ISO 27001:2022 Kontrolü A.5.12 – Bilginin Sınıflandırılması

Temeller

ISO 27001 kontrolü A.5.12, organizasyonların bilgi güvenliği gereksinimlerine ve iş gereksinimlerine göre bilgileri sınıflandırmalarını sağlar. Bu, daha hassas bilgilerin daha az hassas bilgilerden ayrılmasını, böylece her bilgi türü için uygun güvenlik önlemlerinin alınmasını temin eder. Bilgi sınıflandırması, şirketlerin hangi bilgilerin daha yüksek güvenlik önlemleri gerektirdiğini ve hangi bilgilerin daha düşük seviyede korunması gerektiğini belirlemesine yardımcı olur.

Bu kontrol, organizasyonların verilerin güvenliğini sağlamak ve güvenlik risklerini minimize etmek için kritik bir adımdır. Ayrıca, çalışanların bilgiyi doğru şekilde işleyip, güvenlik önlemleri ve gizlilik kurallarına uymalarını sağlar.

Belgeleme

ISO 27001 kontrolü A.5.12 için uygun bir belge, Bilgi Sınıflandırma Politikası olabilir. Bu politika, verilerin ve bilgilerin hangi sınıflandırmalara ayrılacağını ve her sınıflandırmanın nasıl korunması gerektiğini tanımlar.

• Bilgi Sınıflandırma Politikası: Bu, bilgilerin güvenliğini sağlamak amacıyla, verilerin ve bilgilerin uygun bir şekilde sınıflandırılmasını sağlayan bir politika dokümanıdır.

  • Bu politika zorunlu bir belge olmasa da, orta ve büyük ölçekli şirketler için önerilir.

Uygulama

A.5.12 Bilgi Sınıflandırması kontrolüne uymak için aşağıdaki adımlar uygulanabilir:

• Teknoloji:

  • Çoğu durumda, şirketin mevcut teknolojisi bilgi sınıflandırmasını sağlayacak şekilde yapılandırılmıştır. Çalışanlar, ofis yazılımları (metin işlemcileri, elektronik tablolar vb.) veya mevcut yazılımlar kullanarak bilgileri sınıflandırabilir.

  • Ayrıca, sınıflandırılmış bilgilerin izlenmesi, erişim kontrolü ve güvenlik önlemleri için özel yazılım sistemleri kullanılabilir.

• Organizasyon/İşlemler:

  • Bilgi sınıflandırmasından kimin sorumlu olduğunu belirlemek önemlidir. Ayrıca, hangi sınıflandırma şemasının kullanılacağı ve sınıflandırma için hangi ölçütlerin geçerli olduğu tanımlanmalıdır.

  • Bu süreçler bir Bilgi Sınıflandırma Politikası ile belgelendirilebilir.

  • Çalışanlar, hangi bilgilerin hassas olduğunu ve bu bilgilerin nasıl korunması gerektiğini bilmelidir.

• İnsanlar:

  • Çalışanlara, bilgi sınıflandırmasının neden gerekli olduğu ve hangi sınıflandırma şemasının uygulanacağı konusunda eğitim verilmelidir.

  • Eğitim, bilgilerin doğru bir şekilde sınıflandırılmasını ve güvenlik önlemlerinin uygun şekilde alınmasını sağlar.

  • Ayrıca, çalışanların hangi bilgileri paylaşabileceği, kimlere verebileceği ve hangi verilere erişim izni olduğu gibi konular hakkında da bilinçlendirilmelidir.

Denetim Kanıtı

Sertifika denetimi sırasında denetçiler, kontrolle ilgili aşağıdaki kanıtları arayabilirler:

• Bilgilerin Sınıflandırılması:

  • Tüm veriler, belgeler ve uygulamalar, organizasyonun belirlediği politika, prosedür veya iç kurallara göre doğru bir şekilde sınıflandırılmış mı?

  • Çalışanlar, doğru sınıflandırma şemalarını kullanarak bilgi güvenliğine uygun şekilde işlem yapıyorlar mı?

Eğer bu kanıtlar bulunamazsa, bu durum bir uygunsuzluk olarak değerlendirilebilir.

ISO 27001 A.5.12 kontrolü, bilgilerin sınıflandırılmasının organizasyonlar için önemli bir güvenlik önlemi olduğunu vurgular. Doğru sınıflandırma, her bilgi türüne uygun güvenlik tedbirleri uygulanmasını sağlar. Bu kontrolün etkili bir şekilde uygulanması, bilgilerin güvenliğini artırmak ve potansiyel güvenlik risklerini azaltmak için kritik öneme sahiptir.

ISO 27001 BGYS Nedir?