ISO 27001 Madde 5.2 Bilgi Güvenliği Politikası

Temeller
ISO 27001 alt maddesi 5.2 “Politika”, üst yönetimin, kuruluşun amaçlarıyla uyumlu bir bilgi güvenliği politikası oluşturmasını ve geçerli gereklilikleri yerine getirme taahhüdü ile BGYS‘nin sürekli iyileştirilmesi de dahil olmak üzere bilgi güvenliği hedeflerini belirlemek için bir çerçeve sağlamasını gerektirir.

Bu madde, şirketlerin güvenlik hedeflerini belirlemesi ve bu hedeflere ulaşmak için stratejik bir yön belirlemesi adına oldukça kritik bir öneme sahiptir. Ayrıca, bilgi güvenliği politikasının oluşturulması, kuruluşun genel stratejileriyle ve hedefleriyle tutarlılığına da odaklanır.

Belgeleme
ISO 27001 madde 5.2, aşağıdaki belgenin yazılmasını zorunlu kılar:

• Üst Düzey Bilgi Güvenliği Politikası

Bu belge, kuruluşun bilgi güvenliği hedeflerini ve bu hedeflere ulaşma yolundaki taahhütlerini tanımlar. Ayrıca, üst yönetimin bilgi güvenliğini ön planda tutarak, BGYS‘nin başarılı bir şekilde uygulanması için gereksinim duyulan çerçeveyi sağlar.

Uygulama
Madde 5.2’ye uyum sağlamak için, üst düzey Bilgi Güvenliği Politikası oluşturmalısınız. Bunu yaparken şu adımları izleyebilirsiniz:

1. ISO 27001’in Uygulanmasıyla Şirketin Ne Elde Etmesi Gerektiğini Görüşün:
   Üst yönetim ile bir görüşme yaparak, şirketin BGYS uygulamasından elde etmeyi umduğu sonuçları belirleyin. Bu, hedeflerinizi ve stratejinizi netleştirmenize yardımcı olacaktır.

2. En Üst Düzey Bilgi Güvenliği Hedeflerini Tanımlayın:
   Bu görüşmeye dayalı olarak, şirketin bilgi güvenliği hedeflerini belirleyin. Bu hedefler, şirketin genel amaçlarıyla uyumlu olmalı ve güvenlik gereksinimlerini karşılamalıdır.

3. Gelecekte Hedeflerin Nasıl Belirleneceğinin Sürecini Tanımlayın:
   Gelecekte, yeni bilgi güvenliği hedeflerinin nasıl belirlenmesi gerektiği ile ilgili bir süreç oluşturun. Bu, şirketin uzun vadede güvenlik gereksinimlerini sürekli olarak karşılamasını sağlayacaktır.

4. Bilgi Güvenliğine İlişkin En Önemli Sorumlulukları Tanımlayın:
   Şirket içindeki herkesin güvenlik sorumluluklarını net bir şekilde tanımlayın. Bu sorumluluklar, BGYS‘nin etkin bir şekilde işletilmesi için büyük önem taşır.

5. Bilgi Güvenliği Politikasını Yazın:
   Yukarıdaki adımları göz önünde bulundurarak, bilgi güvenliği politikasını yazın. Politika, tüm çalışanlara ve diğer ilgili taraflara iletilmelidir ve güvenlik hedeflerine ulaşmak için bir yol haritası sunmalıdır.

Denetim Kanıtı
Denetim sırasında, denetçiler 5.2 madde “Bilgi Güvenliği Politikası” ile ilgili olarak aşağıdaki kanıtları talep edebilir:

• Politikanın İçeriği: Politikanın, güvenlik gerekliliklerine uyma taahhüdü ve BGYS‘nin sürekli iyileştirilmesi taahhüdünü içerip içermediğini kontrol ederler.

• Politikanın Hedeflerle Uyumu: Politikanın, en üst düzey hedefleri veya hedeflerin belirlenmesine ilişkin çerçeveyi tanımlayıp tanımlamadığını incelerler.

• İlgili Kişilere İletilmesi: Politikanın, ilgili tüm taraflara iletilip iletilmediğini kontrol ederler. Bu, politikaların etkili bir şekilde iletilmesinin, şirketin genel güvenlik kültürüne katkıda bulunmasını sağlar.

• Ek Sorumluluklar ve Kurallar: Politika, ek sorumluluklar veya kurallar içeriyorsa, denetçiler bu kurallara uyulup uyulmadığına dair kanıtlar arayacaktır.

Denetçilerin, yukarıdaki kriterlere göre yaptıkları kontroller, şirketin BGYS‘ye uyumunu ve politikanın etkinliğini değerlendirmede önemli bir rol oynar. Eğer bu kriterler karşılanmazsa, denetim bir uygunsuzluk olarak değerlendirilebilir.

ISO 27001 BGYS Nedir?