ISO 27001 bilgi güvenliği yönetim sistemi otomasyonu

Abstract

Bilgi Güvenliği özellikle hızla gelişen teknoloji ile birlikte son yıllarda kurumların en büyük sorunlarından biri olmuştur. İşletmelerin günümüzdeki en belirgin rekabet dayanağı icra ettikleri üretim faaliyetlerindeki sahip oldukları bilgi varlıkları ve tecrübeleridir. Kurumlar rekabet üstünlüğü sağlamak maksadıyla kurumsal verilerinin güvenliğini sağlamak zorundadır. Bilgi Güvenliği ile ilgili ülkemizde ve uluslarası platformda hukuki bazı düzenlemeler mevcuttur. Bu düzenlemelere ek olarak işletmelerin kendi bilgi güvenliği faaliyetlerini yönetmesi maksadıyla uluslararası geçerliliği olan ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kalite standardı bulunmaktadır. İşletmeler süreç yaklaşımı kapsamında Bilgi Güvenliği yönetim faaliyetlerini bu standardla gerçekleştirebilirler. İşletmeler BGYS faaliyetlerini dış kaynak tedariki ile danışmanlık alarak veya hazır paket programlar vasıtasıyla yürütebilirler.Bu çalışmanın araştırma problemi, Sözkonusu BGYS faaliyetini tamamen Açık Kaynak Kodlu yazılımları tekrar BGYS kapsamında düzenleyerek BGYS sürecinin yönetimini çok düşük maliyetle sağlanabileceğini belirtmek olarak ifade edilebilir. BGYS kurmak ve yönetmek isteyen bir işletmenin sürecin yönetimi esnasında ne tür bir sisteme ihtiyaç duyulduğu dikkate alınmalıdır. Bu bağlamda bu çalışmanın amaçlarını şu şekilde ifade etmek mümkündür:a) İşletmelerin BGYS sürecinin yönetiminde ISO 27001 standardı kapsamında bir süreç takvimi oluşturan, bu kapsamda belirlenen görevlere sorumlulukları atama işleminin gerçekleştirildiği ve aynı görev için görev ilerleme kayıtlarının alınabildiği, sürecin tamamen belgelendirildiği, BGYS süreci ekibinin birbirleri ile bilgi alışverişinde bulunabildiği, BGYS süreç yönetimi faaliyetinin de "Bilmesi gereken" prensibi kapsamında yetkilendirme yoluyla erişilebilen bir süreç yönetimini oluşturmak,b) ISO 27001 standardının en önemli unsuru olan risk yönetim sistemi sürecinin gerçekleştirildiği birçok düşük maliyetli bir risk yönetim süreci oluşturmaktır.Bu ihtiyaçlara cevap ararken literatür taramasına ek olarak konu ile ilgili ticari yazılımların deneme sürümleri incelenmiştir. Veri edinmede ticari yazılım incelemesinin tercih edilmesinin temel gerekçesi örnek ticari yazılımlara karşılık hazır A.K.K. yazılımların olup olmadığının araştırılmasıdır. Yapılan araştırmalar neticesinde sadece ISO 27001 süreçleri ile ilgili A.K.K. bir yazılım bulunamamıştır. Fakat bazı açık kaynak kodlu yazılımları ve programlama dillerini kullanarak orta-yüksek derecede bilgisayar bilgisi vasıtasıyla bir süreç yönetim ve risk yönetim otomasyonu meydana getirilebileceği görülmüştür. Ve konu ile ilgili çalışmalara başlanmıştır.Bu çerçevede yapılan çalışma sonucunda meydana getirilen otomasyon ile birlikte yukarıdaki ihtiyaçlara cevap veren bir süreç yönetim sistemi ve risk yönetim sistemi oluşturulmuştur. İşletmelerin bu tip A.K.K. yazılımları küçük düzenlemelerle yeniden derleyerek kendi sistemlerinde kullanmaları mümkündür. Bu sayede yalnızca maliyetlerin düşürülmesi değil aynı zamanda dışa bağımlılık problemlerinin çözüme ulaşacağı söylenebilir.

With rapidly evolving technologies, especially information security in recent years has been one of the biggest problem of the organizations. The most significant competition for business today in support of production activities as they pursue their knowledge and experiences are assets. Organizations to provide competitive advantage in order to ensure the security of corporate assets are secure and difficult. There are some regulations about Information security in our country and international legal platform. In addition to these regulations, organizations are able to manage their information security activities with the purpose of internationally recognized quality standard ISO 27001 Information Security Management System if they want. Information Security in the context of business process management approach to these standards can perform their activities. ISMS activities of enterprises can be achieved with foreign sources of supply advisory or to buy counseling through the commercial softwares.This study's research problem, the question of ISMS activities entirely Open Source software to re-organize under the ISMS process management can be achieved by specifying a very low cost can be expressed as. ISMS who want to build and manage a business process management are needed to exactly what such a system should be taken into consideration.In this context, the objectives of this study can be expressed as follows:a) Business of the ISMS process management ISO 27001 standard as part of a process schedule by, in this context defined roles responsibilities, appointment procedures carried out the same task for the task progress records are able to process fully documented, built, ISMS process, the ISMS team with each other to exchange information can be found, ISMS process management activities also "Know needed "basis under the management of authorization to create a process that can be accessed through,b) ISO 27001 standard as the most important element of the risk management system, many low-cost process was carried out to establish a risk management process.When searching for the answer to this need, in addition to the literature about the subject some of the trial (Demo) versions of commercial software are examined. Obtain review of the data in the commercial software to commercial software are preferred examples of the basic reasons for the stock of Open Source Software to evaluate whether or not. Findings of these studies are only concern with the process of ISO 27001 There are no Open Source software. But with some open source software, knowledge of using programming language and medium-high degree of computer, process and risk management can be carried out through this automation has been seen. And set to work-related issues.In this context, the studies resulted in the return to the automated reply with the above requirements and risk management system, a process management system has been established. Open Source Software of this type of organizations recompiled with minor editing software as it is possible to use their own systems. In this way, not only lowering costs but also to reach out to say outsource problems.