ISO 27001 Bilgi Sınıflandırma Politikası Nasıl Yazılır? (2025 Örnekleri ile)
Bilgi, kurumların en değerli varlığıdır. Ancak her bilgi aynı seviyede korunmaz.
ISO 27001’de başarılı bir bilgi güvenliği yönetimi için bilginin türüne göre sınıflandırılması ve uygun şekilde korunması şarttır.
Bu yazıda 2025 yılı uygulamalarına uygun olarak:
Bilgi sınıflandırma politikası nedir, neden önemlidir ve nasıl yazılır? sorularına net ve örnekli cevaplar veriyoruz.
Bilgi Sınıflandırma Politikası Nedir?
Kurum içindeki tüm bilgi varlıklarının değer, hassasiyet, yasal yükümlülük ve risk seviyelerine göre kategorize edilmesini sağlayan kurallar bütünüdür.
Bu politika, aşağıdaki ISO 27001 maddelerine dayanmaktadır:
-
A.5.12 – Bilginin Sınıflandırılması
-
A.5.13 – Bilgi Etiketleme
-
A.5.14 – Bilginin Taşınması
Neden Gereklidir?
-
Kritik bilgileri tespit edip daha sıkı koruma sağlar
-
Yetkisiz erişimi ve veri sızıntısı riskini azaltır
-
KVKK, GDPR gibi yasal düzenlemelere uyumu destekler
-
Denetimlerde kurumun bilgi güvenliği farkındalığını gösterir
Bilgi Sınıflandırma Politikası Nasıl Yazılır?
1. Politikanın Amaç ve Kapsamını Tanımlayın
“Bu politika, YYS Danışmanlık bünyesinde üretilen, iletilen, saklanan tüm dijital ve fiziksel bilgi varlıklarının sınıflandırılmasını ve güvenlik seviyelerinin belirlenmesini kapsar.”
2. Bilgi Sınıflandırma Seviyelerini Belirleyin
En yaygın kullanılan örnek sınıflandırma:
| Sınıf | Tanım | Örnek Bilgiler |
|---|---|---|
| Çok Gizli | Yalnızca yetkili üst yönetime açık. Yetkisiz erişim, ağır zarar verir. | Finansal veriler, KVKK verileri |
| Gizli | Sadece ilgili ekiplerce erişilebilir. | Müşteri teklifleri, sözleşmeler |
| Dahili | Kurum içi paylaşım serbest, dışa kapalı. | Personel listesi, toplantı notları |
| Genel | Kamuya açık, paylaşılmasında sakınca yok. | Web sitesi içerikleri, kataloglar |
Not: İsteğe göre “Hassas” veya “Ticari Sır” gibi özel sınıflar da eklenebilir.
3. Bilgiye Etiketleme Kuralları Getirin
-
Dijital dosya adlarına [Gizli], [Dahili] gibi etiketler eklenebilir
-
Fiziksel belgelerde renkli kapak ya da damga kullanılabilir
-
Otomatik etiketleme araçları (DLP, IRM gibi) kullanılabilir
4. Bilgi Taşıma, Paylaşma ve İmha Kuralları Tanımlayın
| Sınıf | E-posta ile Gönderim | USB ile Taşıma | Fiziksel İmha Yöntemi |
|---|---|---|---|
| Çok Gizli | Şifreli, izinle | Yasak | Parçalayıcı + Yok Edici Firma |
| Gizli | Şifreli | Şifreli taşıma | Parçalayıcı veya yakma |
| Dahili | Kurum içi serbest | Serbest | Kağıt öğütücü yeterli |
| Genel | Serbest | Serbest | Geri dönüşüm |
5. Roller ve Sorumlulukları Yazın
| Rol | Görev |
|---|---|
| Bilgi Sahibi | Bilginin sınıfını belirler ve yönetir |
| BT / Bilgi Güvenliği | Etiketleme ve koruma önlemlerini uygular |
| Tüm Kullanıcılar | Bilginin sınıfına uygun şekilde davranmakla yükümlüdür |
6. İhlaller ve Yaptırımlar
Bilgi sınıflandırma kurallarının ihlali durumunda disiplin prosedürleri devreye alınmalı.
Özellikle “çok gizli” bilginin yetkisiz paylaşımı durumunda yasal süreçler başlatılabilir.
Politika Dokümanı İçeriği (Başlık Önerileri)
-
Giriş ve Amaç
-
Kapsam
-
Tanımlar
-
Bilgi Sınıfları
-
Etiketleme Kuralları
-
Bilgi Taşıma / Paylaşma Kuralları
-
Roller ve Sorumluluklar
-
Eğitim ve Farkındalık
-
Politika İhlalleri ve Yaptırımlar
-
Gözden Geçirme ve Revizyon
Denetimlerde Sıkça Sorulanlar
| Soru | Gerekli Kanıt |
|---|---|
| Bilgi sınıflandırma politikası mevcut mi? | İmzalı ve yürürlükte politika |
| Hangi bilgiler gizli sayılıyor? | Örnek dosyalar, sınıf etiketleri |
| Kullanıcılar bu sınıfları biliyor mu? | Eğitim katılım listeleri |
| Etiketleme sistematik mi? | DLP, veri sınıflandırma araçları |
YYS Danışmanlık ile Güvenli Bilgi Yönetimi
YYS olarak:
-
Bilgi sınıflandırma politikanızı kurumunuza özel yazarız
-
Sınıflandırma tabloları, etiketleme şablonları ve taşıma kuralları hazırlarız
-
Ekiplerinize bilgi güvenliği farkındalık eğitimi veririz
-
Denetime hazır, canlı bir bilgi güvenliği yapısı kurarız
Unutmayın:
Sınıflandırılmayan bilgi, güvende değildir.