INVESTIGATION OF THE IMPLEMENTATION OF ISO27001 INFORMATION SECURITY MANAGEMENT SYSTEM STANDARD ON PUBLIC INSTITUTIONS: CASE OF ANKARA PROVINCE, TURKEY

Year 2019, Volume 3, Issue 2, 59 - 78, 29.12.2019

Hüseyin ÇAKIR Mehmet TUYGUN

https://doi.org/10.33461/uybisbbd.598989

Abstract

The aim of this research is to examine the opinions of the personnel of the institution in the public institutions that have completed the ISO27001 Information Security Management System (ISMS) certification process. For this reason, in the scope of the research, different questionnaires were prepared for the related groups on four different focus groups such as “Management Staff”, “ISMS Team Members”, ”Institution Technical Staff”, ”Institution Staff”. The 5-point Likert scale was used in the surveys. Reliability analysis was applied in Likert type scale questions. As a result of the analysis of the preliminary study, it was found that the reliability coefficient of the questionnaire was acceptable. In order to determine the opinions of the focus groups, frequency and percentage distributions were determined and interpreted. In light of the data obtained, it is seen that the management team has a positive attitude towards the ISO27001 certification process and in terms of ensuring institutional processes and information security. On the other hand, it has been observed that ISMS team members have expressed their opinion on the need for technical qualification, training and numerical multiplicity in order to manage the ISO27001 processes effectively. It was observed that the technical team members gave a positive opinion that the ISO27001 processes facilitated their work and contributed to the effective execution of the work, but there was no consensus on technical qualifications and numerical competence. It has been observed that the staff of the institution have been positive about the awareness trainings taken within the scope of ISO27001 and that ISMS processes are required for enterprise information security.

Establishing a corporate ISMS, ensuring the continuity of the established system, continuously monitoring and identifying the deficiencies, making improvements, creating information security awareness, in short, establishing a live ISMS is an indispensable condition of having ISO27001 certificate. This study is thought to be important in terms of shedding light on the efficiency levels, ownership and technical competence of ISMS established by public institutions.

Keywords

e-government, Informatıon Security, ISO27001

ISO27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ STANDARDININ KAMU KURUMLARINA UYGULANABİLİRLİĞİNİN ARAŞTIRILMASI: ANKARA İLİ ÖRNEĞİ

Abstract

Bu araştırmada, ISO27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) sertifikasyon sürecinin tamamlamış kamu kurumlarında kurum personelinin sistem hakkındaki düşüncelerinin incelenmesi amaçlanmıştır. Bu sebeple araştırma kapsamında, “Yönetim Kadrosu”, “BGYS Ekip Üyeleri”, “Kurum Teknik Personeli” ve “Kurum Personeli” gibi dört farklı odak grup üzerinde ilgili gruplar için hazırlanmış farklı anketler uygulanmıştır. Hazırlanan anketlerde 5’li likert ölçeği kullanılmıştır. Likert tipi ölçek sorularında güvenilirlik analizi uygulanmıştır. Yapılan ön çalışmanın analizleri sonucunda anketin güvenilirlik katsayısının kabul edilebilir düzeyde olduğu görülmüştür. Elde edilen verilerde odak gruplarının görüşlerinin belirlenmesi amacıyla frekans ve yüzdelik dağılımları belirlenerek yorumlanmıştır. Elde edilen veriler ışığında, yönetim kadrosunun ISO27001 sertifikasyon sürecini olumlu karşıladığı, kurumsal süreçlerin ve bilgi güvenliğinin sağlanması açısından olumlu katkı sağladığı yönünde görüş birliği olduğu görülmüştür. Diğer taraftan BGYS ekip üyelerinin, ISO27001 süreçlerinin etkin bir şekilde yönetilebilmesi için gereken teknik yeterlilik, eğitim ve sayısal çokluk noktasında takviye ihtiyaçları olduğu yönünde görüş bildirdikleri görülmüştür. Teknik ekip üyelerinin ise ISO27001 süreçlerinin işlerini kolaylaştırdığı ve etkin çalışma yürütülmesine katkı sağladığı yönünde olumlu görüş bildirdikleri fakat teknik yeterlilikler ve sayısal yeterlilik konusunda görüş birliği olmadığı görülmüştür. Kurum personelinin ise ISO27001 kapsamında alınan farkındalık eğitimlerini faydalı olduğu ve BGYS süreçlerinin kurumsal bilgi güvenliği açısından gerekli olduğu yönünde olumlu görüş bildirdikleri görülmüştür.

Kurumsal bir BGYS kurmak, kurulan sitemin sürekliliğini sağlamak, sürekli izlemek ve aksayan yönlerini tespit ederek iyileştirmeler yapmak, bilgi güvenliği farkındalığı oluşturmak, kısacası canlı bir BGYS kurmak ISO27001 belgesi sahibi olmanın olmazsa olmaz şartlarındandır. Bu çalışmanın, kamu kurumlarının kurmuş oldukları BGYS’lerin etkinlik seviyelerine, sahiplenme durumlarına ve teknik yeterliliklerine ışık tutması açısından önemli olduğu düşünülmektedir.

Keywords

e-devlet, Bilgi Güvenliği, ISO27001

References

• Achmadi, D., Suryanto, Y., & Ramli, K. (2018, 12-13 May 2018). On Developing Information Security Management System (ISMS) Framework for ISO 27001-based Data Center. Paper presented at the 2018 International Workshop on Big Data and Information Security (IWBIS), Jakarta, Indonesia.
• Akay, İ. G. (2014). Bilgi güvenliği yönetim sistemleri: Bilgi güvenliği uygulama mülakatları. Bilecik Şey Edebali Üniversitesi, Bilecik.
• Arce, I. (2003). The weakest link revisited [information security]. IEEE Security & Privacy, 1(2), 72-76. doi:10.1109/msecp.2003.1193216
• Asosheh, A., Hajinazari, P., & Khodkari, H. (2013). A practical implementation of ISMS. Paper presented at the 7th International Conference on e-Commerce in Developing Countries:with focus on e-Security, Kish Island, Iran. https://ieeexplore.ieee.org/ielx7/6552353/6556712/06556730.pdf?tp=&arnumber=6556730&isnumber=6556712
• Aydoğmuş, E. (2010). Türkiye'deki organizasyonların bilgi güvenliği olgunluk seviyelerinin belirlenmesi ve ISO/IEC 27001:2005 standardına uyumluluklarının değerlendirilmesi. İstanbul.
• Canbek, G., & Sağıroğlu, Ş. (2006). Bilgi, Bilgi Güvenliği ve Süreçleri Üzerine Bir İnceleme. Politeknik Dergisi, 9(3), 165-174.
• Colwill, C. (2009). Human factors in information security: The insider threat – Who can you trust these days? Information Security Technical Report, 14(4), 186-196. doi:10.1016/j.istr.2010.04.004
• Çek, E. (2017). Kurumsal Bilgi Güvenliği Yönetişimi Ve Bilgi Güvenliği İçin İnsan Faktörünün Önemi. İstanbul Bilgi Üniversitesi, İstanbul.
• Demirtaş, H. (2013). Bilgi Güvenliği Yönetiminin Gerekleri Ve Başarı Dayanakları: Bir Uygulama Örneği. (Yüksek Lisans), Sakarya Üniversitesi.
• Ganbat, O. (2013). Bilgi güvenliği yönetim sistemi ISO/IEC 27001 ve bilgi güvenliği risk yönetimi ISO/IEC 27005 standartlarının uygulanması. (Yüksek Lisans Tezi), İzmir.
• Gencer, K. (2015). ISO 27001 Kapsamında Kurumsal Bilgi Güvenliğine Dinamik Bir Yaklaşım. Afyon Kocatepe Üniversitesi.
• Gikas, C. (2010). A General Comparison of FISMA, HIPAA, ISO 27000 and PCI-DSS Standards. Information Security Journal: A Global Perspective, 19(3), 132-141. doi:10.1080/19393551003657019
• Güldüren, C. (2015). Yükseköğretim Kurumlarındaki Öğretim Elemanlarının Bilgi Güvenliği Farkındalık Düzeylerinin Değerlendirilmesi. (Doktora Tezi), Ankara Üniversitesi, Ankara.
• Gürcan, İ. A. (2014). Finans sektörü için bilgi güvenliği yönetim gereksinimlerinin ISO 27001 tabanlı incelenmesi. İstanbul.
• Haklı, T. (2012). Bilgi Güvenliği Standartları ve Kamu Kurumları Bilgi Güvenliği İçin Bir Model Önerisi. (Yüksek Lisans Tezi), Isparta.
• ISO. (2017). Uluslararası Standart Organizasyonu 2017 İstatistik Raporu. Retrieved from https://isotc.iso.org/livelink/livelink?func=ll&objId=18808772&objAction=browse&viewType=1
• ISO. (2019). Uluslararası Standart Organizayonu Web Sayfası. Retrieved from https://www.iso.org/
• King, K. E. (2017). Examine the relationship between information technology governance, control objectives for information and related technologies, ISO 27001/27002, and risk management. (10256918 Ph.D.), Capella University, Minneapolis, USA. Retrieved from https://search.proquest.com/docview/1877918458?accountid=11054
• http://JJ2EC6WC6Q.search.serialssolutions.com?ctx_ver=Z39.88-2004&ctx_enc=info:ofi/enc:UTF-8&rfr_id=info:sid/ProQuest+Dissertations+%26+Theses+Global&rft_val_fmt=info:ofi/fmt:kev:mtx:dissertation&rft.genre=dissertations+%26+theses&rft.jtitle=&rft.atitle=&rft.au=King%2C+Kenneth+E.&rft.aulast=King&rft.aufirst=Kenneth&rft.date=2017-01-01&rft.volume=&rft.issue=&rft.spage=&rft.isbn=9781369575507&rft.btitle=&rft.title=Examine+the+relationship+between+information+technology+governance%2C+control+objectives+for+information+and+related+technologies%2C+ISO+27001%2F27002%2C+and+risk+management&rft.issn=&rft_id=info:doi/ ProQuest Dissertations & Theses Global database.
• Mete, H. (2010). ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi'nin bilgi işlem merkezlerinde uygulanması. Sakarya.
• Rhodes-Ousley, M. (Ed.) (2013). Information Security, Complete Reference. San Francisco: McGraw-Hill Education.
• Shoraka, B. (2011). An Empirical Investigation of the Economic Value of Information Security Management System Standards. (3456209 Ph.D.), Nova Southeastern University, Florida, USA. Retrieved from https://search.proquest.com/docview/871586434?accountid=11054
• http://JJ2EC6WC6Q.search.serialssolutions.com?ctx_ver=Z39.88-2004&ctx_enc=info:ofi/enc:UTF-8&rfr_id=info:sid/ProQuest+Dissertations+%26+Theses+Global&rft_val_fmt=info:ofi/fmt:kev:mtx:dissertation&rft.genre=dissertations+%26+theses&rft.jtitle=&rft.atitle=&rft.au=Shoraka%2C+Babak&rft.aulast=Shoraka&rft.aufirst=Babak&rft.date=2011-01-01&rft.volume=&rft.issue=&rft.spage=&rft.isbn=9781124655314&rft.btitle=&rft.title=An+Empirical+Investigation+of+the+Economic+Value+of+Information+Security+Management+System+Standards&rft.issn=&rft_id=info:doi/ ProQuest Dissertations & Theses Global database.
• UDHB. (2017). KamuNet Ağına Bağlanma ve KamuNet Ağının Denetimine İlişkin Usul ve Esaslar Hakkında Tebliğ. Retrieved from http://www.resmigazete.gov.tr/eskiler/2017/06/20170621-15.htm
• UHDB. (2016). 2016-2019 Ulusal Siber Güvenlik Stratejisi. Retrieved from http://www.edevlet.gov.tr/wp-content/uploads/2016/07/2016-2019-Ulusal-e-Devlet-Stratejisi-ve-Eylem-Plani.pdf