ISO 27001 Madde 5.1 – Liderlik ve Bağlılık
🔹 Temeller
Madde 5.1, üst düzey yönetim ve hat yöneticilerinin BGYS’ni etkin bir şekilde desteklemek için sorumluluklar almasını ve buna bağlı olarak çalışanları yönlendirmesini gerektirir. Bu, bilgi güvenliği politikalarının ve hedeflerinin sadece yazılı olmasıyla değil, işletme stratejileri ile uyumlu olması ve tüm çalışanların bu hedeflere ulaşabilmesi için gerekli desteğin sağlanmasıyla gerçekleştirilir.
📜 Belgeleme Gereksinimi
-
Belge gereksinimi yoktur. Ancak, üst yönetimin bağlılık ve liderlik gösterdiğine dair çeşitli faaliyetler ve izler denetim sırasında incelenebilir.
🔨 Uygulama Adımları
Madde 5.1’i uygulamak için aşağıdaki adımlar izlenebilir:
-
Bilgi Güvenliği Politikası ve Hedefleri: Bilgi güvenliği politikası ve hedeflerinin, organizasyonun genel stratejik yönü ile uyumlu olması sağlanmalıdır.
-
Bütünleşme: Bilgi güvenliği faaliyetleri, diğer iş sistemleri ile uyumlu ve entegre olmalıdır.
-
Kaynak Sağlama: BGYS’nin etkin bir şekilde işletilebilmesi için gerekli kaynaklar (insan kaynağı, bütçe, zaman) sağlanmalıdır.
-
Farkındalık: Üst yönetim, BGYS gerekliliklerinin ve bilgi güvenliğinin önemini tüm çalışanlara iletmelidir.
-
Sorumlulukların Belirlenmesi ve Destek: BGYS kapsamındaki çalışanlar için bilgi güvenliği sorumlulukları net bir şekilde tanımlanmalı ve bu kişilere gerekli eğitim ve rehberlik sağlanmalıdır.
-
Sürekli İyileştirme: PDCA (Plan-Do-Check-Act) yaklaşımına göre BGYS’nin sürekli iyileştirilmesi sağlanmalıdır.
📝 Denetim Kanıtı
Denetim sırasında denetçi aşağıdaki belgeleri ve durumları kontrol edebilir:
-
Bilgi Güvenliği Politikasının iletilmesi: Politikanın yayımlandığı ve ilgili kişilere iletildiğine dair kanıtlar.
-
Üst Yönetim Hedefleri: Belirlenen bilgi güvenliği hedeflerinin şirketin genel stratejileri ile uyumlu olup olmadığı.
-
Kaynakların Tahsisi: BGYS için gerekli kaynakların sağlanıp sağlanmadığı, örneğin personel ve finansal kaynaklar.
-
Bilgi Güvenliği Farkındalığı: Üst yönetimin bilgi güvenliğini şirket genelinde iletmesi ve günlük faaliyetlerinde bu ilkeleri uygulaması.
-
Sürekli İyileştirme: Üst yönetimin BGYS’nin sürekli iyileştirilmesine dair çaba ve destekleri.
📊 Özet: Denetim Kanıtı Kontrol Listesi
| Denetim Kanıtı | Kontrol Edilen Alanlar |
|---|---|
| Bilgi Güvenliği Politikasının yayımlanması ve iletilmesi | Politika dokümanı, iletim kayıtları |
| Üst yönetim hedeflerinin belirlenmesi | Stratejik yön belgeleri, hedefler |
| Kaynakların tahsisi | İnsan kaynağı, bütçe dokümanları |
| Yönetimin BGYS’yi iletmesi | İç iletişim belgeleri |
| Sürekli iyileştirme desteği | İyileştirme planları, raporlar |
ISO 27001 madde 5.1, kuruluşun BGYS’ye olan bağlılığını ve liderliğini gösterebileceği bir çerçeve sunar. Bu bağlamda, uygulamada üst yönetimin rolü kritik olup, bilgilerin güvenliğini sağlamak için gerekli kaynaklar sağlanmalı ve sürekli iyileştirme teşvik edilmelidir.
