A. Güvenlik Politikalarının Oluşturulması

Güvenlik politikaları, bilgi güvenliği yönetiminin temel yapı taşlarını oluşturur. Kurumun bilgi varlıklarını nasıl koruyacağı, kullanıcıların ne şekilde davranması gerektiği ve olası tehditler karşısında nasıl hareket edileceği bu politikalarla belirlenir.

B. Temel Güvenlik Politikaları Türleri

1. Bilgi Güvenliği Politikası 

2. Erişim Kontrol Politikası 

3. Parola Politikası 

4. Mobil Cihaz ve Uzaktan Erişim Politikası 

5. E-posta ve İnternet Kullanım Politikası 

6. Varlık Kullanım Politikası 

7. Yedekleme ve Geri Yükleme Politikası 

8. Olay Müdahale ve İhlal Bildirim Politikası 

9. BT Servis Yönetimi Politikası 

10. İş Sürekliliği Politikası

C. Politika Yönetimi Süreci

- Politika oluşturulurken ISO 27001 ve benzeri çerçevelere uyum gözetilmelidir.

- Politika dokümanları versiyonlanmalı, yayın ve onay tarihleri belirtilmelidir.

- Tüm personelin erişimine açık olmalı ve imza ile taahhüt alınmalıdır.

- Politikalar yılda en az bir kez gözden geçirilmeli ve güncellenmelidir.

D. Bilgi Güvenliği Farkındalık Eğitimleri

- Tüm çalışanlara yılda en az bir kez siber güvenlik eğitimi verilmelidir.

- Eğitim içeriği: Parola güvenliği, sosyal mühendislik, oltalama, veri sınıflandırma, mobil cihaz kullanımı, olay bildirimi konularını içermelidir.

- Yeni işe başlayanlar için oryantasyon sürecine güvenlik eğitimi dahil edilmelidir.

- Eğitimlerin sonuçları sınav veya anketle ölçülmeli ve kayıt altına alınmalıdır.

E. Farkındalık ve Politika Uygunluğu Takibi

- Eğitim katılım listeleri ve test sonuçları kayıt altına alınmalıdır.

- Politika ihlalleri için disiplin süreci belirlenmelidir.

- İç denetimlerde politika uyumu izlenmelidir.

Sonuç: Politika Yoksa Uyum, Farkındalık Yoksa Güvenlik Yoktur

Bilgi güvenliği sadece teknik çözümlerle değil, kurumsal davranış biçimiyle sürdürülebilir hale gelir. Bu davranış biçimini şekillendiren temel unsur ise yazılı ve yaşatılan güvenlik politikalarıdır.

Bir kurumun politika seti; çalışanlara neyin doğru, neyin riskli olduğunu anlatır. Ancak bu belgelerin anlam kazanması için, farkındalık eğitimleriyle desteklenmesi ve düzenli denetimlerle izlenmesi gerekir.

ISO 27001, sadece politika oluşturmayı değil, bu politikaların yaşayan dokümanlar hâline gelmesini zorunlu kılar. Yani bir politika klasörde duruyorsa değil, ekiplerin gündelik kararlarında etkili oluyorsa gerçek güvenlik başlar.

Bu nedenle bilgi güvenliği politikaları, kurum kültürünün ve operasyonel reflekslerin ayrılmaz bir parçası olmalı; her seviyede anlaşılmış, sahiplenilmiş ve denetlenebilir olmalıdır.