İso 27001'de insan kaynakları

Merhaba arkadaşlar, iso 27001 de insan kaynakları denetlenir mi eğer denetlenirse neler kontrol edilir nelere dikkat edilir yardımcı olursanız sevinirim.

merhaba. denetlenir. yeni proses yaklaşım prensibine göre İK nın proseslerini kayıt altına alıp bu proseslerin her adımında bilgi güvenliği tehditlerini risk analizi ile değerlendirmeniz gerekli. Sonrasında almış olduğunuz güvenlik ve kontrol kritelerleri denetleyebilirsiniz.

Örnek denetim sorularI:

1. Personel Güvenliği Politikaları​

• İnsan kaynakları biriminde bilgi güvenliği politikaları mevcut mu?
• Bu politikalar çalışanlara iletiliyor ve düzenli olarak güncelleniyor mu?
• Çalışanlar bilgi güvenliği politikaları hakkında eğitim alıyor mu?

2. Güvenlik Rollerinin ve Sorumluluklarının Tanımlanması​

• Tüm çalışanların bilgi güvenliği ile ilgili roller ve sorumlulukları belirlenmiş mi?
• Bu roller ve sorumluluklar iş tanımlarına ve sözleşmelere dahil edilmiş mi?

3. Personel Güvenliği Eğitimi​

• Yeni işe alınan çalışanlara bilgi güvenliği eğitimi veriliyor mu?
• Mevcut çalışanlara düzenli aralıklarla bilgi güvenliği güncellemeleri ve eğitimleri sağlanıyor mu?
• Eğitimlerin etkinliği ve katılımı takip ediliyor mu?

4. İşe Alım Süreci​

• İşe alım sürecinde adayların güvenlik geçmişi kontrol ediliyor mu?
• İşe alım sürecinde bilgi güvenliği risk değerlendirmesi yapılıyor mu?

5. Çıkış Süreci​

• İşten ayrılan çalışanlar için güvenli çıkış prosedürleri mevcut mu?
• Çıkış sürecinde erişim yetkileri iptal ediliyor mu?
• Ayrılan çalışanların bilgi güvenliği yükümlülükleri hakkında bilgilendiriliyor mu?

6. Disiplin Prosedürleri​

• Bilgi güvenliği ihlallerinde uygulanacak disiplin prosedürleri belirlenmiş mi?
• Bu prosedürler çalışanlara açık bir şekilde iletilmiş mi ve uygulamada adil ve tutarlı mı?

7. Erişim Kontrolü​

• Çalışanların bilgi sistemlerine erişim yetkileri, iş gereksinimlerine göre belirlenmiş mi?
• Erişim yetkileri düzenli olarak gözden geçiriliyor ve güncelleniyor mu?

8. Taşeron ve Üçüncü Taraflarla İlişkiler​

• Taşeron ve üçüncü taraflarla yapılan anlaşmalarda bilgi güvenliği gereksinimleri belirlenmiş mi?
• Taşeronların ve üçüncü tarafların bilgi güvenliği uyumu izleniyor mu?

9. Güvenlik Olayı Yönetimi​

• Bilgi güvenliği olayları için çalışanların raporlama prosedürleri belirlenmiş mi?
• Olayların nasıl yönetileceği ve raporlanacağı hakkında çalışanlar bilgilendirilmiş mi?

10. Sürekli İyileştirme​

• İnsan kaynakları biriminde bilgi güvenliği yönetim sisteminin sürekli iyileştirilmesi için süreçler mevcut mu?
• Çalışanların geri bildirimleri ve denetim sonuçları bu süreçlere dahil ediliyor mu?