ISO 27001:2022 – Madde 5: Liderlik

📌 Genel Tanım

Madde 5, üst yönetimin bilgi güvenliği yönetim sistemi (BGYS) üzerindeki aktif rolünü tanımlar. Liderlik, yalnızca onaylayan değil, sistemi destekleyen, yönlendiren ve iyileştiren bir yaklaşım gerektirir.

📂 5.1 – Liderlik ve Bağlılık (Leadership and Commitment)

Üst yönetim:

• BGYS’nin kurulması, sürdürülmesi ve sürekli iyileştirilmesini aktif olarak desteklemelidir.

• Bilgi güvenliğini iş süreçlerinin ayrılmaz bir parçası haline getirmelidir.

• Gerekli kaynakların (insan, teknoloji, bütçe) sağlanmasını garanti etmelidir.

• Bilgi güvenliği hedeflerinin gerçekleştirilmesine liderlik etmelidir.

• Çalışanları BGYS hedefleri konusunda bilinçlendirmeli ve motive etmelidir.

📌 Denetim Kanıtı:

• Üst yönetimin BGYS toplantılarına katılımı

• Kaynak tahsisi belgeleri

• Performans değerlendirme toplantı notları

📂 5.2 – Bilgi Güvenliği Politikası (Information Security Policy)

Üst yönetim, aşağıdaki unsurları içeren yazılı bir bilgi güvenliği politikası oluşturmalı, sürdürmeli ve iletmelidir:

• Kuruluşun genel hedefleriyle uyumlu

• Bilgi güvenliği hedeflerinin belirlenmesine çerçeve sağlayan

• Uygunluk yükümlülüklerini karşılama taahhüdü

• Sürekli iyileştirmeye olan bağlılık

📌 Denetim Kanıtı:

• Güncel bilgi güvenliği politikası (yayınlanmış ve çalışanlarla paylaşılmış)

• Politikanın versiyon kontrolü

• Politikanın gözden geçirilme periyodu

📂 5.3 – Roller, Sorumluluklar ve Yetkiler (Organizational Roles, Responsibilities, and Authorities)

Üst yönetim;

• Bilgi güvenliğiyle ilgili görev ve sorumlulukları net olarak tanımlamalı ve atamalıdır.

• Yetkilendirmeleri açıkça belirlemelidir.

• BGYS’nin performansının doğru ve düzenli raporlanmasını sağlamalıdır.

🎯 Örnek Roller:

• BGYS Yöneticisi

• Risk Sahipleri

• Güvenlik Olay Yöneticisi

• Uyum Sorumlusu

📌 Denetim Kanıtı:

• Atanmış rol ve sorumlulukları gösteren belgeler

• Görev tanımları

• Raporlama yapısına dair organigramlar

✅ Özet