Bilgi Sınıflandırma Politikası

BİLGİ SINIFLANDIRMA POLİTİKASI

Kod: [belge kodu]
Versiyon: [belge versiyon numarası]
Versiyon Tarihi: [versiyon tarihi]
Yazar: [yazar adı]
Onaylayan: [onaylayan adı]
Gizlilik Seviyesi: [gizlilik etiketi]

1. Amaç, Kapsam ve Kullanıcılar

Amaç:
Bu politika, şirket bünyesindeki tüm bilginin güvenli ve düzenli bir şekilde sınıflandırılmasını ve yönetilmesini sağlamak amacıyla oluşturulmuştur. Bilgi sınıflandırma süreci, bilgilerin doğru kişilerle paylaşılmasını, korunmasını ve yönetilmesini temin eder.

Kapsam:
Bu politika, tüm şirket çalışanlarını, dış tedarikçileri ve şirketle ilişkili diğer tüm paydaşları kapsar. Şirketin tüm bilgi varlıkları, bu politika doğrultusunda sınıflandırılacak ve yönetilecektir.

Kullanıcılar:
Bu politika, tüm departmanlar, yöneticiler, bilgi güvenliği sorumluları ve diğer kullanıcılar tarafından uygulanmalıdır.

2. Bilgi Sınıflandırma Kategorileri

Şirketin bilgi varlıkları aşağıdaki sınıflandırma kategorilerine ayrılacaktır:

1. Kamuya Açık Bilgi
   Bu kategoriye, herkesin erişimine açık olan bilgi ve belgeler dahil edilir. Bu bilgiler herhangi bir güvenlik riski taşımamakta olup, genel kullanıma uygun olup, şirketin işleyişine zarar vermez. Örneğin, basın bültenleri, pazarlama materyalleri.

2. İç Kullanım Bilgisi
   İç kullanım bilgileri, sadece şirket çalışanları ve belirli iç paydaşlar için erişilebilir olan verilerdir. Bu bilgiler, şirketin iş operasyonlarıyla ilgili önemli ancak dışarıya sızdırılması durumunda ciddi zararlara yol açmayacak bilgilerdir. Örneğin, iç prosedürler, şirket içi raporlar.

3. Gizli Bilgi
   Gizli bilgiler, yalnızca yetkilendirilmiş kişiler tarafından erişilmesi gereken bilgilerdir. Bu bilgilerin kötüye kullanımı, şirketin ticari faaliyetlerine, itibarına ya da yasal durumuna zarar verebilir. Gizli bilgiler, genellikle sadece yetkili çalışanlar, yöneticiler ve iş ortakları tarafından paylaşılır. Örneğin, çalışan kişisel bilgileri, finansal veriler, şirket içi stratejiler.

4. Çok Gizli Bilgi
   Bu kategori, yalnızca çok sınırlı bir erişime sahip olan ve herhangi bir şekilde açığa çıkması durumunda şirketin tüm faaliyetlerini ciddi şekilde tehlikeye atabilecek bilgilerdir. Bu bilgiler, yüksek güvenlik gereksinimleri olan verilerdir. Örneğin, ticari sırlar, mülkiyet hakları, patent başvuruları.

3. Bilgi Sınıflandırma Yöntemleri ve Sorumluluklar

Sınıflandırma Yöntemi:

• Herhangi bir bilgi, oluşturuldukları anda ilgili sınıflandırma kategorisine yerleştirilmelidir.

• Şirket çalışanları, ellerinde bulunan bilgilerin hangi kategoride yer aldığını belirleyerek, bilgiyi uygun güvenlik önlemleri ile korumalıdır.

• Bilgi sınıflandırmaları, kurumun güvenlik ihtiyaçlarına göre belirli periyotlarla gözden geçirilmeli ve güncellenmelidir.

Sorumluluklar:

• Bilgi Sahipleri: Bilgiyi sınıflandıran, güvenliğini sağlayan ve gereksiz bilgilere erişimi engelleyen kişiler, aynı zamanda sınıflandırılan bilgiyi doğru kategoride tutmakla sorumludur.

• Bilgi Güvenliği Yöneticisi: Bilgi güvenliği yöneticisi, sınıflandırma politikalarının düzgün bir şekilde uygulanmasını sağlar ve politika güncellemelerini denetler.

• Tüm Çalışanlar: Tüm çalışanlar, bilgilerin doğru sınıflandırıldığından ve güvenlik önlemlerine uyulduğundan emin olmalıdır.

4. Bilgi Sınıflandırma ve Erişim Kontrolleri

Bilgilerin sınıflandırılması, erişim kontrol mekanizmaları ile birlikte yürütülür. Şirket içindeki her bir kategoriye ait bilgilere erişim, sınıflandırma kategorilerine göre yetkilendirilir:

• Kamuya Açık Bilgi: Herkesin erişebileceği bilgilerdir ve genellikle herhangi bir güvenlik önlemi gerektirmez.

• İç Kullanım Bilgisi: Şirket çalışanları ve belirli dış paydaşlar erişebilir.

• Gizli Bilgi: Yalnızca belirli yetkilendirilmiş kişilere erişim verilir.

• Çok Gizli Bilgi: Sadece en üst düzey yöneticiler ve belirli güvenlik protokollerine uyan kişilere verilmelidir.

5. Bilgi Sınıflandırma ve Kayıt Yönetimi

Bilgi sınıflandırılması sırasında, her bilgi varlığının doğru şekilde kaydedilmesi gereklidir. Bu kayıtlar, sınıflandırma bilgilerini ve erişim izlerini içermelidir. Bu kayıtlar, şirketin bilgi güvenliği süreçlerinin denetlenmesi ve şeffaflık açısından önemlidir. Ayrıca, sınıflandırılmış bilgiler doğru şekilde saklanmalı, gerektiğinde erişim talep edilenlerde denetlenmelidir.

6. Bilgi Sınıflandırma Süreci

1. Bilgi Toplama: Şirket içindeki tüm bilgi varlıkları toplanır.

2. Sınıflandırma: Toplanan bilgiler, yukarıda belirtilen kategoriler doğrultusunda sınıflandırılır.

3. Erişim Kontrolü: Erişim yetkileri belirlenir ve bilgiye erişimi sağlayan kimlik doğrulama ve kontrol mekanizmaları kurulur.

4. Periyodik Gözden Geçirme: Belirli periyotlarla bilgiler gözden geçirilir ve sınıflandırmaları güncellenir.

7. Eğitim ve Farkındalık

Çalışanlara, bilgi sınıflandırma politikası ve sınıflandırılan bilgilerin güvenliğine ilişkin eğitim verilir. Çalışanlar, bilgiyi nasıl sınıflandıracaklarını ve güvenliğini nasıl sağlayacaklarını anlamalıdır. Eğitim, bilgi güvenliği konusunda farkındalık yaratmayı amaçlar ve şirketin güvenlik standartlarına uyum sağlamalarını temin eder.

8. Geçerlilik ve Belge Yönetimi

Bu belge, yıllık olarak gözden geçirilir ve güncellenir. Sınıflandırma politikaları değiştikçe, çalışanlara yeni versiyonlar bildirilir ve tüm eski versiyonlar geçersiz hale getirilir.

Notlar

• BGYS: Bilgi Güvenliği Yönetim Sistemi

• ISO 27001: Bilgi Güvenliği Yönetim Sistemi standardı, şirketlerin bilgi güvenliği önlemlerini nasıl alacaklarına dair uluslararası bir çerçeve sağlar.

[Şirket Adı]
[Belge versiyon numarası] – [Tarih]
[Onaylayan kişi]

Bu Bilgi Sınıflandırma Politikası, tüm şirket çalışanları ve ilgili kişiler için rehber niteliğindedir ve şirketin güvenlik uygulamalarını en yüksek standartlara taşımak için oluşturulmuştur.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi: Kapsamlı Uygulama Rehberi