ISO/IEC 27001 bilgi güvenliği yönetim sistemi’ nin bilgi işlem merkezlerinde uygulanması

Abstract

Bilgi iletişim teknolojilerinde internetin kullanımının artarak, verilen tüm hizmetlerin dünyaya açık sistemler haline gelmesi, gün geçtikçe bilgi güvenliğinin önemini arttırmış, kötü niyetli uygulamaların da bu paralelde çoğalması ile kurum ve kuruluşların kendi bilgi güvenliklerine daha fazla önem vermelerine neden olmuştur.Bilgi güvenliği bilincini oluşturma ihtiyacı duyan tüm kurum ve kuruluşlar için temelleri 1995 yılından itibaren atılan ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi ile alınacak yönetimsel ve teknik önlemler standartlaştırılmıştır. Bu standart daha sonra devletler bazında da kabul görmüş ve kanunlara eklenerek bazı piyasalarda etkinlik göstermek isteyen firma ve kuruluşlara zorunluluk haline getirilmiştir.Bilgi Güvenliği Yönetim Sistemi öncelikle kurumların bünyelerindeki tüm bilgilerin işlendiği, depolandığı ve saklandığı ortamları barındıran ve bunların yönetimini üstlenen Bilgi İşlem Merkezleri'nde uygulama alanı bulmaktadır.Bu çalışmanın araştırma problemi; kuruluşları bünyesinde bilgi güvenliği kültürünü oluşturacak ISO/IEC 27001 BGYS Standardını, kurmak ve yönetmek isteyen Bilgi İşlem Merkezi Yöneticileri'ne Türkçe bir rehber hazırlamak olarak ifade edilebilir. Bu faaliyetlerin tüm aşamalarını ulaşılabilir manada tek bir belge üzerinden Türkçe olarak anlatan kaynağın yok denecek kadar az olması ve ilgili bilgilerin sadece danışmanlık şirketleri tarafından ödenecek ücretler karşılığında verildiği günümüzde, kuruluşların BGYS kurmak ve işletmek için zaman ve kaynak ihtiyaçlarını düşüreceği amaçlanan çalışmada sistemi kurup yönetirken yapılması gereken tüm adımlar sırasıyla anlatılmıştır.Yukarıdaki ihtiyaçlara cevap ararken literatür taramasına ek olarak konu ile ilgili çeşitli seminer ve eğitimlere katılım sağlanmış, konu ile ilgili danışmanlık şirketleri ziyaret edilerek gerekli veriler toplanmıştır.

In Information Technologies, parallel to increase of internet usage, all services are started to offer online. It made information security more important and caused organizations to take precautions in their IT security.All managerial and technical precautions are standardized for organizations needed an information security conscious with ISO/IEC 27001 Information Security Management System started in early 1995?s. Later, this standart also has been accepted by goverments as a prerequisite for some IT organizations.Primarily, Information Security Management System is applied to IT departments where all data processed, stored and managed .The purpose of this study can be expressed as to prepare a Turkish guideline for IT managers who eager to establish a standart based on ISO/IEC 27001. Nowadays, resources in that field are scarce in turkish language and related information can only be reached via consulting companies by paying. With this study, it is aimed to decrease time and resource requirements and all steps needs to be taken for establishing and managing an Information Security Management System is explained in order.While searching for an answer to all aforementioned problems in addition to literature survey, participated in various trainings and workshops, and visited related consulting companies for collecting necessary data.