Kişilerin bilgi güvenliği önem arz ederken, bundan daha önemlisi, kişilerin güvenliğini doğrudan etkileyen kurumsal bilgi güvenliğidir. Her birey bilgi sistemleri üzerinden hizmet alırken veya hizmet sunarken kurumsal bilgi varlıklarını doğrudan veya dolaylı olarak kullanmaktadır. Bu hizmetler kurumsal anlamda bir hizmet alımı olabileceği gibi, bankacılık işlemleri veya bir kurum içerisinde yapılan bireysel işlemler de olabilir. Kurumsal bilgi varlıklarının güvenliği sağlanmadıkça, kişisel güvenlikte sağlanamaz.

Bilgiye sürekli olarak erişilebilirliğin sağlandığı bir ortamda, bilginin göndericisinden alıcısına kadar gizlilik içerisinde, bozulmadan, değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden bütünlüğünün sağlanması ve güvenli bir şekilde iletilmesi süreci bilgi güvenliği olarak tanımlanabilir.

Kurumsal bilgi güvenliği ise, kurumların bilgi varlıklarının tespit edilerek zafiyetlerinin belirlenmesi ve istenmeyen tehdit ve tehlikelerden korunması amacıyla gerekli güvenlik analizlerinin yapılarak önlemlerinin alınması olarak düşünülebilir.

Kurumsal bilgi güvenliği insan faktörü, eğitim,teknoloji gibi birçok faktörün etki ettiği tek bir çatı altında yönetilmesi zorunlu olan karmaşık süreçlerden oluşmaktadır. Bu süreçlerin yönetilmesi, güvenlik sistemlerinin uluslararası standartlarda yapılandırılması ve yüksek seviyede bilgi güvenliğinin sağlanması amacıyla tüm dünyada kurumsal bilgi güvenliğinin yönetiminde standartlaşma çalışmaları hızla sürmektedir.

Standartlaşma konusuna önderlik eden İngiltere tarafından geliştirilen BS–7799 standardı, ISO tarafından kabul görerek önce ISO–17799 sonrasında ise ISO–27001 adıyla dünya genelinde bilgi güvenliği standardı olarak kabul edilmiştir.Ülkemizde Avrupa Birliği Uyum Kriterlerinde de adı geçen bu standartların uygulanması konusunda yapılan çalışmalar yetersiz olup bu standardı uygulayan kurum ve kuruluşların sayısı yok denecek kadar azdır.

 

ISO–27001 standardı ülkemizde Türk Standardları Enstitüsü (TSE) tarafından TS ISO/IEC 27001 “Bilgi Güvenliği Yönetim Sistemi” standardı adı altında yayınlanmış ve belgeleme çalışmaları başlatılmıştır. Bu standart kapsamında kurumsal bilgi varlıklarının güvenliğinin istenilen düzeyde sağlanabilmesi amacıyla; gizlilik, bütünlük ve erişilebilirlik gibi güvenlik unsurlarının kurumlar tarafından sağlanması gerekmektedir.

Bilgi Güvenliği Yönetim Sistemleri (BGYS); insanları, süreçleri ve bilgi sistemlerini içine alan ve üst yönetim tarafından desteklenen bir yönetim sistemidir. Kurumlar açısından önemli bilgilerin ve bilgi sistemlerinin korunabilmesi, risklerin en aza indirilmesi ve sürekliliğinin sağlanması, BGYS’nin kurumlarda hayata geçirilmesiyle mümkün olmaktadır.BGYS’nin kurulmasıyla; olası risk ve tehditlerin tespit edilmesi, güvenlik politikalarının oluşturulması,denetimlerin ve uygulamaların kontrolü, uygun yöntemlerin geliştirilmesi, örgütsel yapılar kurulması ve yazılım/donanım fonksiyonlarının sağlanması gibi bir dizi denetimin birbirini tamamlayacak şekilde gerçekleştirilmesi anlamına gelmektedir.

  • Kurumsal bilgi güvenlik politikalarının oluşturulması
  • BGYS kapsamının belirlenmesi, risk yönetimi,
  • Denetim kontrollerinin seçilmesi,
  • Uygulanabilirlik beyannameleri;

BGYS kurulabilmesi için, yapılması gereken bazı adımlardır.

Bu süreçleri uygularken Ape Ims Bilgi Güvenliği Yönetim Sistemi modülü ISO 27001 standartlarının gerektirdiği yapıları hazır olarak bulundurmaktadır.Üstelik bu yapılar Ape Ims in diğer modülleri ile entegredir.

Örneğin ISO 27001 standartlarında Bilgi Güvenliği Risklerinin değerlendirilmesi zorunludur. Ape Ims in diğer modüllerinden biri olan Kurumsal Risk Yönetim Sistemi içerisinde Risk Yönetimi ISO 31000 e göre uygulanabilmektedir.Ya da ISO 27001 standartlarında İş Sürekliliği kavramı da yeralmaktadır. Ape Ims in diğer ana modüllerinden

olan İş Sürekliliği Yönetim Sistemi içerisinde bu gereklilik ISO 22301 standartlarına göre yapılmaktadır.Buna Varlık Yönetimi,Döküman Yönetim Sistemleri..gibi yapıları da ekleyebiliriz.

Bir cevap yazın