ISO 27001:2022 Kontrolü A.5.13 – Bilginin Etiketlenmesi

Temeller

ISO 27001 kontrolü A.5.13, şirketlerin bilgilerin ne kadar hassas olduğunu tanımlamak amacıyla bilgiyi etiketlemelerini gerektirir. Bu etiketleme, bilginin sınıflandırma şemasına göre yapılır ve herkesin bu bilginin güvenlik seviyesini anlamasını sağlar. Etiketler, bilgi güvenliğini artırmak, yanlışlıkla veya yetkisiz erişimleri engellemek için önemli bir araçtır. Ayrıca, bilginin güvenli şekilde işlenmesi için gerekli güvenlik önlemlerinin uygulanmasını sağlar.

Bilginin etiketlenmesi, bilgilerin türüne ve güvenlik gereksinimlerine göre her düzeyde koruma sağlayacak şekilde etiketlenmesini gerektirir. Etiketleme, verilerin doğru sınıflandırılmasını ve her bilgi türüne uygun güvenlik önlemleri alınmasını destekler.

Belgeleme

ISO 27001 kontrolü A.5.13, bilginin etiketlenmesi sürecini aşağıdaki şekilde belgelendirebilir:

• Sınıflandırma Politikası: Orta ölçekli şirketlerde, bilginin etiketlenmesi genellikle sınıflandırma politikasının bir parçası olarak belgelenebilir.

• Etiketleme Prosedürü: Daha büyük organizasyonlar için, etiketleme işlemini tanımlayan ayrı bir prosedür oluşturulması önerilir.

Her iki belge de zorunlu değildir, ancak orta ve büyük ölçekli şirketler için önerilmektedir.

Uygulama

A.5.13 Bilgi Etiketleme kontrolüne uymak için aşağıdaki adımlar uygulanabilir:

• Teknoloji:

  • Çoğu şirket, sınıflandırma etiketlerini uygulamak için mevcut teknolojiyi kullanabilir.

  • Çalışanlar, ofis yazılımları (örneğin, metin işlemcileri veya elektronik tablolar) aracılığıyla belgelerine veya dosya adlarına sınıflandırma etiketleri ekleyebilirler.

  • Ayrıca, bilgi sistemleri, sınıflandırma etiketlerini ekranlarda veya dosyalarda gösterebilir, böylece bilgilerin hassasiyet seviyesi anlaşılıp uygun güvenlik önlemleri alınabilir.

• Organizasyon/İşlemler:

  • Etiketlerin uygulanmasındaki sorumlulukları ve etiketlerin düzenini tanımlayan bir süreç oluşturulmalıdır.

  • Etiketlerin nasıl uygulanacağı ve hangi kuralların geçerli olacağı belirlenmeli ve bu süreçler bir Bilgi Sınıflandırma Politikası veya Etiketleme Prosedürü aracılığıyla belgelendirilmelidir.

• İnsanlar:

  • Çalışanlara, bilgi etiketlemesinin önemini anlatın ve etiketlerin nasıl uygulanacağı konusunda eğitim verin.

  • Etiketleme süreci hakkında farkındalık oluşturulmalı, hangi bilgilere hangi etiketlerin uygulanacağına dair açık bir rehberlik sağlanmalıdır.

Denetim Kanıtı

Sertifika denetimi sırasında denetçiler, A.5.13 Bilginin Etiketlenmesi kontrolüne ilişkin aşağıdaki kanıtları arayabilirler:

• Etiketleme Prosedürleri:

  • Organizasyonda, sınıflandırılmış bilgilerin etiketlenmesi için tanımlanmış prosedürler var mı?

• Etiketlerin Uygulanması:

  • Tüm veri, belge ve uygulamalar uygun şekilde etiketlenmiş mi?

  • Etiketleme süreci belgelenmiş mi ve çalışanlar tarafından doğru bir şekilde uygulanıyor mu?

Bu kanıtların varlığı, denetçinin şirketin bilgi etiketleme sürecini doğru bir şekilde uygulayıp uygulamadığını değerlendirmesine yardımcı olacaktır.

ISO 27001 A.5.13 kontrolü, bilgi güvenliğini güçlendirmek ve yanlışlıkla veya yetkisiz erişimi engellemek amacıyla kritik bir adımdır. Etiketleme, bilgilerin ne kadar hassas olduğunu belirtir ve her bilgi türüne uygun güvenlik önlemleri alındığını temin eder. Etiketleme prosedürlerinin ve sınıflandırma politikalarının uygun şekilde uygulanması, organizasyonun bilgi güvenliğini artırmak için etkili bir stratejidir.