Bilgi teknolojileri güvenliği ve sigorta şirketinde ıso/ıec 27001 standartları çerçevesinde bilgi güvenlik yönetim sistemi uygulaması

Abstract

Bilgi, diğer önemli ekonomik varlıklar gibi, bir işletme için değeri olan ve bu nedenleuygun olarak korunması gereken bir varlıktır. Bilginin korunmaması, büyük ve çözülmesi zor problemlere neden olabilir. Bu problemin temel çözümü bilgi güvenliğinin sağlanmasıdır, ancak neyazık ki bilgi güvenliğini tam anlamı ile sağlamanın basit bir formulü yoktur. Bu noktada kurum stratejilerine ve süreçlerine, en uygun bilgi güvenliği yaklaşımının belirlenmesi ve bu yaklaşımlar arasındaki ilişkiler ve yapısal farklılıkların gösterilmesi gerekir.Bilgi güvenliği bilgiyi, ekonomik sürekliliği sağlamak, ekonomik kayıpları en aza indirmek, fırsatların ve yatırımların dönüşünü en üst seviyeye çıkartmak için iç ve dış etkilerle meydana gelebilecek tehlike ve tehditlerden korur.Güvenlik Yönetimi'nin görev tanımı, güvenlik ile ilgili olayların meydana gelmesini, kabul edilebilir maliyetler dahilinde, iş gereksinimleri ile aynı hizada gizliliği, bütünlüğü ve Bilgi İşlem servislerinin erişebilirliğini ve veriyi koruyarak önlemektir.Bilgi teknolojileri güvenliği kavramını anlayabilmek için bilgi teknolojileri yönetim sistemlerini ve bilgi güvenliği içerisinde bu kavramlara verilen önemi anlamak gereklidir. Bilgi teknolojileri güvenlik yönetimi konusunda dünyada en yaygın uygulama alanı bulan üç standart, bu tez kapsamında incelenmiştir. Bu üç standarttan birincisi olan ISO 27001 standardı, ISO 27002 en iyi uygulama standardı çerçevesinde , bilgi teknolojileri güvenlik yönetimi için çok iyi sınıflandırılmış, taktik ve operasyonel seviyede işleyen ve kolay uygulanabilen bir standart iken, CobIT standardının bilgi teknolojileri yönetimine stratejik açıdan bakan ve temelini yönetim kararları, yönetilebilirlik ve denetlenebilirlik üzerine kuran geniş kapsamlı bir yapısı vardır ve bilgi güvenliğini CobIT Security Baseline yani CobIT Güvenlik Temel Çizgisi çerçevesinde destekler.ITIL Güvenlik Yönetimi Süreci, yönetim organizasyonunda güvenligin şeklen uyarlanmasını tarif eder ve böylece bu süreçte sadece temel seviyede bir güvenlik sağlanmakla kalınmaz ayrıca Servis Seviye Anlaşması'nda belirtilenlerin yanında diğer güvenlik gereksinimlere sağlanır.Her üç standartta da, bilgi teknolojileri yönetiminin değişik öğelerinin bu yönetim sistemlerinde yer almakta olduğu değerlendirilmiştir.Tez kapsamında, üzerine odaklanılan bilgi güvenliği ile ilgili standartları sağlayabilmek için , incelenen standartlardan hangisinin uygulanması gerektiği cevaplanması zor bir sorudur ve kesin bir cevabı yoktur. Bu standartların bilgi güvenliği alanında ortak noktalarıda fazla olmasına rağmen, kapsam ve derinlik bakımından birbirlerinden farklıdır. Bu sorunun cevabı şirketin stratejileri , politikaları ve gereksinimleri doğrultusunda, kullanılacak standardın kapsamı, uygulanabilirlik ve maliyet parametrelerine göre değişiklik göstermektedir.Bu tezde, uygulama olarak ABC A.Ş.'de ISO/IEC 27001 standartlarında Bilgi Güvenlik Yönetim Sistemi kurmak için gereken bilgi risklerini belirleme yöntemleri vurgulanmakta ve bu risklerin giderilmesi için ihtiyaç duyulan temel safhalara ait teknoloji, politika ve prosedürler açıklanmaktadır.Bu standartlar kapsamında oluşturulan Bilgi Güvenlik Yönetim Sistemi sayesinde, işletmelerin bilgi varlıklarının güvenlik sürekliliği, yalnızca teknoloji ile değil aynı zamanda tüm şirket çalışanlarının da uyguladığı iş süreçleri ile sağlanabilecektir.