Bilgi Güvenliği Politikası Örneği - Ücretsiz İndir

Bu şablonda neler var?

14 bölümlük kapsamlı politika yapısı, kurumsal kullanıma hazır
Kapsam tanımı: tüm çalışanlar, stajyerler, danışmanlar, tedarikçiler ve sistem erişimi olan üçüncü taraflar
Temel ilkeler: gizlilik, bütünlük, erişilebilirlik (CIA üçlüsü), asgari yetki ilkesi, bilgi sahibi sorumluluğu
Roller ve sorumluluklar: üst yönetim, bilgi güvenliği sorumlusu, departman yöneticileri, tüm çalışanlar, İK departmanı
4 seviyeli veri sınıflandırması: Halka Açık, İç Kullanım, Gizli, Çok Gizli (her biri örnekli ve erişim kuralı tanımlı)
Erişim yönetimi ve şifre politikası: tekil hesap, şifre karmaşıklığı, MFA, ayrıcalıklı erişim, yıllık gözden geçirme
Cihaz, donanım ve uzaktan çalışma: şirket cihazları, BYOD/MDM, ekran kilidi, VPN, cihaz kaybı prosedürü
E-posta, web ve sosyal mühendislik: phishing, acil talep doğrulama, şirket e-postası kullanımı
KVKK ve kişisel veri koruması: veri sahibi hakları, ihlal bildirimi, yurt dışı aktarım, saklama süresi
6 adımlı olay yönetimi akışı: tespit, bildirim, izole etme, müdahale, KVKK bildirimi, iyileştirme
Üçüncü taraf ve tedarikçi yönetimi: NDA, veri işleyen sözleşmesi, denetim hakkı
Çalışan yükümlülükleri: yapılması ve yapılmaması gerekenler tablosu (8+8 madde)
İhlal ve yaptırımlar: disiplin süreci, cezai sorumluluk, idari para cezası, maddi sorumluluk
Çalışan okudum/anladım beyanı ve çift imza bölümü
Hukuki dayanaklar: ISO/IEC 27001, 6698 sayılı KVKK, TCK m.243-245

Bilgi güvenliği politikası nedir?

Bir şirketin en değerli varlıklarından biri sahip olduğu bilgidir: müşteri verileri, finansal kayıtlar, kaynak kod, stratejik planlar, çalışan özlük bilgileri. Bu bilgi günümüzde dijital ortamda saklanır, paylaşılır ve işlenir; dolayısıyla siber saldırı, veri sızıntısı, insan hatası ve içeriden gelen tehditlere açıktır. Tek bir veri ihlali hem maddi kayıp hem itibar kaybı hem de yasal yaptırım anlamına gelebilir. Gelin yakından bakalım. Bilgi güvenliği politikası, bir şirketin bilgi varlıklarını nasıl koruyacağını tanımlayan, kuralları ve sorumlulukları belirleyen, tüm çalışanlar ve üçüncü taraflar için bağlayıcı kurumsal bir belgedir.

Bu belge soyut bir niyet beyanı değildir; somut kurallar koyar. Hangi bilginin ne kadar gizli olduğunu, kimin neye erişebileceğini, şifrelerin nasıl olması gerektiğini, bir güvenlik olayında ne yapılacağını ve ihlal durumunda hangi yaptırımların uygulanacağını net biçimde tanımlar. Bu sayede bilgi güvenliği kişilerin inisiyatifine bırakılmaz, kurumsal bir standarda bağlanır.

Bu şablon Word formatında, doğrudan kurumunuza uyarlanabilir biçimde hazırlanmıştır. Bilgi güvenliği politikası genellikle daha geniş bir belge ekosisteminin parçasıdır; gizlilik yükümlülükleri için gizlilik sözleşmesi (NDA), kişisel veri işleme için KVKK aydınlatma metni, disiplin süreçleri için işyeri disiplin yönetmeliği ve uzaktan çalışma kuralları için uzaktan çalışma politikası ile birlikte kullanılır.

CIA üçlüsü: Bilgi güvenliğinin üç temel ilkesi

Bilgi güvenliği dünyada CIA üçlüsü olarak bilinen üç temel ilke üzerine kuruludur; bu şablon da bu çerçeveyi esas alır. Birinci ilke gizliliktir (Confidentiality); bilgiye yalnızca yetkili kişilerin erişebilmesi anlamına gelir. Müşteri verilerinin yetkisiz çalışanlarca görülememesi bu ilkenin uygulamasıdır. İkinci ilke bütünlüktür (Integrity); bilginin doğru, eksiksiz ve değiştirilmemiş kalması demektir. Bir finansal kaydın izinsiz değiştirilememesi bu ilkeyi korur. Üçüncü ilke erişilebilirliktir (Availability); bilginin, yetkili kullanıcılar ihtiyaç duyduğunda erişilebilir olması anlamına gelir. Sistemlerin çalışır durumda olması, yedeklerin bulunması bu ilkenin gereğidir.

Bu üç ilke birbirini tamamlar ve bazen birbiriyle dengelenmelidir; örneğin aşırı gizlilik erişilebilirliği zorlaştırabilir. İyi bir bilgi güvenliği politikası bu üç ilke arasında kurumun ihtiyaçlarına uygun dengeyi kurar. Şablon ayrıca iki tamamlayıcı ilke daha içerir: asgari yetki ilkesi (her kullanıcıya yalnızca işi için gereken en az yetkinin verilmesi) ve bilgi sahibi sorumluluğu (her bilgi varlığının bir sahibinin ve sorumlusunun olması).

Veri sınıflandırması: Her bilgi aynı korumayı gerektirmez

Bilgi güvenliğinin en pratik aracı veri sınıflandırmasıdır. Tüm bilgiyi aynı seviyede korumaya çalışmak hem verimsiz hem de gereksizdir; bir basın bülteni ile şirketin kaynak kodu aynı korumayı gerektirmez. Şablon bilgiyi dört sınıfa ayırır:

Sınıf	Açıklama	Tipik örnekler	Erişim
Halka Açık	Herkesle paylaşılabilir, kamuya açık bilgi	Web sitesi içeriği, basın bülteni, açık iş ilanı	Herkes
İç Kullanım	Şirket içi paylaşıma uygun, dışarı açılmaz	Organizasyon şeması, prosedürler, iç duyurular	Tüm çalışanlar
Gizli	Sadece yetkili kişilerle paylaşılır	Müşteri verileri, finansal raporlar, sözleşmeler	İlgili departman
Çok Gizli	İhlali maddi veya itibari büyük zarar yaratır	Şifreler, kaynak kod, stratejik planlar, birleşme/satın alma bilgisi	Sınırlı (üst yönetim/IT)

Bu sınıflandırmanın pratik değeri şudur: her bilgi varlığı oluşturulduğunda veya alındığında bir sınıfa atanır ve o sınıfın kurallarına göre işlenir. Çok Gizli bir belge şifrelenir ve sadece üst yönetimle paylaşılırken, Halka Açık bir içerik serbestçe dağıtılabilir. Bu yaklaşım korumayı bilginin değeriyle orantılı hale getirir; kaynakları en kritik varlıklara yoğunlaştırır. Sınıflandırma aynı zamanda çalışanlara net bir rehber sunar; bir belgeyle ne yapabileceklerini sınıfına bakarak anlarlar.

Erişim yönetimi ve şifre politikası

Bilgi güvenliğinin en sık kırıldığı nokta erişim kontrolüdür. Şablon bu alanda somut kurallar tanımlar. Her kullanıcının kendi adına açılmış tekil hesabı olur; ortak hesap kullanılmaz, çünkü ortak hesap sorumluluğu belirsizleştirir. İşe giriş ve çıkışta hesaplar İK ile IT koordinasyonuyla aynı gün açılır veya kapatılır; ayrılan çalışanın erişiminin açık kalması ciddi bir güvenlik açığıdır.

Şifre politikası belirli standartlar koyar: yeterli uzunluk ve karmaşıklık, düzenli yenileme, eski şifrelerin tekrar kullanılamaması. Çok faktörlü doğrulama (MFA) kritik sistemler için zorunlu tutulur; bu, şifre çalınsa bile ikinci bir doğrulama katmanı sağlar. Ayrıcalıklı (admin/root) hesaplar günlük işlerde kullanılmaz, sadece gerektiğinde aktive edilir ve tüm eylemleri loglanır. Erişim yetkileri yılda en az bir kez gözden geçirilir; zamanla biriken gereksiz yetkiler kaldırılır. Erişim yönetiminin İK boyutu özlük süreçleriyle iç içedir; işe giriş ve çıkışta hesap yönetimi özlük dosyası süreçleriyle koordineli yürür.

Olay müdahale akışı: İhlal anında ne yapılır?

Hiçbir güvenlik sistemi yüzde yüz garanti vermez; bu nedenle bir olay yaşandığında ne yapılacağı önceden tanımlanmalıdır. Panik anında doğaçlama yapmak hatayı büyütür. Şablon 6 adımlı bir müdahale akışı sunar. Birinci adım tespittir; şüpheli durum fark edildiğinde panik yapılmadan kanıtlar korunur. İkinci adım bildirimdir; olay kısa süre içinde bilgi güvenliği sorumlusuna iletilir. Üçüncü adım izole etmedir; etkilenen cihaz ağdan ayrılır, yayılma durdurulur. Dördüncü adım müdahaledir; bilgi güvenliği ekibi olayı sınıflandırır ve yönetir. Beşinci adım, kişisel veri ihlali söz konusuysa, yasal bildirimdir; KVKK kapsamında ilgili kuruma bildirim yapılır. Altıncı adım iyileştirmedir; olay sonrası kök neden analizi yapılır ve önlemler güncellenir.

Bu noktada kritik bir yasal yükümlülük vardır: kişisel veri ihlallerinde Kişisel Verileri Koruma Kurulu'na ve ilgili kişilere bildirim, Kurul'un belirlediği esaslar çerçevesinde en kısa sürede yapılmalıdır. Bu sürelere ve usule dair güncel çerçeve için KVKK mevzuatı ve Kurul kararları esas alınmalı; ciddi ihlallerde bir veri koruma uzmanından destek alınmalıdır. Şablon bu akışı operasyonel bir rehber olarak sunar; kesin yasal yükümlülükler için güncel mevzuat takip edilmelidir. Kişisel veri süreçlerinin bütünü için KVKK aydınlatma metni bu politikayı tamamlar.

ISO 27001, KVKK ve TCK: Üçlü hukuki çerçeve

Şablon üç ayrı çerçeveye dayanır ve bunları bir arada ele alır. Birincisi ISO/IEC 27001; bilgi güvenliği yönetim sistemleri için uluslararası standarttır. Bu şablon ISO 27001'in mantığını (risk bazlı yaklaşım, sınıflandırma, erişim kontrolü, sürekli iyileştirme) yansıtır; ancak bir politika belgesi tek başına ISO 27001 sertifikasyonu sağlamaz, sertifikasyon ayrı bir denetim sürecidir. İkincisi 6698 sayılı KVKK; kişisel verilerin korunmasına dair yasal yükümlülükleri getirir. Bilgi güvenliği politikası, KVKK'nın gerektirdiği teknik ve idari tedbirlerin önemli bir parçasıdır. Üçüncüsü TCK m.243-245; bilişim suçlarını (sisteme izinsiz girme, sistemi engelleme/bozma, banka/kredi kartı kötüye kullanımı) düzenler ve politika ihlallerinin cezai boyutuna dayanak oluşturur.

Bu üçlü çerçeve politikaya hem operasyonel hem hukuki ağırlık kazandırır. Çalışan, politikaya uymadığında sadece bir iç kurala değil, aynı zamanda yasal yükümlülüklere aykırı davrandığını anlar. Bu da farkındalığı ve uyumu artırır.

Çalışan beyanı: Politikanın bağlayıcılığı

Bir politikanın etkili olması için çalışanların ondan haberdar olması ve onu kabul etmesi gerekir. Şablon bu nedenle bir okudum/anladım beyanı içerir; çalışan, politikayı okuduğunu, anladığını ve kurallara uyacağını imzasıyla beyan eder. Bu beyan iki açıdan önemlidir. Birincisi farkındalık; imza atma eylemi çalışanın belgeyi ciddiye almasını sağlar. İkincisi ispat; bir ihlal durumunda çalışanın politikadan haberdar olduğu ve kabul ettiği belgelenmiş olur, bu da olası disiplin veya hukuki süreçte önem taşır. Bu yaklaşım çalışan el kitabı ve işyeri disiplin yönetmeliği belgelerindeki beyan mantığıyla aynıdır; çalışanın kuralları bildiğinin yazılı kanıtı oluşturulur.

Çalışan yükümlülükleri: Yap ve yapma

Politikanın en pratik bölümü çalışanların günlük davranışlarını tanımlayan yap/yapma listesidir. Soyut ilkeler somut davranışlara çevrilir. Yapılması gerekenler arasında güçlü şifre kullanmak, cihazları kilitlemek, MFA'yı aktif tutmak, şüpheli e-postaları bildirmek, eğitimlere katılmak ve cihaz kaybını derhal raporlamak yer alır. Yapılmaması gerekenler arasında şifre paylaşmak, bilinmeyen USB takmak, şirket dosyalarını kişisel buluta kopyalamak, VPN'siz halka açık Wi-Fi kullanmak, korsan yazılım kurmak ve sosyal medyada şirket bilgisi paylaşmak bulunur. Bu liste çalışanların kolayca hatırlayıp uygulayabileceği bir kontrol listesi işlevi görür; politikanın günlük hayata yansıyan yüzüdür.

İhlal ve yaptırımlar

Politikanın inandırıcı olması için ihlal sonuçlarının net olması gerekir. Şablon dört seviyeli bir yaptırım çerçevesi tanımlar. Disiplin süreci; ihlal, şirketin disiplin yönetmeliği çerçevesinde değerlendirilir ve uyarıdan fesihe kadar yaptırımlar uygulanabilir. Cezai sorumluluk; TCK m.243-245 kapsamında suç teşkil edebilecek eylemler adli mercilere intikal ettirilir. İdari para cezası; kişisel veri ihlallerinde KVKK m.18 uyarınca şirkete idari para cezası verilebilir ve çalışan kusurluysa rücu hakkı saklı tutulur. Maddi sorumluluk; kasıt veya ağır ihmalle doğan zararlarda çalışan tazminat sorumluluğu altındadır. Bu kademeli yapı, ihlalin ağırlığına göre orantılı yaptırım uygulanmasını sağlar.

Şablonu kurumunuza nasıl uyarlarsınız?

Bu şablon genel bir çerçeve sunar; her kurumun ihtiyacı farklıdır, bu nedenle uyarlama gerekir. Birkaç pratik öneri. Önce kapsamı netleştirin; şirketinizin büyüklüğüne ve sektörüne göre hangi bölümlerin genişletileceğini belirleyin (örneğin bir yazılım şirketi kaynak kod korumasına, bir sağlık kuruluşu hasta verisine ağırlık verir). Sonra somut parametreleri kurumunuza göre ayarlayın; şifre kuralları, erişim seviyeleri ve cihaz politikaları sizin altyapınıza uymalıdır. Rolleri gerçek organizasyonunuza eşleyin; bilgi güvenliği sorumlusu küçük şirkette IT yöneticisi, büyük şirkette ayrı bir CISO olabilir. Veri sınıflandırmasını kendi bilgi varlıklarınızla örnekleyin. Son olarak, politikayı yayınlamadan önce hukuk ve IT departmanlarının (veya danışmanlarının) gözden geçirmesini sağlayın. ISO 27001 sertifikasyonu hedefliyorsanız, bu politika başlangıç noktasıdır ancak tek başına yeterli değildir; bir bilgi güvenliği uzmanıyla çalışmanız gerekir.

Bilgi güvenliğini kurumsallaştırın

Bilgi güvenliği politikası kağıt üzerinde kaldığında değil, günlük süreçlere yerleştiğinde işe yarar. Politikanın çalışanlara ulaştırılması, okundu beyanlarının toplanması, güncellemelerin dağıtılması ve eğitim takibi düzenli bir sistem gerektirir. Kolay İK Personel ve Özlük Yönetimi modülü ile özlük, izin, harcama, puantaj, mesai, zimmet, eğitim ve çok daha fazlasını tek uygulamadan yönetin. İK operasyonlarınızdaki iş yükünüzü %76’ya kadar azaltın hata payını ve zaman kaybını minimuma indirin.

Sıkça sorulan sorular

Bilgi güvenliği politikası hakkında en çok merak edilen soruları sizler için bir araya getirdik.

Bilgi güvenliği politikası her şirket için zorunlu mu?

Yasal bir tek tip zorunluluk olmamakla birlikte, pratikte neredeyse her kurum için gereklidir ve bazı durumlarda dolaylı olarak zorunlu hale gelir. KVKK açısından bakıldığında, 6698 sayılı Kanun kişisel veri işleyen tüm veri sorumlularının uygun teknik ve idari tedbirleri almasını gerektirir; bilgi güvenliği politikası bu idari tedbirlerin temel bir parçasıdır. Yani kişisel veri işleyen (ki bu çalışan verisi nedeniyle hemen her şirket demektir) kurumlar için bir bilgi güvenliği çerçevesine sahip olmak fiilen gerekliliktir. ISO 27001 sertifikasyonu hedefleyen kurumlar için politika belgesi zorunludur; standart bunu açıkça gerektirir. Belirli sektörlerde (finans, sağlık, kamu, kritik altyapı) sektörel düzenlemeler daha spesifik güvenlik yükümlülükleri getirir. Bunların ötesinde, sözleşmesel zorunluluklar da olabilir; büyük müşteriler veya iş ortakları, çalışmaya başlamadan önce tedarikçilerinden bilgi güvenliği politikası talep edebilir. Tüm bunların ötesinde, politikanın asıl değeri risk yönetimidir; bir veri ihlalinin maliyeti (maddi kayıp, itibar zedelenmesi, idari para cezası) bir politika hazırlamanın maliyetinin çok üzerindedir. Bu nedenle şirket büyüklüğü ne olursa olsun, kişisel veri veya kritik bilgi işleyen her kurumun bir bilgi güvenliği politikasına sahip olması güçlü biçimde önerilir.

Bu şablon ISO 27001 sertifikası almak için yeterli mi?

Hayır, tek başına yeterli değildir; ancak değerli bir başlangıç noktasıdır. Bu ayrımı net anlamak önemlidir. ISO 27001 bir bilgi güvenliği yönetim sistemi (BGYS) standardıdır ve sertifikasyon, bağımsız bir denetim kuruluşunun kurumun BGYS'sini denetleyip onaylamasıyla alınır. Bir politika belgesi, BGYS'nin yalnızca bir bileşenidir. ISO 27001 sertifikasyonu için politikanın yanı sıra şunlar gerekir: kapsamlı bir risk değerlendirmesi ve risk işleme planı, varlık envanteri, standardın gerektirdiği çok sayıda ek prosedür ve kayıt, uygulamanın canlı kanıtları (loglar, eğitim kayıtları, gözden geçirme tutanakları), iç denetim ve yönetim gözden geçirmesi süreçleri, ve son olarak akredite bir belgelendirme kuruluşunun denetimi. Bu şablon ISO 27001'in mantığını ve temel bir politika çerçevesini sağlar, böylece sürece sağlam bir başlangıç yaparsınız. Ancak sertifikasyon yolculuğu bir uzmanın rehberliğinde, kuruma özgü bir BGYS kurulmasını gerektirir. Şablonu, bu yolculuğun ilk adımı olarak, politika temelinizi oluşturmak için kullanabilirsiniz; sertifikasyon hedefi için bir bilgi güvenliği danışmanıyla çalışmanız gerekir.

Politikayı çalışanlara nasıl duyurmalı ve kabul ettirmeliyim?

Politikanın etkili olması için çalışanların ondan haberdar olması, anlaması ve kabul etmesi gerekir; sadece bir klasörde durması yetmez. Etkili bir yayma süreci birkaç adımdan oluşur. Birinci adım resmi duyuru; politika tüm çalışanlara resmi bir kanaldan (e-posta, intranet, toplantı) duyurulur ve neden önemli olduğu açıklanır. İkinci adım erişilebilirlik; politika herkesin kolayca ulaşabileceği bir yerde (ortak klasör, İK sistemi) saklanır. Üçüncü adım okudum/anladım beyanı; her çalışan politikayı okuduğunu ve kurallara uyacağını imzayla beyan eder, bu hem farkındalık hem ispat sağlar. Dördüncü adım eğitim; özellikle phishing, şifre güvenliği ve veri sınıflandırması gibi konularda düzenli farkındalık eğitimleri verilir, çünkü politika okumak ile davranışı değiştirmek farklı şeylerdir. Beşinci adım, yeni işe alımlarda oryantasyon; her yeni çalışan işe başlarken politikayı okur ve beyanı imzalar, bu onboarding süreci içine yerleştirilir. Altıncı adım, periyodik hatırlatma ve güncelleme; politika yılda en az bir kez gözden geçirilir, değişiklikler tüm ekibe yeniden duyurulur. Bu süreçleri manuel yürütmek özellikle büyük ekiplerde zorlaşır; dijital İK sistemleri politika dağıtımını, beyan toplamayı ve takibi otomatikleştirerek bu yükü hafifletir.

Veri sınıflandırmasını nasıl uygulamaya geçiririm?

Veri sınıflandırması politikadaki en pratik ama uygulaması en çok çaba gerektiren bölümdür; sistematik bir yaklaşım gerektirir. Adım adım ilerlemek en sağlıklısıdır. Önce bilgi varlıklarınızı envanterleyin; şirketinizde hangi tür bilgiler var (müşteri verileri, finansal kayıtlar, kaynak kod, çalışan bilgileri, pazarlama içerikleri) listeleyin. Sonra her varlık türünü dört sınıftan birine atayın; bu şablondaki Halka Açık, İç Kullanım, Gizli, Çok Gizli sınıflarını kullanın. Atama yaparken kritik soru şudur: bu bilgi yetkisiz kişilerin eline geçerse ne olur? Cevap ne kadar ciddiyse sınıf o kadar yüksek olur. Üçüncü adım, her sınıf için işleme kurallarını netleştirin; örneğin Çok Gizli veriler şifrelenir, sadece belirli kişilerle paylaşılır, e-posta ile gönderilmez. Dördüncü adım, etiketleme; mümkün olduğunda belgeleri ve dosyaları sınıflarıyla etiketleyin (dosya adında, belge başlığında veya sistem etiketleriyle), böylece çalışanlar bir belgeyle ne yapabileceğini hemen anlar. Beşinci adım, eğitim; çalışanlara sınıflandırma sistemini ve her sınıfın kurallarını öğretin. Altıncı adım, periyodik gözden geçirme; bilgi varlıkları zamanla değişir, sınıflandırma güncel tutulmalıdır. Başlangıçta tüm bilgiyi sınıflandırmaya çalışmak yerine en kritik varlıklardan (Çok Gizli ve Gizli) başlamak, sonra kademeli genişletmek pratik bir yaklaşımdır. Mükemmel bir sınıflandırma yerine işleyen ve sürdürülebilir bir sistem hedefleyin.

Küçük bir şirket için bu politika fazla kapsamlı değil mi?

Bu haklı bir endişedir; küçük şirketler için 14 bölümlük bir politika ilk bakışta fazla görünebilir, ancak çözüm politikayı atlamak değil, ölçeklendirmektir. Bilgi güvenliği riski şirket büyüklüğüyle doğru orantılı değildir; küçük bir şirket de müşteri verisi tutar, finansal bilgi işler, siber saldırıya uğrayabilir. Hatta küçük şirketler genellikle daha az korumalı oldukları için saldırganlar açısından kolay hedef olabilir. Dolayısıyla bir bilgi güvenliği çerçevesine ihtiyaç vardır; ama bu çerçeve şirketin ölçeğine uyarlanmalıdır. Küçük bir şirket için pratik yaklaşım şudur: şablonun temel bölümlerini (temel ilkeler, veri sınıflandırması, erişim ve şifre politikası, çalışan yükümlülükleri, olay müdahale) koruyun, bunlar her ölçekte gereklidir. Daha kurumsal bölümleri (ayrı CISO rolü, kapsamlı tedarikçi denetimi, karmaşık onay hiyerarşileri) şirketinizin gerçekliğine göre sadeleştirin. Örneğin küçük bir şirkette bilgi güvenliği sorumlusu ayrı bir kişi değil, IT işlerine bakan kişi veya bir yönetici olabilir; roller birleştirilebilir. Önemli olan, politikanın gerçekten uygulanabilir olmasıdır; uygulanamayacak kadar karmaşık bir politika, hiç olmamasından daha iyi değildir. Sade ama uygulanan bir politika, kapsamlı ama rafta duran bir politikadan çok daha değerlidir. Şablonu kurumunuzun gerçek ihtiyaçlarına göre kırpmaktan çekinmeyin.