ISO 27001 Madde 7.3 – Farkındalık
🔍 Temeller
ISO 27001:2022 standardının 7.3 maddesi olan “Farkındalık”, kuruluş içindeki tüm çalışanların bilgi güvenliğinin önemini, kendi görevlerinin BGYS üzerindeki etkisini ve bu görevlerdeki olası bir uyumsuzluğun yaratabileceği sonuçları anlamasını ve farkında olmasını sağlamayı amaçlar.
Bu madde, teknik yeterlilikten ziyade davranışsal bilinç ve bilgi güvenliği kültürü oluşturmayı hedefler.
🗂️ Belgeleme
-
Zorunlu belge: Yoktur. Bu madde herhangi bir belgeleme zorunluluğu getirmez.
-
İsteğe bağlı belgeler:
-
Farkındalık Planı
-
Eğitim sunumları veya içerikleri
-
Katılım kayıtları
-
Bu belgeler, uygulamanın sistematik olduğunu göstermek ve denetimlerde kolaylık sağlamak açısından faydalıdır.
✅ Uygulama Adımları
-
Sorumluluk Atayın
-
Genellikle Bilgi Güvenliği Görevlisi (CISO/BGYS Koordinatörü) bu işin doğal sorumlusudur. Bu kişinin farkındalık faaliyetlerini planlayıp yürütmesi gerekir.
-
-
Farkındalık Planı Geliştirin
-
Kimlere, hangi konularda, ne sıklıkta eğitim verileceğini planlayın.
-
Konular örnek:
-
Şifre yönetimi
-
Sosyal mühendislik
-
E-posta güvenliği
-
Bilgi sınıflandırma politikası
-
-
-
Farkındalık Eğitimlerini Gerçekleştirin
-
Eğitimler çevrimiçi, yüz yüze, video ya da e-posta ile yapılabilir.
-
Önerilen: Her çalışan için yılda en az bir defa temel bilgi güvenliği eğitimi.
-
Yeni işe başlayanlara oryantasyon sürecinde bilgi güvenliği eğitimi verilmelidir.
-
-
Kaynak Ayırın
-
Eğitimlerin planlanması ve gerçekleştirilmesi için zaman ve bütçe ayrıldığından emin olun.
-
Gerekirse dış eğitmen veya danışman desteği alın.
-
-
İzleme ve Değerlendirme
-
Eğitimlerin etkinliği ölçülmelidir (örneğin kısa sınavlar, anketler, simülasyonlar).
-
Yılda en az bir kez farkındalık faaliyetlerinin değerlendirilmesi önerilir.
-
🔍 Denetim Kanıtı
Denetçi şu tür kanıtlar arar:
-
Çalışanların bilgi güvenliğinin neden önemli olduğunu bildiklerine dair işaretler
-
Politika ve prosedürlerin farkında olduklarını gösteren kısa testler, anket sonuçları, eğitim katılım listeleri
-
Phishing testlerine katılım ve sonuçlar
-
İç iletişim kanallarıyla (intranet, e-posta bülteni) farkındalık mesajlarının paylaşımı
💡 İpuçları:
-
Farkındalık eğitimi sıkıcı olmak zorunda değil! Oyunlaştırılmış eğitimler, kısa videolar, yarışmalar ve örnek vakalar çalışan katılımını artırır.
-
Tüm seviyelerdeki personel için özelleştirilmiş içerikler oluşturmak etkili olur (örneğin yöneticiler için farklı, teknik ekip için farklı içerik).
İyi bir farkındalık kültürü, teknik kontrollerden daha güçlü bir savunma hattı oluşturabilir. ISO 27001’in 7.3 maddesi, bilgi güvenliğini yalnızca “IT’nin işi” olmaktan çıkarıp tüm şirketin sorumluluğu haline getirir.
