Bilgi Güvenliği Yönetim Sistemi

ISO 27001 Kontrolü A.5.19 – Tedarikçi İlişkilerinde Bilgi Güvenliği

Nisan 26, 2025
0 53 1 dakika okuma süresi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi

Temeller

A.5.19 kontrolü, tedarikçi ürün ve hizmetleri ile ilgili bilgi güvenliği risklerini yönetmeyi ve tedarikçilerle paylaşılan bilgilerin korunmasını sağlamayı zorunlu kılar.

Belgeleme

  • Küçük/Orta Ölçekli Şirketler: Tedarikçi Güvenlik Politikası hazırlanabilir.

  • Büyük Şirketler: Tedarikçi Güvenlik Risklerini Yönetme Prosedürü hazırlanabilir.

  • Bu belgeler zorunlu değildir ancak şiddetle tavsiye edilir.

Uygulama

Teknoloji:

  • Mevcut bilgi güvenliği sistemleri kullanılabilir (ör. risk yönetimi yazılımı, elektronik tablolar).

Organizasyon/Süreçler:

  • Tedarikçi risklerini değerlendirme, ölçme ve ele alma süreçleri oluşturulmalı.

  • Bu süreçler yazılı hale getirilmeli (ör. politika veya prosedür dokümanı).

İnsanlar:

  • Çalışanlar, tedarikçi ilişkilerinde bilgi güvenliği risklerinin önemi konusunda bilinçlendirilmeli.

  • Eğitim verilerek, riskleri nasıl yönetecekleri öğretilmeli.

Denetim Kanıtı

Denetçi aşağıdaki kanıtları arar:

  • Tedarikçi risklerinin belgelendiği kayıtlar

  • Tedarikçilerle yapılan güvenlik taahhütleri (ör. sözleşmelere eklenen güvenlik maddeleri)

  • Risk değerlendirme sonuçları ve alınan önlemler

Eğer bu kanıtlar sunulamazsa, uygunsuzluk (nonconformity) olarak kaydedilir.

Tedarikçi Bilgi Güvenliği Politikası

1. Amaç

Bu politika, [Şirket Adı] adına hizmet veya ürün sağlayan tüm tedarikçilerle ilişkili bilgi güvenliği risklerini tanımlamak, değerlendirmek ve yönetmek amacıyla oluşturulmuştur.

2. Kapsam

Bu politika, [Şirket Adı] ile iş ilişkisi olan tüm tedarikçileri ve bu tedarikçilerin işlediği, sakladığı veya ilettiği [Şirket Adı]’na ait bilgileri kapsar.

3. Politikalar

3.1 Tedarikçi Seçimi ve Risk Değerlendirmesi

  • Yeni bir tedarikçi ile çalışmaya başlamadan önce bilgi güvenliği risk değerlendirmesi yapılır.

  • Tedarikçinin bilgi güvenliği uygulamaları değerlendirilir ve gerekli görüldüğü durumlarda güvenlik gereksinimlerini karşılaması şart koşulur.

Bu Makaleyede Göz Atmalısın!  Mobil Cihaz, Uzaktan Çalışma ve Evden Çalışma Politikası

3.2 Sözleşmesel Yükümlülükler

  • Tüm tedarikçilerle imzalanacak sözleşmelere, bilgi güvenliği gereklilikleri dahil edilir.

  • Gizlilik anlaşmaları (NDA) ve bilgi koruma taahhütleri yapılır.

3.3 Erişim Yönetimi

  • Tedarikçilere verilen erişim hakları, görevlerinin gerektirdiği minimum seviyede tutulur.

  • İş ilişkisinin sona ermesi durumunda tüm erişim yetkileri derhal kaldırılır.

3.4 Performans ve Güvenlik İzleme

  • Kritik tedarikçiler düzenli aralıklarla denetlenir ve bilgi güvenliği uygulamaları gözden geçirilir.

  • Güvenlik olaylarının tespiti halinde tedarikçiden derhal aksiyon alması beklenir.

3.5 İhlal Bildirimi

  • Tedarikçiler, [Şirket Adı]’nın bilgilerini etkileyebilecek herhangi bir bilgi güvenliği ihlalini derhal bildirmekle yükümlüdür.

4. Roller ve Sorumluluklar

  • Tedarikçi Yöneticileri: Tedarikçi seçiminde ve sözleşme yönetiminde bilgi güvenliği gereksinimlerinin uygulanmasından sorumludur.

  • Bilgi Güvenliği Ekibi: Tedarikçi risk değerlendirmelerini yürütmek ve düzenli kontroller yapmakla sorumludur.

5. Eğitim ve Farkındalık

  • İlgili tüm çalışanlara tedarikçi ilişkilerinde bilgi güvenliği riskleri hakkında düzenli eğitim verilir.

6. Politika Gözden Geçirme

  • Bu politika, yılda en az bir kez veya ihtiyaç doğduğunda gözden geçirilir ve güncellenir.

ISO 27001 BGYS Nedir? 

Nisan 26, 2025
0 53 1 dakika okuma süresi

İlgili Makaleler

fotoğrafı

Ölçüm Raporu

Nisan 24, 2025
fotoğrafı

ISO 27001 Belgeler, Politikalar, Prosedürler ve Daha Fazlası

Nisan 24, 2025
fotoğrafı

Erişim Kontrol Politikası

Nisan 24, 2025
fotoğrafı

ISO 27001 Madde 7.1 – Kaynaklar

Nisan 24, 2025

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu