Kurumsal Bilgi Güvenliği Web Sayfası Nasıl Olmalı?
Kurumunuzda ISO27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) standardına uygun bir bilgi güvenliği yapısı kurmaktaysanız, planlama aşamasından uygulama aşamasına geçerken, temel bir soruyla karşılaşırsınız: Bilgi güvenliği için uygulanacak yöntemler nasıl duyurulacak? Bu aşamada ihtiyaç, belirlediğiniz politika, prosedür, yönerge veya rehberleri toplu olarak sunabildiğiniz bir yapıdır.
Standartta “Dokümanlar ve kayıtlar herhangi bir biçimde ve ortam türünde olabilir” denmektedir. Örneğin bir Bilgi Güvenliği El Kitabı oluşturup, bu dokümanları kağıda basılı halde çoğaltarak bu ihtiyacı karşılamak mümkündür. Diğer yandan, oluşturulan dokümanları bir bilgi güvenliği web sayfası veya portali üzerinden yayınlamak daha avantajlı olarak bu işi görecektir. Sonuçta, elektronik ortamda bulunan dokümanlar, kağıt ortamındakilere göre daha kolay yönetilebilir. Bu sayede:
Bilgi güvenliği dokümantasyonuna kolayca erişilebilir.
Birçok dokümanda diğer dokümanlara referanslar, bağlantılar bulunacağından içerik derli toplu bir şekilde ilişkilendirilebilir.
Bilgi Güvenliği Dokümanlarına Erişim:
Bilgi güvenliği web sayfasına kimler, nereden erişmeli? Burada “Bilmesi Gereken” prensibine göre davranmak gerekir. Politika ve prosedürler kurumdaki çeşitli gruplara hitap etmektedir ve onlar tarafından bilinmesi gerekir. Politika ve prosedür ilgilileri Genel Kullanıcılar, Sistem Yöneticileri/ Uygulama Geliştirenler, BGYS Ekibi, Dış taraflar vb. gibi gruplardan oluşur. Dokümantasyon şablonunda, dokümanların hitap ettiği kitle belirtiliyor mu? Belirtilmiş ise, hem okuyanlar kendileriyle ilgili dokümanları rahatlıkla ayırdedebilir, hem de kimlerin dokümanları “bilmesi gerektiği” belirlidir. Dokümanlara hitap edilen kitleye göre erişim kontrolü tanımlanması önerilir. Yani web sayfasının bir özelliği dokümanlara erişim kontrolü tanımlanabilmesi olmalıdır. Hitap edilen kitle ayrılmadığında, ana sayfaya sadece Genel Kullanıcılar ve Dış Tarafları ilgilendiren dokümanlar yerleştirilmesi, diğer gruplar için dokümantasyona erişim kontrolü uygulanması tavsiye edilir. Genel pratik, kurumsal bilgi güvenliği web sayfasının sadece kurum ağından, yani kurum Intranet’i üzerinden erişilmesidir.
İçerik:
Bilgi güvenliğini sağlamak için çeşitli konularda kurum olarak uygulayacağınız yöntemler ve sorumlulukların açıklandığı kurumsal politika, prosedür, yönerge ve rehberleri sunmak, bilgi güvenliği web sayfasını oluşturma amacıydı. Bilindiği gibi, bu belgelerin güncelliği, sürüm ve değişiklik kontrolüne tabi olması BGYS dokümantasyonun gereklerindendir. Yöntem ve sorumlulukları iletmeyi amaçladığımız kitleler açısından bilgi güvenliği web sayfasının en önemli özelliği, burada bulunan dokümanların güncelliğidir. Kurum bilgi güvenliği web sitesinde yayınlanan dokümanlar, dokümanların en son ve yürürlükte olan sürümleri olmalı ve bu herkes tarafından bilinmelidir.
Dokümanlarda önerilen değişiklikler ilgili geri bildirimleri almak için TASLAK sürümler oluşturuyorsanız, bunlar ayrı bir kısımda ve sayfa arka planında taslak ifadesinin belirtilmesi ve farklı renkte olması faydalıdır.
Dokümanların aynı formata sahip olmaları birbiriyle uyumlu bir set oluşturacaktır. Bilgi güvenliği ile ilgili tüm dokümanlarda kuruma özel bir BGYS logosu bulunması güzel bir fikirdir.
Sunulan belgelerin, içeriğinin kısa, okumayı kolaylaştıracak özet/giriş sayfaları bulunan, ayrıntılı dokümanlara işaret eden, olabildiğince çekici halde olması tavsiye edilir. Bunun için, dokümanlarda akış diyagramları gibi grafikleri kullanmak iyi bir yöntemdir.
Zaman zaman buradaki dokümanların çıktılarına ihtiyaç duyulabileceğini düşünerek, dokümanları, sayfadan indirilip kağıda basılabilmesi için örneğin PDF formatıyla sunabilirsiniz.
BGYS’nin uygulanması aşamasında, bahsettiğimiz tipte dokümanların yanısıra kurum personeliyle iletişimde bulunulması gereken başka konular da ortaya çıkacaktır. Bilgi güvenliği ile ilgili güncel açıklıkları bildirmeniz ve uygulanacak önlemleri açıklamanız gerekecektir ya da belki bilgi güvenliği ihlalleri ile ilgili gazete haberlerini kurum personeli ile paylaşacaksınız. Örneğin bilgi güvenliği farkındalığı konusunda iletmeyi amaçladığınız bilgileri doğrudan böyle bir web sayfası veya portal üzerinden sunabilirsiniz. Farkındalık iletişimi yaratıcılık gerektirir, örneğin iletmek istediklerinizle ilgili küçük soru-cevap’lara, bulmacalara, yarışmalara bu sayfada yer verilebilir. Bir başka örnek olarak, kurum personeli bilgi güvenliği süreçlerinde kullanılan formları, elektronik olarak buradan doldurulabilir ve otomatik olarak ilgilisine iletebilir.
Sonuç olarak bilgi güvenliği ile belgelerin, duyuru ve sunumların derli toplu bir şekilde erişilebildiği kurumsal bir bilgi güvenliği web sayfası veya portali, bilgi güvenliği iletişimine dair birçok sorununuzu çözebilir. Bu sayfanın veya portalin güncellenmesi ve yönetilmesi gerekecektir. Oluşturduğunuz bilgi güvenliği sayfasının güncel tutulmasını sağlayacak ve teknik altyapısını destekleyecek işgücünü planlamayı unutmayın.
Günce Öztürk, TÜBİTAK BİLGEM
14.01.2013
Kurumunuzda ISO27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) standardına uygun bir bilgi güvenliği yapısı kurmaktaysanız, planlama aşamasından uygulama aşamasına geçerken, temel bir soruyla karşılaşırsınız: Bilgi güvenliği için uygulanacak yöntemler nasıl duyurulacak? Bu aşamada ihtiyaç, belirlediğiniz politika, prosedür, yönerge veya rehberleri toplu olarak sunabildiğiniz bir yapıdır.
Standartta “Dokümanlar ve kayıtlar herhangi bir biçimde ve ortam türünde olabilir” denmektedir. Örneğin bir Bilgi Güvenliği El Kitabı oluşturup, bu dokümanları kağıda basılı halde çoğaltarak bu ihtiyacı karşılamak mümkündür. Diğer yandan, oluşturulan dokümanları bir bilgi güvenliği web sayfası veya portali üzerinden yayınlamak daha avantajlı olarak bu işi görecektir. Sonuçta, elektronik ortamda bulunan dokümanlar, kağıt ortamındakilere göre daha kolay yönetilebilir. Bu sayede:
Bilgi güvenliği dokümantasyonuna kolayca erişilebilir.
Birçok dokümanda diğer dokümanlara referanslar, bağlantılar bulunacağından içerik derli toplu bir şekilde ilişkilendirilebilir.
Bilgi Güvenliği Dokümanlarına Erişim:
Bilgi güvenliği web sayfasına kimler, nereden erişmeli? Burada “Bilmesi Gereken” prensibine göre davranmak gerekir. Politika ve prosedürler kurumdaki çeşitli gruplara hitap etmektedir ve onlar tarafından bilinmesi gerekir. Politika ve prosedür ilgilileri Genel Kullanıcılar, Sistem Yöneticileri/ Uygulama Geliştirenler, BGYS Ekibi, Dış taraflar vb. gibi gruplardan oluşur. Dokümantasyon şablonunda, dokümanların hitap ettiği kitle belirtiliyor mu? Belirtilmiş ise, hem okuyanlar kendileriyle ilgili dokümanları rahatlıkla ayırdedebilir, hem de kimlerin dokümanları “bilmesi gerektiği” belirlidir. Dokümanlara hitap edilen kitleye göre erişim kontrolü tanımlanması önerilir. Yani web sayfasının bir özelliği dokümanlara erişim kontrolü tanımlanabilmesi olmalıdır. Hitap edilen kitle ayrılmadığında, ana sayfaya sadece Genel Kullanıcılar ve Dış Tarafları ilgilendiren dokümanlar yerleştirilmesi, diğer gruplar için dokümantasyona erişim kontrolü uygulanması tavsiye edilir. Genel pratik, kurumsal bilgi güvenliği web sayfasının sadece kurum ağından, yani kurum Intranet’i üzerinden erişilmesidir.
İçerik:
Bilgi güvenliğini sağlamak için çeşitli konularda kurum olarak uygulayacağınız yöntemler ve sorumlulukların açıklandığı kurumsal politika, prosedür, yönerge ve rehberleri sunmak, bilgi güvenliği web sayfasını oluşturma amacıydı. Bilindiği gibi, bu belgelerin güncelliği, sürüm ve değişiklik kontrolüne tabi olması BGYS dokümantasyonun gereklerindendir. Yöntem ve sorumlulukları iletmeyi amaçladığımız kitleler açısından bilgi güvenliği web sayfasının en önemli özelliği, burada bulunan dokümanların güncelliğidir. Kurum bilgi güvenliği web sitesinde yayınlanan dokümanlar, dokümanların en son ve yürürlükte olan sürümleri olmalı ve bu herkes tarafından bilinmelidir.
Dokümanlarda önerilen değişiklikler ilgili geri bildirimleri almak için TASLAK sürümler oluşturuyorsanız, bunlar ayrı bir kısımda ve sayfa arka planında taslak ifadesinin belirtilmesi ve farklı renkte olması faydalıdır.
Dokümanların aynı formata sahip olmaları birbiriyle uyumlu bir set oluşturacaktır. Bilgi güvenliği ile ilgili tüm dokümanlarda kuruma özel bir BGYS logosu bulunması güzel bir fikirdir.
Sunulan belgelerin, içeriğinin kısa, okumayı kolaylaştıracak özet/giriş sayfaları bulunan, ayrıntılı dokümanlara işaret eden, olabildiğince çekici halde olması tavsiye edilir. Bunun için, dokümanlarda akış diyagramları gibi grafikleri kullanmak iyi bir yöntemdir.
Zaman zaman buradaki dokümanların çıktılarına ihtiyaç duyulabileceğini düşünerek, dokümanları, sayfadan indirilip kağıda basılabilmesi için örneğin PDF formatıyla sunabilirsiniz.
BGYS’nin uygulanması aşamasında, bahsettiğimiz tipte dokümanların yanısıra kurum personeliyle iletişimde bulunulması gereken başka konular da ortaya çıkacaktır. Bilgi güvenliği ile ilgili güncel açıklıkları bildirmeniz ve uygulanacak önlemleri açıklamanız gerekecektir ya da belki bilgi güvenliği ihlalleri ile ilgili gazete haberlerini kurum personeli ile paylaşacaksınız. Örneğin bilgi güvenliği farkındalığı konusunda iletmeyi amaçladığınız bilgileri doğrudan böyle bir web sayfası veya portal üzerinden sunabilirsiniz. Farkındalık iletişimi yaratıcılık gerektirir, örneğin iletmek istediklerinizle ilgili küçük soru-cevap’lara, bulmacalara, yarışmalara bu sayfada yer verilebilir. Bir başka örnek olarak, kurum personeli bilgi güvenliği süreçlerinde kullanılan formları, elektronik olarak buradan doldurulabilir ve otomatik olarak ilgilisine iletebilir.
Sonuç olarak bilgi güvenliği ile belgelerin, duyuru ve sunumların derli toplu bir şekilde erişilebildiği kurumsal bir bilgi güvenliği web sayfası veya portali, bilgi güvenliği iletişimine dair birçok sorununuzu çözebilir. Bu sayfanın veya portalin güncellenmesi ve yönetilmesi gerekecektir. Oluşturduğunuz bilgi güvenliği sayfasının güncel tutulmasını sağlayacak ve teknik altyapısını destekleyecek işgücünü planlamayı unutmayın.
Günce Öztürk, TÜBİTAK BİLGEM
14.01.2013
