Forum

Bilgi işlem gü...
 
Bildirimler
Hepsini Temizle

Bilgi işlem güvenliği şirket politikası

3 Yazılar
3 Üyeler
0 Reactions
452 Görüntüleme
(@AliYonca)
Gönderiler: 32
Trusted Member
Konu başlatıcı
 

Merhabalar,

Müdürüm benden şirketimizin bilgi işlem güvenliğini tanımlayan, hangi durumlarda ne yapılması gerektiğini ve ne gibi önlemlerin alınacağını anlatan bir şirket politikası hazırlamammı istedi. Bu işi öylece kafamdan geçenleri yazarak yapamayacağımı bunun için profesyonel bir destek almam gerektiğini biliyorum. Fakat şuan böyle bir desteği alamayacağım için sizden var olan şirket politikalarınızı, rehber olması amacı ile bana göndermenizi istiyorum.

Saygılarımla.

 

 
Gönderildi : 24/05/2010 11:04

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
 

Şirketlerin BT güvenlikleri, dışarıyla paylaşılmayacak şeylerdir, yani doğru değildir bana göre. Ama fikir istiyorum diyorsanız, sizin için kritik datalar olan datalar ile ilgili nasıl önlem alıyorsunuz? Fiziksel bir arıza esnasında nasıl hareket ediyorsunuz? Felaket durumlarında(yangın, sel vs) şirketin BT odası için aldığınız önlemler var mı, varsa nelerdir? Kullanıcıları nasıl yönetiyorsunuz ( şifre güçlülüğü ve gizliliği ) ? BT personelleri ve diğer şirket kullanıcıları, dış dünyalarına şirkete ait bilgileri nasıl aktarıyorlar? Sosyal mühendisliğe karşı bir eğitiminiz var mı?


Bu soruların cevapları, şirketinizdeki personel sayısına göre ve organizasyon şemanıza göre güvenlik politikanızın tamamını veya bir kısmını oluşturabilir.

 
Gönderildi : 24/05/2010 14:28

(@ilkertutu)
Gönderiler: 63
Trusted Member
 

Merhaba

Aslında güvenlik politikası BT departmanının yanısıra iş birimlerinin de sorumluluğundaki bir konu. Fikir isterseniz eğer güvenlik politikası 2-3 sayfa uzunluğunda, içerisinde hiçbir gizli bilgi içermeyen ve okuyan herkesin (BT veya diğer birimler) anlayabileceği bir dokümandır.

Doküman içerisine kurumun bilgi güvenliğine yaklaşımı, bilgi sınıflandırması, veri sahipliği, kullanıcıların sorumlulukları, üst yönetimin desteği gibi konulardan bahsedilir.

Politikanın ekinde ise "standartlar" bulunur. Standartlar daha teknik konuları içerir, standartla içerisinde gizli bilgiler de bulunabilir ve uzman personelin anlayacağı şekilde yazılır. Örnek vermek gerekirse kriptolama standardı, şifre standardı, yetkilendirme standardı, DLP yaklaşımı, sistem kurulumlarında dikkat edilmesi gerekli konular, veri yönetimi vs. Konu başlıklarının seçimindeki iyi bir uygulama ise ISO27001'de veya ITIL'da geçen konu başlıklarını kullanmak. Ne yazık ki CobiT bu konuda politika oluşturmaya yetecek kadar detay içermiyor.

Post açılalı epey zaman olmuş fakat hala ilgileniyorsanız www.sans.org adresinde pek çok güvenlik politikası örneği bulabilirsiniz.

Saygılarımla

 
Gönderildi : 10/07/2010 03:56

Paylaş: