Bilgi güvenliği yönetiminin gerekleri ve başarı dayanakları : bir uygulama örneği

Abstract

Dünyada ve ülkemizde devlet kurumları ve özel sektör kuruluşları yaptıkları işlerin sürdürebilirliğini sağlamak için yoğun bir şekilde bilgi kullanımına yönelmişlerdir. Zaman geçtikçe bilginin değeri artmış, sadece depolanması değil güvenli bir şekilde saklanması, istendiğinde ulaşılması ve bu olgunun sürdürülebilir olması önemli hale gelmiştir. En küçük bir bilgi sızıntısı, bilgi kayıpları, bilinçli ya da bilinçsiz yapılan hataların sonuçları kuruluşlarca telafisi zor olmaktadır. Kendine özgü kullanılan hiç bir yöntem, bilginin, bilgi sistemlerinin, hizmetlerinin, ürün bilgilerinin, kuruluşlara özel bilgilerin ya da bilgisayar ağlarının tamamen korunmasını garanti edememektedir. Bu yöntemler uygulansa bile bilgi güvenliğini tam olarak sağlanamayabilir. Böylece, kuruluşların olası iş faaliyet alanlarında bilinçli yada bilinçsiz güvenlik ihlali olayları meydana gelebilir. Bu nedenle kuruluşlar elde ettikleri bilgi birikimini korumak için tüm dünyada kabul görmüş, uluslararası bir standard olan TS ISO/IEC 27001, Bilgi Güvenliği Yönetim Sistemini (BGYS?ni) kullanabilirler. Bu çalışma, kamu ve özel sektör kuruluşlarında uygulanan bilgi güvenliği sisteminin başarı dayanakları değerlendirilerek, bilgi güvenliği yönetiminin performansını aşağı veya yukarı çeken faktörleri ortaya çıkarmak hedeflenmiş ve TS ISO/IEC 27001, Bilgi Güvenliği Yönetim Sistemini kurmak, uygulamak, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için bir model önerisinde bulunulmuştur. İki ana bölüm olarak tasarlanan çalışmanın Birinci bölümü ?Bilgi, Bilgi yönetimi, Bilgi güvenliği, Bilgi güvenliği standartları ve Bilgi Güvenliği Yönetim Sistemi TS ISO/IEC 27001?in kuruluşlarda uygulama nedenleri, Bilgi güvenliği Standart maddeleri açıklanması ve Bilgi güvenliği yönetim sisteminin Kuruluşlara faydaları? başlıkları üzerine kurgulanmıştır. İkinci bölümde ?Bilgi Güvenliği Yönetim Sistemi TS ISO/IEC 27001?in Başarı dayanakları oluşturulan anket ile sorgulanmıştır. Anket bulguları sonucunda Bilgi Güvenliği Yönetim Sistemi TS ISO/IEC 27001?in Kritik Başarı dayanakları irdelenmiştir. Sonuç ve Öneriler kısmında ise kuruluşların kendilerine özgü oluşturdukları yöntemlerin sürdürülebilir olmadığı, bilgi güvenliğinin bir sistem dahilinde yürütülmesi gerekliliği ve buna uygun yöntemin TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi?ni uygulamaları olduğu vurgulanmıştır. Ayrıca kurulan bilgi güvenliği yönetim sisteminden uluslararası bir belge almanın kuruluşun marka ve imaj değerini attıracağına değinilmiştir. Anahtar Kelimeler: Bilgi, Bilgi Güvenliği, Bilgi Güvenliği Yönetim Sistemi, TS ISO/IEC 27001, BGYS uygulaması

Governmental authorities and private sector organizations in the World and our country head towards using information intensely to achieve sustainability in their work. As time goes value of information has increased, not only storing but also storing safely, reaching when it has been needed and being sustainable have become important. Even a minimum information leakage, information lost, results of conscious or unconscious faults become unrecoverable for organisations. Any method of its own that is used can not guarantee the full protection of information, information systems, service and product information, and information special for the organization and computer network. Applying this methods also can not achieve information security fully. Thus, conscious or unconscious security infringement events in organisation?s operation area can result in. For this reason, the organisations can apply for the Information Security Management System (ISMS) standard, TS ISO/IEC 27001, which is acknowledged all over the World to protect their knowledge that they have. This study aimed to obtain factors that bring down or up the performance of information security management with evaluating success bases of information security system which applied by governmental authorities and private sector organizations. The study is design as two parts, in the First Part has following headings; ?Information, Information Management, Information Security, Information Security Standards, Reasons for Applying Information Security Management System- TS ISO/IEC 27001 in the organizations, Explanation of Information Security Management System Standard?s Requirements and Benefits of Information Security Management System to the organizations?. In the Second Part, success bases of Information Security Management System, TS ISO/IEC 27001 has been examined by a survey. As a result of the survey findings, critical success bases of Information Security Management System, TS ISO/IEC 27001 are explicated. In the Results and Suggestions Part, it is emphasized that methods of its own that is established by organisation are not sustainable, information security is needed to maintain systematic and suitable method for this is Information Security Management System, TS ISO/IEC 27001. In addition, it is mentioned having an international cerificate for Information Security Management System increases the brand mark and image value. Keywords: Information, Information Security, Information Security Management System,TS ISO/IEC 27001, Implementation of ISMS.