8.1. Giriş: Neden Politika ve Prosedür Şart?

Kurumsal BT altyapısında, güvenlikten erişim yetkisine kadar her adımın yazılı ve onaylı prosedürlere dayanması hukuki uyum için zorunludur.

8.2. Politikaların Hukuki İşlevi

8.2.1. Kurumsal sorumluluğu belirler.

8.2.2. Çalışan davranışlarını yönlendirir.

8.2.3. İhlal durumunda delil oluşturur.

8.2.4. Regülasyonlarla eşleşir. (KVKK, ISO 27001, GDPR vb.)

8.3. Hazırlanması Gereken Temel BT Politikaları

8.3.1. Bilgi Güvenliği Politikası

8.3.2. Erişim Yetkilendirme Politikası

8.3.3. Loglama ve İzleme Politikası

8.3.4. Yedekleme ve Felaket Kurtarma Politikası

8.3.5. Mobil Cihaz ve Uzak Erişim Politikası

8.3.6. İnternet ve E-posta Kullanımı Politikası

8.3.7. Kişisel Veri Koruma ve Açık Rıza Politikası

8.4. Politika ile Prosedür Arasındaki Fark

Politika = Ne yapılacak?

Prosedür = Nasıl yapılacak?

Her politika, uygulanabilir olması için prosedürle desteklenmelidir.

8.5. Gerçek Vaka: Yazılı Politikası Olmayan Kurum KVKK İhlaliyle Karşılaştı

Bir kurumda veri ihlali yaşandı. Ancak bilgi güvenliği politikası oluşturulmadığı için 'teknik ve idari tedbir' alınmadığı kabul edildi. Kurum para cezası aldı.

8.6. BT Yöneticisi İçin Politika Takip ve Uyum Rehberi

1. Mevcut politika setini envanteri oluştur.

2. Her yıl güncelleme takvimi oluştur.

3. Tüm çalışanlara politika eğitimi ver.

4. Politikalara imza ve onay süreçleri oluştur.

5. İç denetim mekanizmaları ile uygulanırlığı test et.

6. Hukuk ve bilgi güvenliği birimiyle iş birliği yap.

8.7. Sonuç: Yazılı Olmayan Güvenlik, Geçerli Sayılmaz

Politika ve prosedürler yalnızca rehber değil; aynı zamanda BT yöneticisinin hem regülasyonlara hem de yönetime karşı koruma kalkanıdır.