Information Security Risk Management and Risk Analysis within the Scope of ISO/IEC 27001:2022 Information Security Management System

Year 2024, Volume: 5 Issue: 2, 1 - 13

Melis Böke Yazıcıoğlu

https://doi.org/10.54047/bibted.1447444

Abstract

Information security has become increasingly vital due to the increase in cyber attacks. To safeguard assets and ensure business continuity, companies are investing in ISMS. ISMS aids in asset awareness, identification, and risk management, addressing challenges such as awareness gaps, cost concerns and complexity. Soma companies opt for outsourcing to mitigate these challenges. Effective risk management within ISMS involves identification, analysis, scoring, prioritization, and action. Team processes within ISMS are crucial in determining risk management effectiveness. This review explores various risk management methodologies and standards, with a focus on the updated ISO/IEC 27005: 2022 Information Security Risk Management Standard. Its aims to enhance information security teams’ understanding of risk management and assessment processes, facilitating evolution and compliance with the standard. Methodologies chosen by the teams illuminate their risk approach within the organization. The review underscores the similarity among various risk management methodologies, highlighting consistent operational procedures irrespective of the chosen approach.

Keywords

Information Security, Information Security Management System, Information Security Risk Management, ISO/IEC 27001, ISO/IEC 27005

ISO/IEC 27001:2022 Bilgi Güvenliği Yönetim Sistemi Kapsamında Bilgi Güvenliği Risk Yönetimi ve Risk Analizi

Abstract

Siber saldırılardaki artış nedeniyle, bilgi güvenliği büyük önem kazanmıştır. Kurumlar bilgi güvenliğine yatırım yaparak BGYS’nin kurulmasını desteklemektedir. BGYS’yi kurmak, kurumların bilgi varlıklarını belirlemesine ve varlıkların önemine göre risklerini tanımlayıp yöneterek iş sürekliliğini sağlamasına destek olmaktadır. BGYS’nin oluşturulması, uygulanması ve yönetilmesi sürecinde Risk Yönetim sürecini de kapsayan birçok husus bulunmaktadır. Kurumlar, farkındalık eksikliği, maliyet ve süreç yönteminin zor olması sebepleri ile bu süreci devreye almaktan çekinmektedir. Bazı kurumlar düşük maliyet ve yönetim kolaylığı nedeniyle hizmet olarak satın almayı tercih etmektedir. Süreçlerin güvenlik seviyesini ölçeklendirebilmek ve olası tehditlerin tespiti amacıyla, riskler belirlenmeli, analiz edilmeli, skorlanmalı ve aksiyon alınmalıdır. Bu amaçla, BGYS kapsamında uygulanan süreçler önemli olmakla birlikte, risklerin belirlenebilmesinde de ciddi bir kaynak sağlamaktadır. Bu derleme makalesinde çeşitli risk yönetim metodolojileri ve standartları incelenerek, güncellenen IEC/ISO 27005:2022 Bilgi Güvenliği Risk Yönetim Standardı çerçevesinde ortak olan noktalar detaylandırılmıştır. Risk Yönetim süreci konusundaki farkındalığın artırılması ve sürecin yönetilmesine destek olunması amaçlanmaktadır. IEC/ISO 27005:2022 kapsamında Risk değerlendirme yapmak isteyen ekipler için de genel bir bakış oluşturmak ve standart kapsamındaki beklentilerin karşılanabilmesine imkân sağlaması amaçlanmakta ve kurum içerisinde nasıl bir risk yaklaşımında bulunacakları noktasına ışık tutmaktadır. İnceleme sonucunda, risk yönetim metodolojilerinin değinmiş olduğu temel noktaların ve temelde işletilmesi beklenen sürecin aynı ya da benzer olduğu tespit edilmiştir.

Keywords

Bilgi Güvenliği, Bilgi Güvenliği Yönetim Sistemi, Bilgi Güvenliği Risk Yönetimi, ISO/IEC 27001, ISO/IEC 27005

References

• Antunes, M., Maximiano, M., Gomes, R., ve Pinto, D. (2021). Information Security and Cybersecurity Management: A Case Study with SMEs in Portugal. Journal of Cybersecurity and Privacy, 1(2), 219-238.
• Durankaya, İ., Gökşen, Y., Eminağaoğlu, M. (2018, Ekim) ISO/IEC 27001 ISO27001 Bilgi Güvenliği Yönetim Sisteminde Risk Analizi. IMISC 2018 Conference Proceedings, 29-33.
• ISO/IEC 27005:2022 Information Security Risk Management International Standard. (2022).
• ISO/IEC 27001:2022 Information Security Management System International Standard. (2022).
• Kaptan, S., (1995), Bilimsel Araştırma ve İstatistik Teknikleri, Tekışık Web Ofset Yayınları. Ankara
• Marianne S. ve Barbara G. (1996). NIST- Generally Accepted Principles and Practices, Special Publication (NIST SP)- 800-14.
• Mohamed G., Sophia F., Hicham M., Adil S. (2014). Information Security Risk Assessment — A Practical Approach with a Mathematical Formulation of Risk, International Journal of Computer Applications (0975 – 8887).
• Peltier, T. R. (2005). Information Security Risk Analysis (15-42).
• Sağsan, M. (2010). Gelişmişliğin Vazgeçilmez Unsuru: Ulusal Bilgi Politikası.
• Marttin, V., Pehlivan, İ. (2010). ISO 27001:2005 Bilgi Güvenliği Yönetimi Standardı ve Türkiye’deki Bazı Kamu Kuruluşu Uygulamaları Üzerine Bir İnceleme (49-56).
• URL-1: https://www.6clicks.com/resources/answers/what-are-the-four-4-cybersecurity-risk-treatment-mitigation-methods [Erişim Tarihi: 30.11.2023]
• URL-2: https://finans.mynet.com/haber/detay/r/risk-istahi-nedir-risk-istahi-nasil-belirlenir/453728/ [Erişim Tarihi: 26.02.2024]
• URL-3:https://it.bilgi.edu.tr/tr/guvenlik/iso-27001/ [Erişim Tarihi: 18.11.2023]
• URL-4: https://ishayativedenetim.com/2021/03/26/risk-matrisi-nedir/ [Erişim Tarihi: 10.11.2023]
• URL-5: https://www.beyaz.net/tr/guvenlik/makaleler/bilgi_guvenligi.html [Erişim Tarihi: 17.05.2024]
• URL-6: https://belgelendirme.ctr.com.tr/iso-27001.html [Erişim Tarihi: 24.12.2023]