Forum
Merhabalar,
Müdürüm benden şirketimizin bilgi işlem güvenliğini tanımlayan, hangi durumlarda ne yapılması gerektiğini ve ne gibi önlemlerin alınacağını anlatan bir şirket politikası hazırlamammı istedi. Bu işi öylece kafamdan geçenleri yazarak yapamayacağımı bunun için profesyonel bir destek almam gerektiğini biliyorum. Fakat şuan böyle bir desteği alamayacağım için sizden var olan şirket politikalarınızı, rehber olması amacı ile bana göndermenizi istiyorum.
Saygılarımla.
Şirketlerin BT güvenlikleri, dışarıyla paylaşılmayacak şeylerdir, yani doğru değildir bana göre. Ama fikir istiyorum diyorsanız, sizin için kritik datalar olan datalar ile ilgili nasıl önlem alıyorsunuz? Fiziksel bir arıza esnasında nasıl hareket ediyorsunuz? Felaket durumlarında(yangın, sel vs) şirketin BT odası için aldığınız önlemler var mı, varsa nelerdir? Kullanıcıları nasıl yönetiyorsunuz ( şifre güçlülüğü ve gizliliği ) ? BT personelleri ve diğer şirket kullanıcıları, dış dünyalarına şirkete ait bilgileri nasıl aktarıyorlar? Sosyal mühendisliğe karşı bir eğitiminiz var mı?
Bu soruların cevapları, şirketinizdeki personel sayısına göre ve organizasyon şemanıza göre güvenlik politikanızın tamamını veya bir kısmını oluşturabilir.
Merhaba
Aslında güvenlik politikası BT departmanının yanısıra iş birimlerinin de sorumluluğundaki bir konu. Fikir isterseniz eğer güvenlik politikası 2-3 sayfa uzunluğunda, içerisinde hiçbir gizli bilgi içermeyen ve okuyan herkesin (BT veya diğer birimler) anlayabileceği bir dokümandır.
Doküman içerisine kurumun bilgi güvenliğine yaklaşımı, bilgi sınıflandırması, veri sahipliği, kullanıcıların sorumlulukları, üst yönetimin desteği gibi konulardan bahsedilir.
Politikanın ekinde ise "standartlar" bulunur. Standartlar daha teknik konuları içerir, standartla içerisinde gizli bilgiler de bulunabilir ve uzman personelin anlayacağı şekilde yazılır. Örnek vermek gerekirse kriptolama standardı, şifre standardı, yetkilendirme standardı, DLP yaklaşımı, sistem kurulumlarında dikkat edilmesi gerekli konular, veri yönetimi vs. Konu başlıklarının seçimindeki iyi bir uygulama ise ISO27001'de veya ITIL'da geçen konu başlıklarını kullanmak. Ne yazık ki CobiT bu konuda politika oluşturmaya yetecek kadar detay içermiyor.
Post açılalı epey zaman olmuş fakat hala ilgileniyorsanız www.sans.org adresinde pek çok güvenlik politikası örneği bulabilirsiniz.
Saygılarımla