Bilgi Güvenliği Yönetim Sistemi

ISO 27001 Kontrolü A.5.2 – Bilgi Güvenliği Rolleri ve Sorumlulukları

Nisan 26, 2025
0 32 1 dakika okuma süresi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi

Temeller

A.5.2 kontrolü, bir şirketin bilgi güvenliği kapsamındaki rolleri ve sorumlulukları net bir şekilde tanımlamasını ve iletmesini zorunlu kılar.
Amaç, herkesin kendi görev ve sorumluluklarını, bilgi güvenliği ile ilgili kendilerinden ne beklendiğini bilmesini sağlamaktır.

Belgeleme

Bilgi güvenliği rolleri ve sorumlulukları şu yollarla belgelenebilir:

  • İstihdam sözleşmeleri:

    • Zorunludur.

    • Çalışanın bilgi güvenliği ile ilgili sorumlulukları açıkça belirtilmelidir.

  • İç güvenlik politikaları ve prosedürleri:

  • Merkezi bir belge (Sorumluluk Matrisi gibi):

    • Bazı şirketler kullanır.

    • Özellikle büyük yapılarda kolaylık sağlar.

Not: İş sözleşmelerinde yalnızca “ISO 27001’e uygunluk” ifadesi yeterli değildir.
Şirketin özel ihtiyaçlarına göre açık ve spesifik sorumluluklar tanımlanmalıdır.

Uygulama

A.5.2 kontrolüne uyum sağlamak için şu adımlar izlenebilir:

  • Teknoloji:

    • BT sistemleri, tanımlı rol ve sorumluluklara göre yapılandırılmalıdır.

    • Örnek: Sistem Yöneticisine, yalnızca yönetmesi gereken sunucular için yetki verilmesi.

    • Rolleri ve sorumlulukları belgelemek için belge yönetim sistemleri veya sorumluluk matrisleri kullanılabilir.

  • Organizasyon/Süreçler:

    • Roller ve sorumluluklar nasıl tanımlanacak, belgelenecek ve iletilecek? Bunun için net süreçler oluşturulmalıdır.

    • İstihdam sözleşmelerinde ve/veya iç prosedürlerde bu süreçlere yer verilmelidir.

  • İnsanlar:

    • Çalışanlar, rol ve sorumlulukların neden önemli olduğunu anlamalıdır.

    • Yönetim kadrosu, rollerin doğru şekilde atanması ve yönetilmesi konusunda eğitim almalıdır.

Denetim Kanıtı

Sertifikasyon denetimi sırasında denetçiler şu kanıtları arar:

  • Bilgi güvenliği ile ilgili rollerin ve sorumlulukların tanımlanıp tanımlanmadığı.

  • Bu rollerin ve sorumlulukların iletilip iletilmediği.

Bilgi Güvenliği Rol ve Sorumluluk Matrisi (Örnek)

Görev / Aktivite Bilgi Güvenliği Yöneticisi BT Yöneticisi İnsan Kaynakları Çalışanlar Üst Yönetim
Bilgi güvenliği politikalarının oluşturulması S (Sorumlu) D (Destekler) D (Destekler) B (Bilgilendirilir) O (Onaylar)
Bilgi güvenliği risklerinin belirlenmesi ve değerlendirilmesi S D D B O
Kullanıcı erişim yetkilerinin verilmesi ve iptali D S D B
İstihdam sürecinde bilgi güvenliği yükümlülüklerinin tanımlanması D S O
Bilgi güvenliği farkındalık eğitimlerinin düzenlenmesi S D S B O
Olay yönetimi ve ihlallerin raporlanması S S D S O
Bilgi güvenliği performansının izlenmesi ve raporlanması S D D B O
Politikaların gözden geçirilmesi ve güncellenmesi S D D B O
Bu Makaleyede Göz Atmalısın!  Eğitim ve Farkındalık Planı

Açıklamalar:

  • S (Sorumlu): Görevi fiilen yapar.

  • O (Onaylar): Karar verme ve nihai onay sorumluluğuna sahiptir.

  • D (Destekler): Süreci destekler, yardımcı olur.

  • B (Bilgilendirilir): Süreç hakkında bilgilendirilir ancak doğrudan görev almaz.

ISO 27001 BGYS Nedir? 

Nisan 26, 2025
0 32 1 dakika okuma süresi

İlgili Makaleler

fotoğrafı

ISO 27001 Kontrolü A.5.17: Kimlik Doğrulama Bilgileri

Nisan 26, 2025
fotoğrafı

ISO 27001 Madde 8 – İşletme

Nisan 25, 2025
fotoğrafı

ISO 27001 Belgeler, Politikalar, Prosedürler ve Daha Fazlası

Nisan 24, 2025
fotoğrafı

Uygulanabilirlik Beyanı

Nisan 24, 2025

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu