Bilgi Güvenliği Yönetim Sistemi

Kontrol 5.4 – Yönetim sorumlulukları

Nisan 26, 2025
0 35 2 dakika okuma süresi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi

Yönetim Sorumlulukları Politikası

(ISO 27001 A.5.4 Uyumu İçin)

1. Amaç
Bu politikanın amacı, [Şirket Adı] üst yönetiminin bilgi güvenliği politikalarına ve prosedürlerine uyumu desteklemek ve şirket genelinde bilgi güvenliği bilincini artırmak için taahhüdünü ve sorumluluklarını tanımlamaktır.

2. Kapsam
Bu politika, [Şirket Adı] bünyesindeki tüm yöneticileri ve liderlik kadrosunu kapsar.

3. Politika

  • Üst yönetim, bilgi güvenliğinin şirket stratejisinin ayrılmaz bir parçası olduğunu açıkça ifade edecektir.

  • Üst yönetim, bilgi güvenliği politikalarının ve prosedürlerinin oluşturulmasını, uygulanmasını, sürdürülmesini ve sürekli iyileştirilmesini destekleyecektir.

  • Üst yönetim, bilgi güvenliği farkındalığını artırmak amacıyla çalışanlara düzenli olarak eğitim ve bilgilendirme yapılmasını sağlayacaktır.

  • Üst yönetim, bilgi güvenliği ile ilgili rollerin ve sorumlulukların belirlenmesini ve çalışanlara açık şekilde bildirilmesini sağlayacaktır.

  • Üst yönetim, bilgi güvenliği ihlallerine ilişkin raporlamayı teşvik edecek ve gerekli durumlarda düzeltici faaliyetlerin yapılmasını destekleyecektir.

  • Üst yönetim, bilgi güvenliği hedeflerini destekleyecek kaynakların (insan, finansal, teknolojik) sağlanmasını garanti edecektir.

4. Sorumluluklar

  • Üst Yönetim:

    • Bilgi güvenliği yönetim sisteminin (BGYS) performansını düzenli olarak gözden geçirmek.

    • Çalışanların bilgi güvenliği politikalarına ve prosedürlerine uymasını sağlamak.

    • Bilgi güvenliği risk değerlendirmelerinin sonuçlarını dikkate alarak karar almak.

  • Bilgi Güvenliği Yöneticisi (CISO):

    • Yönetim taahhüdünün uygulanmasını koordine etmek.

    • Eğitim ve farkındalık programlarının yürütülmesini sağlamak.

  • İnsan Kaynakları:

    • Yeni çalışan oryantasyonlarında bilgi güvenliği eğitimi sunmak.

    • Performans değerlendirmelerine bilgi güvenliği uyum kriterleri eklemek.

5. Eğitim ve Farkındalık

  • [Şirket Adı], her yıl tüm çalışanlar için bilgi güvenliği farkındalık eğitimleri düzenler.

  • Yönetim kadrosu, bilgi güvenliği eğitimi ve politika güncellemelerine katılmakla yükümlüdür.

  • Eğitimlerin ve farkındalık programlarının detayları “Farkındalık ve Eğitim Planı” belgesi ile tanımlanır.

6. İzleme ve Gözden Geçirme

  • Yönetim taahhüdü ve bilgi güvenliği performansı, yıllık yönetim gözden geçirme toplantılarında değerlendirilir.

  • Politika yılda en az bir kez veya önemli organizasyonel değişiklikler olduğunda gözden geçirilir.

Bu Makaleyede Göz Atmalısın!  ISO 27001:2022 Kontrolü A.5.10 – Bilginin ve Diğer İlişkili Varlıkların Kabul Edilebilir Kullanımı

7. Yürürlük Tarihi
Bu politika, [Yürürlük Tarihi] itibarıyla yürürlüğe girer.

[Şirket Adı]
Üst Yönetim Kurulu

Farkındalık ve Eğitim Planı

(ISO 27001 A.5.4 Yönetim Sorumlulukları Kontrolü İçin)

1. Amaç
Bu planın amacı, [Şirket Adı] çalışanlarının ve yöneticilerinin bilgi güvenliği farkındalığını artırmak ve bilgi güvenliği politikalarına ve prosedürlerine uygun davranmalarını sağlamaktır.

2. Kapsam
Bu plan, [Şirket Adı] bünyesindeki tüm çalışanlar, yükleniciler ve yönetim ekibini kapsar.

3. Eğitim Hedefleri

  • Bilgi güvenliği farkındalığının artırılması

  • Şirket politikaları, prosedürleri ve kontrolleri hakkında bilgi sağlanması

  • Olası bilgi güvenliği tehditleri ve ihlal durumlarında doğru davranışın kazandırılması

  • Yönetim kadrosunun bilgi güvenliği liderliği konusunda desteklenmesi

4. Eğitim İçeriği

Eğitim Konusu Hedef Kitle Sıklık Yöntem Sorumlu Birim
Bilgi Güvenliği Temel Eğitimi Tüm çalışanlar İşe girişte + Yılda 1 kez Online eğitim veya sınıf içi seminer İnsan Kaynakları & Bilgi Güvenliği Ekibi
Phishing ve Sosyal Mühendislik Farkındalığı Tüm çalışanlar Yılda 1 kez Video/Quiz Bilgi Güvenliği Ekibi
Politika ve Prosedürler Eğitimi Tüm çalışanlar İşe girişte + Politika değişikliklerinde Doküman dağıtımı + Bilgilendirme oturumu Bilgi Güvenliği Ekibi
Yönetim için Bilgi Güvenliği Liderliği Eğitimi Üst Yönetim ve Orta Kademe Yöneticiler Yılda 1 kez Workshop/Sunum Bilgi Güvenliği Ekibi
Olay Bildirimi ve Müdahale Eğitimi Tüm çalışanlar Yılda 1 kez Simülasyon tatbikatları Bilgi Güvenliği Ekibi

5. İletim Yöntemleri

  • Şirket içi eğitim platformları üzerinden online modüller

  • Sınıf içi seminerler ve atölye çalışmaları

  • Posterler, e-postalar ve bültenlerle düzenli hatırlatmalar

  • Bilgi güvenliği günü etkinlikleri ve yarışmalar

6. Katılım ve Takip

  • Tüm çalışanların belirtilen eğitimlere katılımı zorunludur.

  • Katılım kayıtları İnsan Kaynakları tarafından izlenir ve yıllık iç denetimlerde raporlanır.

  • Katılım sağlamayan personel için tekrar eğitim planlanır.

7. Gözden Geçirme ve İyileştirme

  • Eğitim etkinliği ve personel farkındalığı, yıllık olarak ölçülür (anket, test sonuçları vb.).

  • Sonuçlara göre içerik ve yöntemlerde gerekli güncellemeler yapılır.

  • Plan yılda bir kez Bilgi Güvenliği Ekibi tarafından gözden geçirilir ve güncellenir.

Bu Makaleyede Göz Atmalısın!  Yedekleme Politikası

[Şirket Adı]
Bilgi Güvenliği Ekibi

ISO 27001 BGYS Nedir? 

Nisan 26, 2025
0 35 2 dakika okuma süresi

İlgili Makaleler

fotoğrafı

ISO 27001:2022 – Madde 4.3: Bilgi Güvenliği Yönetim Sisteminin (BGYS) Kapsamının Belirlenmesi

Nisan 24, 2025
fotoğrafı

ISO 27001 Madde 7.3 – Farkındalık

Nisan 25, 2025
fotoğrafı

Uygulanabilirlik Beyanı

Nisan 24, 2025
fotoğrafı

Yasal, Düzenleyici, Sözleşmesel ve Diğer Gereklilikler Listesi

Nisan 24, 2025

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu