Microsoft Word dergi 2008 V23 no2 sayfa 507-522. doc


 KURUMSAL BİLGİ GÜVENLİĞİ



Yüklə 0,71 Mb.
Pdf görüntüsü
səhifə5/26
tarix02.01.2022
ölçüsü0,71 Mb.
#42413
1   2   3   4   5   6   7   8   9   ...   26
KURUMSAL B LG G VENL VE STANDARTLARI ZER NE B R NCELEME[#88512]-75726

 

3. KURUMSAL BİLGİ GÜVENLİĞİ 

POLİTİKALARI 

(ENTERPRISE INFORMATION 

SECURITY POLICIES)

 

 



Güvenlik politikaları kurum veya kuruluşlarda kabul 

edilebilir güvenlik seviyesinin tanımlanmasına yardım 

eden, tüm çalışanların ve ortak çalışma içerisinde 

bulunan diğer kurum ve kuruluşların uyması gereken 

kurallar bütünüdür [11]. Kurumsal bilgi güvenliği 

politikası, kurum ve kuruluşlarda bilgi güvenliğinin 

sağlanması için tüm bilgi güvenlik faaliyetlerini 

kapsayan ve yönlendiren talimatlar olup kurumsal 

bilgi kaynaklarına erişim yetkisi olan tüm çalışanların 



Y. Vural ve Ş. Sağıroğlu 

Kurumsal Bilgi Güvenliği ve Standartları Üzerine Bir İnceleme 

510 

Gazi Üniv. Müh. Mim. Fak. Der. Cilt 23, No 2, 2008



 

uyması gereken kuralları içeren belgelerdir. Bilgi 

güvenliği politikaları her kuruluş için farklılık 

göstersede genellikle çalışanın sorumluluklarını, 

güvenlik denetim araçlarını, amaç ve hedeflerini 

kurumsal bilgi varlıklarının yönetimini, korunmasını, 

dağıtımını  ve  önemli  işlevlerin korunmasını 

düzenleyen kurallar ve uygulamaların açıklandığı 

genel ifadeleri içermektedir. 

 

Politikalar içerisinde; gerekçelerin ve risklerin 



tanımlandığı, kapsadığı bilgi varlıkları ve politikadan 

sorumlu olan çalışanların ve gruplarının belirlendiği, 

uygulanması ve yapılması gereken kuralların, ihlal 

edildiğinde uygulanacak cezai yaptırımların, teknik 

terimlerin tanımlarının ve düzeltme tarihçesinin yer 

aldığı 7 bölümden oluşur [11]. Kurumsal Güvenlik 

Politikası içerisinde bulunması gereken bölümler 

Tablo 1’de özetlenmiştir.  

 

Belirli konularda çalışanın daha fazla 



bilgilendirilmesi,dikkat etmesi gereken hususlar, ilgili 

konunun detaylı bir şekilde ifade edilmesi 

istendiğinde alt politikalar geliştirilmelidir. Örneğin 

kullanıcı hesaplarının oluşturulması ve yönetilmesi, 

şifre unutma, şifre değiştirme, yeni şifre tanımlama 

gibi durumlarda uyulacak kurallar alt politikalar 

aracılığıyla açıklanmalıdır. 

 

Tablo 1. Güvenlik politikası kısımları 

Bölüm Adı 

İçeriği 


Genel 

Açıklama 

Politikayla ilgili gerekçeler ve 

buna bağlı risklerin 

tanımlamasını kapsar. 

Amaç 


Politikanın yazılmasındaki 

amaç ve neden böyle bir 

politikaya ihtiyaç duyulduğunu 

açıklar. 

Kapsam 

Politikaya uyması gereken 

çalışan grupları (ilgili bir grup 

veya kurumun tamamı) ve bilgi 

varlıklarını belirler. 

Politika 

Uygulanması ve uyulması 

gereken kuralları veya 

politikaları içerir. 

Cezai 


Yaptırımlar 

Politika ihlallerinde 

uygulanacak cezai yaptırımları 

açıklar. 

Tanımlar 

Teknik terimler ile açık 

olmayan ifadeler listelenerek 

açıklanır. 

Düzeltme 

Tarihçesi 

Politika içerisinde yapılan 

değişiklikler, tarihler ve 

sebepleri yer alır. 

 

E-posta gönderme ve alma konusunda, üst yönetimin 



kararlarını, kullanıcının uyması gereken kuralları ve 

diğer haklarını alt politika içerisinde ifade etmek bir 

başka örnek olarak verilebilir. Alt politikayla üst 

yönetimin, gerekli gördüğünde çalışanlarının e-

postalarını okuyabileceği, e-postalar yoluyla gizlilik 

dereceli bilgilerin gönderilip alınamayacağı gibi 

hususlar, e-posta alt politikası içerisinde ifade 

edilebilir. Alt politikalar içerisinde, izin verilen 

yazılımlar, veritabanlarının nasıl korunacağı, 

bilgisayarlarda uygulanacak erişim denetim ölçütleri, 

güvenlikle ilgili kullanılan yazılım ve donanımların 

nasıl kullanılacağı gibi konular da açıklanabilir. 

 

Kurumsal bilgi güvenliği politikaları kuruluşların 



ihtiyaçları doğrultusunda temel güvenlik unsurlarının 

(gizlilik, bütünlük, erişilebilirlik, vb.) bazıları 

üzerinde yoğunlaşabilir. Örneğin askeri kurumlarda, 

bilgi güvenliği politikalarında gizlilik ve bütünlük 

unsurları ön plana çıkmaktadır. Askeri bir savaş 

uçağının kalkış zaman bilgilerinin onaylanıp 

yürürlüğe girmesi için düşmanlar tarafından 

görülmemesi (gizlilik) ve değiştirilmemesi (bütünlük) 

gereklidir. Bir diğer örnek ise kâr amacı gütmeyen 

kurumlarda uygulanan bilgi güvenliği politikalarında 

genellikle erişilebilirlik ve bütünlük unsurları ön 

planda gelmektedir. Üniversite sınav sonuçlarının 

açıklandığı yükseköğretim kurumunda uygulanan 

güvenlik politikasında öğrenciler sınav açıklandıktan 

sonra istediği zaman diliminde (erişilebilirlik) doğru 

bir 


şekilde (bütünlük) sınav sonuçlarına 

bakabilmelidir. 

 

İyi bir güvenlik politikası, kullanıcıların işini 



zorlaştırmamalı, kullanıcılar arasında tepkiye yol 

açmamalı, kullanıcılar tarafından uygulanabilir 

olmalıdır. Politika, kullanıcıların ve sistem 

yöneticilerinin eldeki imkânlarla uyabilecekleri ve 

uygulayabilecekleri yeterli düzeyde yaptırım gücüne 

sahip kurallardan oluşmalıdır. Alınan güvenlik 

önlemleri ve politikaları uygulayan yetkililer veya 

birimler yaptırımları uygulayabilecek idari ve teknik 

yetkilerle donatılmalıdır. Politika kapsamında 

herkesin sorumluluk ve yetkileri tanımlanarak 

kullanıcılar, sistem yöneticileri ve diğer kişilerin 

sisteme ilişkin sorumlulukları, yetkileri kuşku ve 

çelişkilere yer bırakmayacak biçimde açıkça 

tanımlanmalıdır. Politikalar içerisinde uygulanacak 

olan yasal ve ahlaki mahremiyet koşulları ile 

elektronik mesajların ve dosyaların içeriğine ulaşım, 

kullanıcı hareketlerinim kayıt edilmesi gibi denetim 

ve izlemeye yönelik işlemlerin hangi koşullarda 

yapılacağı ve bu işlemler yapılırken kullanıcının 

kişisel haklarının nasıl korunacağı açıklanmalıdır. 

 

Saldırıların ve diğer sorunların tespitinde 



kullanıcıların, yöneticilerin ve teknik personelin 

sorumluluk ve görevleri ile tespit edilen sorun ve 

saldırıların hangi kanallarla kimlere ne kadar zamanda 

rapor edileceği güvenlik politikalarında açıkça 

belirtilmelidir. Sistemlerin gün içi çalışma takvimleri, 

veri kaybı durumunda verinin geri getirilmesi 

koşulları gibi kullanıcının sisteme erişmesini 

sınırlayan durumlara politikalar içerisinde yer 

verilmelidir. Bu durumlarda kullanıcıya, izlemesi 



Kurumsal Bilgi Güvenliği ve Standartları Üzerine Bir İnceleme 

Y. Vural ve Ş. Sağıroğlu 

Gazi Üniv. Müh. Mim. Fak. Der. Cilt 23, No 2, 2008 

511


 

gereken yolu anlatacak ve yardımcı olacak kılavuzlara 

da yer verilmelidir.

 


Yüklə 0,71 Mb.

Dostları ilə paylaş:
1   2   3   4   5   6   7   8   9   ...   26




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin