde göstermelidir.
Böylece çalışanlar, yöneticiler ve ilgili birimler bilgi güvenliği konusundaki sorumluluk alanlarını yalnızca ayrı görev tanımlarından değil, en üst politika düzeyinden de görebilir. Bu yaklaşım, kurumsal sahiplik ve hesap verebilirliği güçlendirir.
Roller ve sorumlulukların politika içinde yer alması, bilgi güvenliğinin sadece teknik ekip işi değil, kurumsal düzeyde görev dağılımı gerektiren bir alan olduğunu da ortaya koyar.
Bilgi güvenliği politikası sadece teknik kuralları yazan belge değildir.
Roller, sorumluluklar ve yönetsel çerçeve de politika içinde yer almalıdır.
6) Risk Yönetiminin Politika İçindeki Yeri
Bilgi güvenliği politikasında yer alması gereken unsurlardan biri de risk yönetimidir. Bunun anlamı şudur: kurum, bilgi güvenliğini yalnızca kontrol listeleri üzerinden değil, risk temelli bir yaklaşımla ele aldığını politika düzeyinde ortaya koymalıdır.
Risk yönetiminin politika içinde yer alması, bilgi güvenliğinin rastgele önlemler toplamı olmaktan çıkmasını sağlar. Hangi risklerin dikkate alınacağı, nasıl değerlendirileceği, hangi yaklaşımın benimsendiği ve hangi tür kararların verileceği kurumsal çerçeve içinde anlam kazanır.
Böylece güvenlik kontrolleri kurumun gerçek risk profiliyle ilişkilendirilmiş olur. Politikanın risk yönetimine yer vermesi, bilgi güvenliği uygulamalarının kurumsal mantığını güçlendirir.
Bilgi güvenliği politikasında risk yönetimi yaklaşımı da yer almalıdır.
7) Yasal ve Düzenleyici Yükümlülükler
Kitapta bilgi güvenliği politikasının “tabii olunan diğer düzenlemeler” unsurunu da içermesi gerektiği belirtilmektedir. Bu ifade, bilgi güvenliği politikasının yalnızca kurum içi beklentileri değil, kurumun tabi olduğu yasal, düzenleyici ve sektörel yükümlülükleri de dikkate alması gerektiğini gösterir.
Kurumlar faaliyet gösterdikleri alanlara göre farklı mevzuat, tebliğ, standart veya rehberlere tabi olabilir. Bilgi güvenliği politikası, bu yükümlülüklerin kurumsal çerçeve içinde nasıl dikkate alınacağını göstermelidir. Böylece güvenlik yönetimi sadece iyi niyetli kurumsal tercih değil, aynı zamanda düzenleyici uyumla ilişkili bir yönetim alanı haline gelir.
Bu unsur, özellikle denetim ve uyum süreçlerinde büyük önem taşır.
8) Dış Paydaşlara Duyuru
Kitapta bilgi güvenliği faaliyetlerinin sadece çalışanları değil; tedarikçileri, servis sağlayıcıları, müşterileri, iş ortaklarını ve genel olarak dış paydaşları da etkileyebileceği belirtilmektedir. Aynı zamanda kurumun bilgi güvenliği hususlarının bunlardan etkilenebileceği de ifade edilmektedir.
Bu nedenle bilgi güvenliği politikasının uygun yöntemlerle paydaşlara duyurulması gerekir. Bu yaklaşım, bilgi güvenliğinin kurum duvarları içinde kapanan bir alan olmadığını gösterir. Dış taraflarla kurulan ilişkiler, veri paylaşımı, hizmet temini, erişim yapıları ve operasyonel bağımlılıklar nedeniyle kurumun güvenlik yaklaşımı yalnızca iç kullanıcılarla sınırlı tutulamaz.
Politikanın dış paydaşlara uygun yöntemlerle duyurulması, beklentilerin netleşmesini, uyumun artmasını ve ilişkili risklerin daha iyi yönetilmesini sağlar.
Bilgi güvenliği politikası sadece çalışanları değil;
tedarikçi, servis sağlayıcı, müşteri ve iş ortakları gibi dış paydaşları da ilgilendirebilir.
9) Destek Politikaları ve Alt Politika Yapısı
Kitapta bu kapsamda gerekirse destek politikaları oluşturulabileceği belirtilmektedir. Destek politikaları, kurumun genel bilgi güvenliği politikasını belirli birim, süreç veya konu özelinde ayrıntılandıran dokümanlar olarak düşünülebilir.
Bu destek politikaları, kurumun genelinden ziyade belirli bir birimi veya iş sürecini hedef alabilir ve söz konusu alan özelinde bilgi güvenliği ilkelerini düzenleyebilir. Alternatif olarak kurum, ayrı politika dokümanları yerine tek bir bilgi güvenliği politikası da düzenleyebilir.
Bu seçimin hangi şekilde yapılacağı; kurumun büyüklüğü, faaliyet çeşitliliği ve çalışan sayısı gibi unsurlara bağlıdır. Dolayısıyla kurumsal çerçevenin yapısı, kurumun kendi organizasyonel ihtiyaçlarına göre şekillenebilir.
Her kurum mutlaka çok sayıda ayrı destek politikası yazmak zorunda değildir.
İhtiyaca göre tek politika veya destek politikalarıyla genişletilmiş yapı tercih edilebilir.
10) Politikanın Onay, Duyuru ve Gözden Geçirme Boyutu
Bilgi güvenliği politikası diğer politikalar gibi üst yönetimce onaylanmalı, uygun şekilde duyurulmalı ve çalışanların erişebileceği yerde olmalıdır. Bunun yanında belirli periyotlarda ve gerektiğinde periyot dışında gözden geçirilmeli, tekrar onaylanmalı ve yeniden duyurulmalıdır.
Bu gereklilik, politikanın yaşayan bir kurumsal belge olduğunu gösterir. Bir kez yazılıp rafa kaldırılan metinler gerçek anlamda politika işlevi görmez. Politika ancak görünür, erişilebilir, güncel ve yönetim tarafından sahiplenilen bir belge olduğunda kurumsal çerçeve oluşturabilir.
Bu nedenle onay, duyuru, erişilebilirlik ve gözden geçirme unsurları politikanın ayrılmaz parçalarıdır.
Final Özet (Sınavlık)
- Kurumlar bilgi güvenliği yaklaşımı ne olursa olsun bir bilgi güvenliği politikası oluşturmalıdır.
- Bilgi güvenliği politikası üst yönetimin genel yaklaşımını, konuya verdiği önemi ve kapsamı belirler.
- Politikada bilgi güvenliğinin tanımı, kapsamı ve kurumsal hedefler yer almalıdır.
- Kurumsal roller ve sorumluluklar politika içinde ele alınmalıdır.
- Risk yönetimi yaklaşımı politika içinde yer almalıdır.
- Kurumun tabi olduğu yasal ve düzenleyici yükümlülükler dikkate alınmalıdır.
- Bilgi güvenliği politikasının dış paydaşlara uygun yöntemlerle duyurulması gerekebilir.
- İhtiyaca göre destek politikaları oluşturulabilir veya tek politika yapısı tercih edilebilir.
- Politika üst yönetimce onaylanmalı, duyurulmalı, erişilebilir olmalı ve periyodik olarak gözden geçirilmelidir.
Öğrenim Hedefleri
- Bilgi güvenliği politikasının neden zorunlu ve temel bir belge olduğunu kavramak
- Politikanın kapsam, hedef ve kurumsal rol boyutunu öğrenmek
- Roller ve sorumlulukların neden politika düzeyinde yer alması gerektiğini açıklayabilmek
- Risk yönetimi yaklaşımının politika içindeki yerini anlamak
- Yasal ve düzenleyici yükümlülüklerin bilgi güvenliği çerçevesiyle ilişkisini kavramak
- Dış paydaşlara duyurunun neden önemli olduğunu öğrenmek
- Destek politikaları ile genel politika ilişkisini açıklayabilmek
- Politikanın onay, duyuru, erişilebilirlik ve gözden geçirme boyutunu öğrenmek
Önemli Notlar
EZBER: Kurumlar bilgi güvenliğini uygulama yaklaşımı ne olursa olsun bir bilgi güvenliği politikası oluşturmalıdır.
EZBER: Bilgi güvenliği politikası üst yönetimin genel yaklaşımını, konuya verdiği önemi ve kapsamı belirlemelidir.
EZBER: Politikada kurumsal hedefler, roller, sorumluluklar ve risk yönetimi yer almalıdır.
EZBER: Politika, tabi olunan diğer düzenlemeleri de dikkate almalıdır.
EZBER: Bilgi güvenliği hususları dış paydaşları da etkileyebileceğinden politika uygun yöntemlerle paydaşlara duyurulmalıdır.
EZBER: Gerekirse destek politikaları oluşturulabilir.
Bu Konudaki Tüm Sorular
Aşağıda, ilgili konuya ait veritabanında kayıtlı tüm aktif sorular listelenmektedir.