Kuruluştaki tüm çalışanlar ve ilgili olan yerlerde, yükleniciler, kendi iş fonksiyonları ile ilgili olduğunda, kurumsal politika ve prosedürlerle ilgili uygun 27001 farkındalık eğitim ve öğretimini ve düzenli güncellemeleri almalıdırlar.
Bilgi güvenliği farkındalık programı, çalışanların ve ilgili olduklarında yüklenicilerin bilgi güvenliği sorumlulukları ve bu sorumlulukları yerine getirme yöntemlerinin farkında olmalarını hedefler.
Bir bilgi güvenliği farkındalık programı, kuruluşun korunacak bilgilerini korumak için uygulanmakta olan kontrolleri dikkate alarak, kuruluşun bilgi güvenliği politikaları ve ilgili prosedürleri doğrultusunda oluşturulmalıdır. Farkındalık programı, kampanyalar (örneğin; bir “bilgi güvenliği günü”) ve mektuplar veya el kitapları gibi farkındalığı arttırıcı birkaç faaliyeti kapsamalıdır.
Bilgi güvenliği programı, kuruluşta çalışanların rollerini ve uygun olduğu durumda kuruluşun yüklenicilerden beklediği farkındalığı dikkate alarak planlanmalıdır. Farkındalık programı faaliyetleri zaman içerisinde tercihen düzenli şekilde planlanmalıdır, böylece faaliyetler tekrarlanır ve yeni çalışanlar ve yükleniciler kapsanır.
Farkındalık programı düzenli olarak güncellenmelidir. Böylece, kurumsal politika ve prosedürler uygun bir çizgide devam eder. Farkındalık programı bilgi güvenliği ihlal olaylarından öğrenim üzerine inşa edilmelidir.
Farkındalık eğitimi, kuruluşun bilgi güvenliği farkındalık programının gereklerine göre yapılmalıdır. 27001 Farkındalık eğitimi, sınıf tabanlı, uzaktan eğitimi, web tabanlı, kendi kendine ve diğer yöntemler de dâhil olmak üzere farklı dağıtım ortamlarını kullanabilir.
Bilgi güvenliği eğitim ve öğretimi aynı zamanda aşağıdaki gibi genel hususları kapsar:
a) Kuruluş genelinde yönetimin bilgi güvenliğine bağlılığının belirtilmesi,
b) Politikalar, standardlar, yasalar, düzenlemeler, sözleşme ve anlaşmalarda tanımlanan uygulanabilir bilgi güvenliği kuralları ve yükümlükleri ile uyumlu olması ve uyum ile ilgili bilgi sahibi olma,
c) Kişinin kendi eylemlerinden ve eylemsizliklerinden hesap verebilirliği ve kuruluş ve dış taraflara ait bilgi güvenliğini ya da korumasına yönelik genel sorumlulukları,
d) Temel bilgi güvenliği prosedürleri (bilgi güvenliği ihlal olaylarının raporlanması gibi) ve asgari seviye kontroller (parola güvenliği, kötücül yazılım kontrolü ve temiz masalar gibi),
e) Daha fazla bilgi güvenliği içeren eğitim ve öğretim materyalleri de dâhil olmak üzere bilgi güvenliği konularında daha fazla bilgi ve tavsiye için iletişim noktalarına ve kaynaklara başvurma.
Bir farkındalık programı oluşturulurken, sadece ‘ne’ ve ‘nasıl’a değil aynı zamanda ‘neden’e odaklanmak önemlidir. Çalışanların, bilgi güvenliği amacını ve kendi davranışlarının kuruluşa olumlu ve olumsuz potansiyel etkilerini anlaması önemlidir.
Farkındalık, eğitim ve öğretim diğer eğitim faaliyetlerinin bir parçası olabilir ya da bunlarla birlikte yürütülebilir. ISO 27001 Belgesi
Örneğin; genel BT ya da genel güvenlik eğitimi. 27001 Farkındalık, eğitim ve öğretim faaliyetleri bireylerin rolleri, sorumlulukları ve becerileri ile ilgili ve uygun olmalıdır.
Çalışanların kavraması bir farkındalık, eğitim ve öğretim kursu sonunda bilgi birikiminin aktarımının test edilmesi ile değerlendirilebilir.
