Research Article
BibTex RIS Cite

INVESTIGATION OF THE IMPLEMENTATION OF ISO27001 INFORMATION SECURITY MANAGEMENT SYSTEM STANDARD ON PUBLIC INSTITUTIONS: CASE OF ANKARA PROVINCE, TURKEY

Year 2019, Volume: 3 Issue: 2, 59 - 78, 29.12.2019
https://doi.org/10.33461/uybisbbd.598989

Abstract



The aim of this research is to
examine the opinions of the personnel of the institution in the public
institutions that have completed the ISO27001 Information Security Management
System (ISMS) certification process. For this reason, in the scope of the
research, different questionnaires were prepared for the related groups on four
different focus groups such as “Management Staff”, “ISMS Team Members”,
”Institution Technical Staff”, ”Institution Staff”. The 5-point Likert scale
was used in the surveys. Reliability analysis was applied in Likert type scale
questions. As a result of the analysis of the preliminary study, it was found
that the reliability coefficient of the questionnaire was acceptable. In order
to determine the opinions of the focus groups, frequency and percentage
distributions were determined and interpreted. In light of the data obtained,
it is seen that the management team has a positive attitude towards the
ISO27001 certification process and in terms of ensuring institutional processes
and information security. On the other hand, it has been observed that ISMS
team members have expressed their opinion on the need for technical
qualification, training and numerical multiplicity in order to manage the
ISO27001 processes effectively. It was observed that the technical team members
gave a positive opinion that the ISO27001 processes facilitated their work and
contributed to the effective execution of the work, but there was no consensus
on technical qualifications and numerical competence. It has been observed that
the staff of the institution have been positive about the awareness trainings
taken within the scope of ISO27001 and that ISMS processes are required for
enterprise information security.

Establishing a corporate ISMS,
ensuring the continuity of the established system, continuously monitoring and
identifying the deficiencies, making improvements, creating information
security awareness, in short, establishing a live ISMS is an indispensable
condition of having ISO27001 certificate. This study is thought to be important
in terms of shedding light on the efficiency levels, ownership and technical
competence of ISMS established by public institutions.




References

  • Achmadi, D., Suryanto, Y., & Ramli, K. (2018, 12-13 May 2018). On Developing Information Security Management System (ISMS) Framework for ISO 27001-based Data Center. Paper presented at the 2018 International Workshop on Big Data and Information Security (IWBIS), Jakarta, Indonesia.
  • Akay, İ. G. (2014). Bilgi güvenliği yönetim sistemleri: Bilgi güvenliği uygulama mülakatları. Bilecik Şey Edebali Üniversitesi, Bilecik.
  • Arce, I. (2003). The weakest link revisited [information security]. IEEE Security & Privacy, 1(2), 72-76. doi:10.1109/msecp.2003.1193216
  • Asosheh, A., Hajinazari, P., & Khodkari, H. (2013). A practical implementation of ISMS. Paper presented at the 7th International Conference on e-Commerce in Developing Countries:with focus on e-Security, Kish Island, Iran. https://ieeexplore.ieee.org/ielx7/6552353/6556712/06556730.pdf?tp=&arnumber=6556730&isnumber=6556712
  • Aydoğmuş, E. (2010). Türkiye'deki organizasyonların bilgi güvenliği olgunluk seviyelerinin belirlenmesi ve ISO/IEC 27001:2005 standardına uyumluluklarının değerlendirilmesi. İstanbul.
  • Canbek, G., & Sağıroğlu, Ş. (2006). Bilgi, Bilgi Güvenliği ve Süreçleri Üzerine Bir İnceleme. Politeknik Dergisi, 9(3), 165-174.
  • Colwill, C. (2009). Human factors in information security: The insider threat – Who can you trust these days? Information Security Technical Report, 14(4), 186-196. doi:10.1016/j.istr.2010.04.004
  • Çek, E. (2017). Kurumsal Bilgi Güvenliği Yönetişimi Ve Bilgi Güvenliği İçin İnsan Faktörünün Önemi. İstanbul Bilgi Üniversitesi, İstanbul.
  • Demirtaş, H. (2013). Bilgi Güvenliği Yönetiminin Gerekleri Ve Başarı Dayanakları: Bir Uygulama Örneği. (Yüksek Lisans), Sakarya Üniversitesi.
  • Ganbat, O. (2013). Bilgi güvenliği yönetim sistemi ISO/IEC 27001 ve bilgi güvenliği risk yönetimi ISO/IEC 27005 standartlarının uygulanması. (Yüksek Lisans Tezi), İzmir.
  • Gencer, K. (2015). ISO 27001 Kapsamında Kurumsal Bilgi Güvenliğine Dinamik Bir Yaklaşım. Afyon Kocatepe Üniversitesi.
  • Gikas, C. (2010). A General Comparison of FISMA, HIPAA, ISO 27000 and PCI-DSS Standards. Information Security Journal: A Global Perspective, 19(3), 132-141. doi:10.1080/19393551003657019
  • Güldüren, C. (2015). Yükseköğretim Kurumlarındaki Öğretim Elemanlarının Bilgi Güvenliği Farkındalık Düzeylerinin Değerlendirilmesi. (Doktora Tezi), Ankara Üniversitesi, Ankara.
  • Gürcan, İ. A. (2014). Finans sektörü için bilgi güvenliği yönetim gereksinimlerinin ISO 27001 tabanlı incelenmesi. İstanbul.
  • Haklı, T. (2012). Bilgi Güvenliği Standartları ve Kamu Kurumları Bilgi Güvenliği İçin Bir Model Önerisi. (Yüksek Lisans Tezi), Isparta.
  • ISO. (2017). Uluslararası Standart Organizasyonu 2017 İstatistik Raporu. Retrieved from https://isotc.iso.org/livelink/livelink?func=ll&objId=18808772&objAction=browse&viewType=1
  • ISO. (2019). Uluslararası Standart Organizayonu Web Sayfası. Retrieved from https://www.iso.org/
  • King, K. E. (2017). Examine the relationship between information technology governance, control objectives for information and related technologies, ISO 27001/27002, and risk management. (10256918 Ph.D.), Capella University, Minneapolis, USA. Retrieved from https://search.proquest.com/docview/1877918458?accountid=11054
  • http://JJ2EC6WC6Q.search.serialssolutions.com?ctx_ver=Z39.88-2004&ctx_enc=info:ofi/enc:UTF-8&rfr_id=info:sid/ProQuest+Dissertations+%26+Theses+Global&rft_val_fmt=info:ofi/fmt:kev:mtx:dissertation&rft.genre=dissertations+%26+theses&rft.jtitle=&rft.atitle=&rft.au=King%2C+Kenneth+E.&rft.aulast=King&rft.aufirst=Kenneth&rft.date=2017-01-01&rft.volume=&rft.issue=&rft.spage=&rft.isbn=9781369575507&rft.btitle=&rft.title=Examine+the+relationship+between+information+technology+governance%2C+control+objectives+for+information+and+related+technologies%2C+ISO+27001%2F27002%2C+and+risk+management&rft.issn=&rft_id=info:doi/ ProQuest Dissertations & Theses Global database.
  • Mete, H. (2010). ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi'nin bilgi işlem merkezlerinde uygulanması. Sakarya.
  • Rhodes-Ousley, M. (Ed.) (2013). Information Security, Complete Reference. San Francisco: McGraw-Hill Education.
  • Shoraka, B. (2011). An Empirical Investigation of the Economic Value of Information Security Management System Standards. (3456209 Ph.D.), Nova Southeastern University, Florida, USA. Retrieved from https://search.proquest.com/docview/871586434?accountid=11054
  • http://JJ2EC6WC6Q.search.serialssolutions.com?ctx_ver=Z39.88-2004&ctx_enc=info:ofi/enc:UTF-8&rfr_id=info:sid/ProQuest+Dissertations+%26+Theses+Global&rft_val_fmt=info:ofi/fmt:kev:mtx:dissertation&rft.genre=dissertations+%26+theses&rft.jtitle=&rft.atitle=&rft.au=Shoraka%2C+Babak&rft.aulast=Shoraka&rft.aufirst=Babak&rft.date=2011-01-01&rft.volume=&rft.issue=&rft.spage=&rft.isbn=9781124655314&rft.btitle=&rft.title=An+Empirical+Investigation+of+the+Economic+Value+of+Information+Security+Management+System+Standards&rft.issn=&rft_id=info:doi/ ProQuest Dissertations & Theses Global database.
  • UDHB. (2017). KamuNet Ağına Bağlanma ve KamuNet Ağının Denetimine İlişkin Usul ve Esaslar Hakkında Tebliğ. Retrieved from http://www.resmigazete.gov.tr/eskiler/2017/06/20170621-15.htm
  • UHDB. (2016). 2016-2019 Ulusal Siber Güvenlik Stratejisi. Retrieved from http://www.edevlet.gov.tr/wp-content/uploads/2016/07/2016-2019-Ulusal-e-Devlet-Stratejisi-ve-Eylem-Plani.pdf

ISO27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ STANDARDININ KAMU KURUMLARINA UYGULANABİLİRLİĞİNİN ARAŞTIRILMASI: ANKARA İLİ ÖRNEĞİ

Year 2019, Volume: 3 Issue: 2, 59 - 78, 29.12.2019
https://doi.org/10.33461/uybisbbd.598989

Abstract



Bu
araştırmada, ISO27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) sertifikasyon
sürecinin tamamlamış kamu kurumlarında kurum personelinin sistem hakkındaki
düşüncelerinin incelenmesi amaçlanmıştır. Bu sebeple araştırma kapsamında,
“Yönetim Kadrosu”, “BGYS Ekip Üyeleri”, “Kurum Teknik Personeli” ve “Kurum
Personeli” gibi dört farklı odak grup üzerinde ilgili gruplar için hazırlanmış
farklı anketler uygulanmıştır. Hazırlanan anketlerde
5’li likert ölçeği kullanılmıştır. Likert tipi ölçek
sorularında güvenilirlik analizi uygulanmıştır. Yapılan ön çalışmanın
analizleri sonucunda anketin güvenilirlik katsayısının kabul edilebilir düzeyde
olduğu görülmüştür. Elde edilen verilerde odak gruplarının görüşlerinin
belirlenmesi amacıyla frekans ve yüzdelik dağılımları belirlenerek
yorumlanmıştır.

Elde edilen veriler ışığında, yönetim kadrosunun ISO27001 sertifikasyon
sürecini olumlu karşıladığı, kurumsal süreçlerin ve bilgi güvenliğinin
sağlanması açısından olumlu katkı sağladığı yönünde görüş birliği olduğu
görülmüştür. Diğer taraftan BGYS ekip üyelerinin, ISO27001 süreçlerinin etkin
bir şekilde yönetilebilmesi için gereken teknik yeterlilik, eğitim ve sayısal
çokluk noktasında takviye ihtiyaçları olduğu yönünde görüş bildirdikleri
görülmüştür. Teknik ekip üyelerinin ise ISO27001 süreçlerinin işlerini
kolaylaştırdığı ve etkin çalışma yürütülmesine katkı sağladığı yönünde olumlu
görüş bildirdikleri fakat teknik yeterlilikler ve sayısal yeterlilik konusunda
görüş birliği olmadığı görülmüştür. Kurum personelinin ise ISO27001 kapsamında
alınan farkındalık eğitimlerini faydalı olduğu ve BGYS süreçlerinin kurumsal
bilgi güvenliği açısından gerekli olduğu yönünde olumlu görüş bildirdikleri
görülmüştür.



Kurumsal
bir BGYS kurmak, kurulan sitemin sürekliliğini sağlamak, sürekli izlemek ve
aksayan yönlerini tespit ederek iyileştirmeler yapmak, bilgi güvenliği
farkındalığı oluşturmak, kısacası canlı bir BGYS kurmak ISO27001 belgesi sahibi
olmanın olmazsa olmaz şartlarındandır. Bu çalışmanın, kamu kurumlarının kurmuş
oldukları BGYS’lerin etkinlik seviyelerine, sahiplenme durumlarına ve teknik
yeterliliklerine ışık tutması açısından önemli olduğu düşünülmektedir.

References

  • Achmadi, D., Suryanto, Y., & Ramli, K. (2018, 12-13 May 2018). On Developing Information Security Management System (ISMS) Framework for ISO 27001-based Data Center. Paper presented at the 2018 International Workshop on Big Data and Information Security (IWBIS), Jakarta, Indonesia.
  • Akay, İ. G. (2014). Bilgi güvenliği yönetim sistemleri: Bilgi güvenliği uygulama mülakatları. Bilecik Şey Edebali Üniversitesi, Bilecik.
  • Arce, I. (2003). The weakest link revisited [information security]. IEEE Security & Privacy, 1(2), 72-76. doi:10.1109/msecp.2003.1193216
  • Asosheh, A., Hajinazari, P., & Khodkari, H. (2013). A practical implementation of ISMS. Paper presented at the 7th International Conference on e-Commerce in Developing Countries:with focus on e-Security, Kish Island, Iran. https://ieeexplore.ieee.org/ielx7/6552353/6556712/06556730.pdf?tp=&arnumber=6556730&isnumber=6556712
  • Aydoğmuş, E. (2010). Türkiye'deki organizasyonların bilgi güvenliği olgunluk seviyelerinin belirlenmesi ve ISO/IEC 27001:2005 standardına uyumluluklarının değerlendirilmesi. İstanbul.
  • Canbek, G., & Sağıroğlu, Ş. (2006). Bilgi, Bilgi Güvenliği ve Süreçleri Üzerine Bir İnceleme. Politeknik Dergisi, 9(3), 165-174.
  • Colwill, C. (2009). Human factors in information security: The insider threat – Who can you trust these days? Information Security Technical Report, 14(4), 186-196. doi:10.1016/j.istr.2010.04.004
  • Çek, E. (2017). Kurumsal Bilgi Güvenliği Yönetişimi Ve Bilgi Güvenliği İçin İnsan Faktörünün Önemi. İstanbul Bilgi Üniversitesi, İstanbul.
  • Demirtaş, H. (2013). Bilgi Güvenliği Yönetiminin Gerekleri Ve Başarı Dayanakları: Bir Uygulama Örneği. (Yüksek Lisans), Sakarya Üniversitesi.
  • Ganbat, O. (2013). Bilgi güvenliği yönetim sistemi ISO/IEC 27001 ve bilgi güvenliği risk yönetimi ISO/IEC 27005 standartlarının uygulanması. (Yüksek Lisans Tezi), İzmir.
  • Gencer, K. (2015). ISO 27001 Kapsamında Kurumsal Bilgi Güvenliğine Dinamik Bir Yaklaşım. Afyon Kocatepe Üniversitesi.
  • Gikas, C. (2010). A General Comparison of FISMA, HIPAA, ISO 27000 and PCI-DSS Standards. Information Security Journal: A Global Perspective, 19(3), 132-141. doi:10.1080/19393551003657019
  • Güldüren, C. (2015). Yükseköğretim Kurumlarındaki Öğretim Elemanlarının Bilgi Güvenliği Farkındalık Düzeylerinin Değerlendirilmesi. (Doktora Tezi), Ankara Üniversitesi, Ankara.
  • Gürcan, İ. A. (2014). Finans sektörü için bilgi güvenliği yönetim gereksinimlerinin ISO 27001 tabanlı incelenmesi. İstanbul.
  • Haklı, T. (2012). Bilgi Güvenliği Standartları ve Kamu Kurumları Bilgi Güvenliği İçin Bir Model Önerisi. (Yüksek Lisans Tezi), Isparta.
  • ISO. (2017). Uluslararası Standart Organizasyonu 2017 İstatistik Raporu. Retrieved from https://isotc.iso.org/livelink/livelink?func=ll&objId=18808772&objAction=browse&viewType=1
  • ISO. (2019). Uluslararası Standart Organizayonu Web Sayfası. Retrieved from https://www.iso.org/
  • King, K. E. (2017). Examine the relationship between information technology governance, control objectives for information and related technologies, ISO 27001/27002, and risk management. (10256918 Ph.D.), Capella University, Minneapolis, USA. Retrieved from https://search.proquest.com/docview/1877918458?accountid=11054
  • http://JJ2EC6WC6Q.search.serialssolutions.com?ctx_ver=Z39.88-2004&ctx_enc=info:ofi/enc:UTF-8&rfr_id=info:sid/ProQuest+Dissertations+%26+Theses+Global&rft_val_fmt=info:ofi/fmt:kev:mtx:dissertation&rft.genre=dissertations+%26+theses&rft.jtitle=&rft.atitle=&rft.au=King%2C+Kenneth+E.&rft.aulast=King&rft.aufirst=Kenneth&rft.date=2017-01-01&rft.volume=&rft.issue=&rft.spage=&rft.isbn=9781369575507&rft.btitle=&rft.title=Examine+the+relationship+between+information+technology+governance%2C+control+objectives+for+information+and+related+technologies%2C+ISO+27001%2F27002%2C+and+risk+management&rft.issn=&rft_id=info:doi/ ProQuest Dissertations & Theses Global database.
  • Mete, H. (2010). ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi'nin bilgi işlem merkezlerinde uygulanması. Sakarya.
  • Rhodes-Ousley, M. (Ed.) (2013). Information Security, Complete Reference. San Francisco: McGraw-Hill Education.
  • Shoraka, B. (2011). An Empirical Investigation of the Economic Value of Information Security Management System Standards. (3456209 Ph.D.), Nova Southeastern University, Florida, USA. Retrieved from https://search.proquest.com/docview/871586434?accountid=11054
  • http://JJ2EC6WC6Q.search.serialssolutions.com?ctx_ver=Z39.88-2004&ctx_enc=info:ofi/enc:UTF-8&rfr_id=info:sid/ProQuest+Dissertations+%26+Theses+Global&rft_val_fmt=info:ofi/fmt:kev:mtx:dissertation&rft.genre=dissertations+%26+theses&rft.jtitle=&rft.atitle=&rft.au=Shoraka%2C+Babak&rft.aulast=Shoraka&rft.aufirst=Babak&rft.date=2011-01-01&rft.volume=&rft.issue=&rft.spage=&rft.isbn=9781124655314&rft.btitle=&rft.title=An+Empirical+Investigation+of+the+Economic+Value+of+Information+Security+Management+System+Standards&rft.issn=&rft_id=info:doi/ ProQuest Dissertations & Theses Global database.
  • UDHB. (2017). KamuNet Ağına Bağlanma ve KamuNet Ağının Denetimine İlişkin Usul ve Esaslar Hakkında Tebliğ. Retrieved from http://www.resmigazete.gov.tr/eskiler/2017/06/20170621-15.htm
  • UHDB. (2016). 2016-2019 Ulusal Siber Güvenlik Stratejisi. Retrieved from http://www.edevlet.gov.tr/wp-content/uploads/2016/07/2016-2019-Ulusal-e-Devlet-Stratejisi-ve-Eylem-Plani.pdf
There are 25 citations in total.

Details

Primary Language Turkish
Subjects Computer Software
Journal Section Articles
Authors

Hüseyin Çakır 0000-0001-9424-2323

Mehmet Tuygun This is me

Publication Date December 29, 2019
Published in Issue Year 2019 Volume: 3 Issue: 2

Cite

APA Çakır, H., & Tuygun, M. (2019). ISO27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ STANDARDININ KAMU KURUMLARINA UYGULANABİLİRLİĞİNİN ARAŞTIRILMASI: ANKARA İLİ ÖRNEĞİ. International Journal of Management Information Systems and Computer Science, 3(2), 59-78. https://doi.org/10.33461/uybisbbd.598989