Bilgi Güvenliği Farkındalık ve Teknik Eğitim Politikası

Amaç

Bu politika, OMÜ'nün bilgi güvenliği farkındalık ve teknik eğitim yaklaşımını özetler ve üniversitenin bilgi güvenliği hedeflerine ulaşılmasını sağlamak için yol gösterici ilke ve sorumlulukları içerir.

Kapsam

Bu politika, OMÜ tarafından verilen farkındalık ve teknik eğitimlerden faydalanan tüm akademik ve idari personeli kapsamaktadır. Üniversite topluluğunun her üyesi, OMÜ'ye emanet edilen bilgi varlıklarını korumakla yükümlüdür.

Genel İlkeler

Üniversite bünyesinde bulunan önemli bilgileri ve güvenlik risklerini anlayan iyi eğitimli personel, verilerimizi güvence altına almamızda önemli bir rol oynamaktadır. Bu nedenle, bilgi güvenliği bilinci oluşturma eğitimi tüm üniversite personeli için zorunludur.

Bilgi güvenliği farkındalığı yaratma süreci kurumsal yapının her kademesinden bireyi ilgilendirmekle beraber söz konusu sürecin gerçekleştirilmesini yönlendiren kurum yöneticileri birincil düzeyde sorumlu grubu oluşturmaktadır.

Üniversite yöneticileri bilgi güvenliği farkındalığı yaratma sürecinde; üniversite içinde bilgi güvenliği yönetiminden sorumlu bir çalışan grubu oluşturmak, bilgi güvenliği bilinçlendirme sürecini konu ile ilgili uzmanlarca verilecek eğitimlerle desteklemek, bilgi güvenliği bilinçlendirme sürecine finansal destek sağlamak gibi faaliyetlerin yürütücüsü ve yönlendiricisidir. Bilgi güvenliği farkındalığı yaratma uygulamalarını denetleyerek sürecin disiplinli bir şekilde gerçekleşmesini sağlamak, personel ya da kullanıcıların bilgi güvenliği farkındalıklarının yetersiz seviyede olmasından kaynaklı zararı en aza indirgemek de yine yöneticilerin sorumluluğundadır.

Personel arasında yüksek düzeyde bilgi güvenliği farkındalığını sağlamak için aşağıdakiler yapılmalıdır:

• Bölüm, birim veya fakülte personelleri için, bilgi güvenliğini tam olarak anlayabilmeleri ve günlük işlerinin ayrılmaz bir parçası olarak görmelerini sağlamak için zorunlu bilgi güvenliği farkındalık eğitimi düzenlenmelidir.

• Bölümler arası, departman içi veya fakülte süreçlerindeki yeni katılımcılar için bilgi güvenliği bilincini geliştirme eğitimi verilmelidir.

• Sunulan bilgi güvenliği teknik ve farkındalık eğitimleri katılım öncesi ve sonrası çeşitli ölçme teknikleriyle ölçülmeli ve eğitim etkililiği hususunda değerlendirme yapılmalıdır.

• Bilgi güvenliği farkındalık eğitimini kimlerin tamamladığına ilişkin güncel kayıtlar tutulmalıdır.

• Kullanıcılar ya da personel, bilgi güvenliği sürecinde kullandıkları yazılımların güvenlik eklentilerinin güncellenmesi ve saklanan verilerin yedeklenmesi gibi tedbir uygulamalarını gerçekleştirerek sürecin başarıyla gerçekleşmesine katkı sağlamalıdır.

• Eğitim faaliyetleri işlemlerinin, üniversite içerisinde nasıl yürütülmesi gerektiği hususunda bir prosedür geliştirilmelidir.

• Üniversitenin teknik işlerinde (Bilişim faaliyetleri), uygulama geliştirme, sistem güvenliği kapsamında hizmet veren personellerin kişisel gelişimlerinin devamlılığı konusunda eğitimler düzenlenmelidir.

• Personel için yılda bir kez bilgi güvenliği farkındalık ve teknik eğitimi tekrarlanmalıdır.

Referanslar

• University of Oxford Information Security Training and Awareness
• University of Georgia Security Awareness
• University of California Santa Cruz Security Awareness Training
• Boston University TechWeb Security Education & Awareness
• T.C. Sağlık Bakanlığı Bilgi Güvenliği Farkındalık Bildirgesi