“Güvenlik, sadece teknolojiyle değil; doğru yapıyla başlar.”

Bu Yazıda Neyi Konuşacağız?

A.5 organizasyonel kontroller, kurumun bilgi güvenliğini yönetsel olarak nasıl ele aldığını gösterir. Politikalar, görev dağılımı, sorumluluklar, dış hizmet sağlayıcılarla ilişkiler gibi kurumsal altyapıya yönelik güvenlik önlemlerini kapsar.

Neleri İçerir?

- Bilgi güvenliği politikalarının oluşturulması (A.5.1)

- Bilgi güvenliği rollerinin atanması ve sorumlulukların belirlenmesi (A.5.2)

- Mobil cihaz ve uzaktan çalışma politikaları (A.5.10, A.5.11)

- Bilgi sınıflandırması ve etiketleme (A.5.12, A.5.13)

- Tedarikçi ve hizmet sağlayıcı güvenliği (A.5.19 - A.5.22)

Neden Kritik?

Politikalar ve roller olmadan süreçler rastlantısaldır. Bir kontrol uygulanabilir olsa bile sorumlusu belli değilse, sistem sürdürülemez olur. Bu kontroller organizasyonel düzenin güvenlik üzerindeki etkisini görünür kılar.

Aşağıda, ISO/IEC 27001:2022 standardında yer alan A.5 Organizasyonel Kontroller başlıklarını ve açıklamalarını doğrudan standart metninden alınmış görselini ekliyorum.

Tavsiye:

Organizasyon şeması sadece kimin kime bağlı olduğunu göstermez. Güvenlik sorumluluğunu ve risk sahipliğini de belirten dokümanlar oluşturun. Her yeni süreç ya da dış hizmette, bu kontrolleri kontrol listesi gibi değerlendirin.

Son Söz:

ISO 27001 der ki: Güvenlik kültürü organizasyonel olarak inşa edilir. A.5 kontrolleri bu kültürün yapı taşlarını oluşturur. Sadece teknolojiye değil, yapıya da yatırım yapın.