Madde 5.2 Politika
Üst yönetim, aşağıdaki hususları sağlayan bir bilgi güvenliği politikası oluşturmalıdır:
a) Kuruluşun amacına uygun
Kuruluşun amacı resmi olarak Şirket Faaliyet belgesinde yazar.
Örnek; xxxx almak xxxx satmak, xxxx üretmek, xxxx pazarlamak vb. şirketin kuruluş aşamasında hangi faaliyetlerde bulunacak ise tanımlandığı resmi bir faaliyet belgesi bulunmaktadır. Bilgi Güvenliği Politikası burada tanımlı olan amaçlar & faaliyetlere uygun olmalıdır.
Politika tanımlanırken politika metni içine kuruluş amaçları da entegre edilirse daha açık bir şekilde uygunluk beyan edilmiş olur.
b) Bilgi güvenliği hedeflerini içeren veya bilgi güvenliği hedeflerinin belirlenmesi için çerçeve sağlayan,
Bilgi güvenliği hedeflerini & amaçlarını basit bir yaklaşımla belirleyebiliriz. ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurulumuna karar verilmesi kararını aldıran sebepler neler ise aslında bunlarda öncelikli olarak bilgi güvenliği hedefleri & amaçları olur. Bunun dışında yasa ve sözleşmelere bağlı gereksinimler de göz önünde tutulduğunda ortaya birden çok Bilgi Güvenliği hedefi & amacı ortaya çıkacaktır.
Bilgi Güvenliği Politikası; bu belirlenen hedefleri & amaçları ya da bunların belirlenmesi için çerçeve sağlayan alt hedefleri & amaçları içermelidir.
c) Bilgi güvenliği ile ilgili uygulanabilir gereklilikleri karşılama taahhüdünü içeren,
Bilgi güvenliği Politikası; Yönetimin, belirlediği bilgi güvenliği hedeflerine & amaçlarına bağlı olarak Bilgi güvenliği Temel İlkeleri (Bilgilerin Gizlilik, Bütünlük ve Erişilebilirliğinin sağlanması) üzerine kurulacak bilgi güvenliği yönetim sistemine ait gerekliliklerin karşılanmasına ilişkin taahhüdünü metin olarak içermelidir.
d) Bilgi güvenliği yönetim sisteminin sürekli iyileştirilmesi taahhüdünü içeren.
Bilgi Güvenliği Politikası; Bilgi Güvenliği Yönetim Sisteminin belirlenen amaçların & hedeflerin başarılmasının temin edilmesi için sürekli iyileştirilmesi ilgili yönetim taahhüdünü metin olarak içermelidir.
e) Dokümante edilmiş bilgi olarak mevcut olmalıdır,
Bilgi Güvenliği Politikası, dokümante edilmelidir.
f) Kuruluş içinde duyurulmalıdır,
Bilgi güvenliği politikası, şirket içinde tüm çalışanlara duyurulmalıdır. (Örnek; E-Mail yoluyla, Bilgilendirme sistemleri üzerinden, Bildirim panoları üzerine asılarak, Çalışanların dinlenme, yemek yeme, işletme içi geçiş güzergahları üzerinden belirlenecek noktalarda yayınlanarak vb)
g) Uygun olduğu şekilde, ilgili tarafların erişimine açık olmalıdır.
Bilgi güvenliği politikası, ilgili tarafların (Tedarikçilere, müşterilere vb) erişebileceği yerlerde istendiğinde erişilebilir olmalıdır. (Örnek; Şirket web sayfasında, sosyal medya hesaplarında yayınlanması vb)
Her hafta önce ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi Standart maddeleri ve standart maddeler tamamlandıktan sonra da EK-A Kontrol Maddelerinin uygulanması ile ilgili 1 veya 2 Maddenin uygulanması ile ilgili yazım olacak. Takip etmek isterseniz Right Team Danışmanlık firmamızı takibe alabilirsiniz.
Faydalı olması dileğiyle,
Tuncay SÖZERİ
ISO 27001 & ISO 27701
Baş Denetçi Eğitmeni / Danışman
Whatsapp Hattı