Bilgi işlem güvenliği şirket politikası

Şirketlerin BT güvenlikleri, dışarıyla paylaşılmayacak şeylerdir, yani doğru değildir bana göre. Ama fikir istiyorum diyorsanız, sizin için kritik datalar olan datalar ile ilgili nasıl önlem alıyorsunuz? Fiziksel bir arıza esnasında nasıl hareket ediyorsunuz? Felaket durumlarında(yangın, sel vs) şirketin BT odası için aldığınız önlemler var mı, varsa nelerdir? Kullanıcıları nasıl yönetiyorsunuz ( şifre güçlülüğü ve gizliliği ) ? BT personelleri ve diğer şirket kullanıcıları, dış dünyalarına şirkete ait bilgileri nasıl aktarıyorlar? Sosyal mühendisliğe karşı bir eğitiminiz var mı?

Bu soruların cevapları, şirketinizdeki personel sayısına göre ve organizasyon şemanıza göre güvenlik politikanızın tamamını veya bir kısmını oluşturabilir.

Merhaba

Aslında güvenlik politikası BT departmanının yanısıra iş birimlerinin de sorumluluğundaki bir konu. Fikir isterseniz eğer güvenlik politikası 2-3 sayfa uzunluğunda, içerisinde hiçbir gizli bilgi içermeyen ve okuyan herkesin (BT veya diğer birimler) anlayabileceği bir dokümandır.

Doküman içerisine kurumun bilgi güvenliğine yaklaşımı, bilgi sınıflandırması, veri sahipliği, kullanıcıların sorumlulukları, üst yönetimin desteği gibi konulardan bahsedilir.

Politikanın ekinde ise "standartlar" bulunur. Standartlar daha teknik konuları içerir, standartla içerisinde gizli bilgiler de bulunabilir ve uzman personelin anlayacağı şekilde yazılır. Örnek vermek gerekirse kriptolama standardı, şifre standardı, yetkilendirme standardı, DLP yaklaşımı, sistem kurulumlarında dikkat edilmesi gerekli konular, veri yönetimi vs. Konu başlıklarının seçimindeki iyi bir uygulama ise ISO27001'de veya ITIL'da geçen konu başlıklarını kullanmak. Ne yazık ki CobiT bu konuda politika oluşturmaya yetecek kadar detay içermiyor.

Post açılalı epey zaman olmuş fakat hala ilgileniyorsanız www.sans.org adresinde pek çok güvenlik politikası örneği bulabilirsiniz.

Saygılarımla