Güvenlik politikaları, tüm çalışanlar ve işbirliğine dahil olan tüm kurum ve kuruluşlar tarafından, kurumlarda veya kuruluşlarda kabul edilebilir güvenlik seviyelerinin belirlenmesine yardımcı olan uyulması gereken kurallardır. Kurumsal bilgi güvenliği politikası, kurum ve kuruluşlarda bilgi güvenliği sağlamak için tüm bilgi güvenliği faaliyetlerini ve kurumsal bilgi kaynaklarına erişimi olan tüm çalışanlara uyması gereken kuralları içeren bir talimatlar bütünüdür. Bilgi güvenliği politikaları her kuruluş için farklı olsa da, genellikle çalışan sorumluluklarını, güvenlik denetim araçlarını, amaçlarını ve hedeflerini ve temel bilgi varlıklarının yönetimini, korunmasını, dağıtımını ve korunmasını düzenleyen kural ve uygulamaları tanımlayan genel açıklamaları içerir. Politikalarda; Gerekçelerin ve risklerin tanımlandığı 7 bölümden, politikadan sorumlu bilgi varlıklarının ve grupların tanımlanmasından, uygulama kural ve kurallarından, ihlal ihlal edildiğinde uygulanacak cezai yaptırımlardan, tanımlardan oluşur. teknik terimler ve düzeltme tarihi. Çalışanlardan konuyla ilgili detaylı bilgi sahibi olmak için belirli konular hakkında daha fazla bilgi sahibi olmaları istendiğinde alt politikalar geliştirilmelidir. Örneğin, e-ticaret yazılımı kullanıcı hesaplarını oluştururken ve yönetirken, parolanın unutulması, parolaların değiştirilmesi, yeni parolaların tanımlanması, kuralların alt politikalarla açıklanması gerekir.
Diğer bir örnek, üst yönetim kararlarını, kullanıcının e-posta gönderip alırken uyması gereken kuralları ve diğer hakları ifade etmektir. Alt politika, e-posta alt politikasında üst yönetimin çalışanlarının e-postalarını gerektiğinde okuyabileceği ve gizli bilgilerin e-posta yoluyla gönderilip gönderilemeyeceği şeklinde ifade edilebilir. Alt politikalar çerçevesinde, izin verilen yazılımlar, veritabanlarının nasıl korunacağı, bilgisayarlara uygulanacak erişim kontrol kriterleri, güvenlikle ilgili yazılımlar ve donanımlar açıklanabilir.
Kurumsal bilgi güvenliği politikaları, kuruluşların ihtiyaçları doğrultusunda bazı temel güvenlik unsurlarına (gizlilik, bütünlük, erişilebilirlik vb.) Odaklanabilir. Örneğin, askeri kurumlarda, bilgi güvenliği politikalarında gizlilik ve bütünlük unsurları ön plana çıkmaktadır. Bir askeri savaş uçağının onaylanması ve yürürlüğe girmesi için, düşman düşman tarafından görülmemeli (gizlilik) ve değiştirilmemelidir (bütünlük). Diğer bir örnek, kar amacı gütmeyen kuruluşlarda uygulanan bilgi güvenliği politikalarının erişilebilirliği ve bütünlük yönleridir. Üniversite sınav sonuçlarının açıklandığı yükseköğretim kurumunda uygulanan güvenlik politikasında, öğrenciler sınav açıklandıktan sonra istenen sürede (bütünlük) sınav sonuçlarına bakabilmelidir.
İyi bir güvenlik politikası kullanıcıların çalışmasını zorlaştırmamalı, kullanıcılar arasında bir tepkiye neden olmamalı, kullanıcılar tarafından uygulanmalıdır. Politika, kullanıcıları ve sistem yöneticilerini sığdırmak ve uygulamak için yeterli uygulama gücüne sahip kurallardan oluşmalıdır. Güvenlik önlemleri ve politikaları uygulayan yetkililer veya birimler, yaptırımları uygulamak için idari ve teknik güçlerle donatılmalıdır. Politika kapsamında, herkesin sorumlulukları ve yetkileri tanımlanmalı ve kullanıcıların, sistem yöneticilerinin ve sistemle ilgili diğer kişilerin sorumluluk ve sorumlulukları şüphesiz ve çelişki bırakmayacak şekilde açıkça tanımlanmalıdır. Politikalar dahilinde uygulanacak ve elektronik mesajların ve dosyaların içeriğine erişim, kullanıcı işlemlerinin kaydedilmesi ve izleme ve izleme prosedürlerinin hangi şartlarda yerine getirilmesi gerektiği ve kullanıcının kişisel korunmasının nasıl sağlanacağı ile ilgili yasal ve ahlaki gizlilik koşulları Bu işlemler sırasındaki haklar açıklanmalıdır.
Güvenlik politikalarında kullanıcıların, yöneticilerin ve teknik personelin saldırıları ve diğer sorunları belirlemedeki sorumluluk ve görevleri, tespit edilen sorunların ve saldırıların kiminle ne kadar süreyle rapor edileceği açıkça belirtilmelidir. Sistemlerin günlük çalışma programları durumunda, verilerin kaybolması durumunda verilerin geri yüklenmesi gibi durumlar, kullanıcının sisteme erişimini sınırlayan durumlar politikalara dahil edilmelidir. Bu durumlarda, kullanıcıya izlenmesi ve yardım etmesi gereken yolu tarif etmesi için talimatlar verilmelidir.
ERP Sistemi 