KAMU İDARELERİNDE BİLGİ SİSTEMİ GÜVENLİK RİSKLERİNİN YÖNETİMİ

Öz

Bilgi sistemleri kurumların hedeflerine ulaşmasında ve bilginin doğru, güvenilir ve hızlı bir şekilde kullanılmasında etkinlik sağlamakta ve gün geçtikçe kurumsal fonksiyonların bilgi sistemleri olmadan yürütülmesi imkânsız hale gelmektedir. Bilgi sistemi güvenlik risklerine karşı uygun kontrol önlemleri geliştirilmediği takdirde bilgi sistemi kaynaklı hatalar, büyük itibar ve maddi kayıplara yol açabilmekte ve kritik kurumsal fonksiyonların yerine getirilmesini engelleyebilmektedir. Bu nedenle bilgi sistemleri süreçlerinin farklı bir yaklaşımla ele alınması, bilgi sistemi biriminin önceden tanımlı ve kontrol altında tutulan süreçlerle yönetilmesi ve düzenli olarak kontrollere tabi tutulması önem arz etmektedir. Bu nedenle bilgi sistemlerindeki güvenlik riskleri yönetilirken; dünya genelinde kullanılan ve ortak lisan olarak kabul gören uluslararası standartlardan, metotlardan, modellerden ve çerçevelerden yararlanılmalıdır. Bu çalışmada bilgi sistemleri güvenlik riskleri; bilgi güvenliği, mantıksal erişim ve fiziksel erişim riskleri olarak üç ayrı başlık altında incelenmiş ve bu risklere karşı risk yönetimi metoduna uygun olarak öneriler geliştirilmiştir. Belirtilen riskler ve önerilen kontrol önlemleri ile ilgili olarak, bu alanda görev yapan yöneticiler ve çalışanlar düzeyinde farkındalık yaratılacağı ve önerilerin kamu idarelerinin bilgi sistemi güvenlik risklerinin yönetiminde etkin bir şekilde kullanılabileceği değerlendirilmektedir

Anahtar Kelimeler

• Bilgi güvenliği, mantıksal erişim, fiziksel erişim, risk, kontrol, risk yönetimi

Kaynakça

1. AKIN, H.Bahadır: Bilişim Teknolojileri Evrimi ve Bilişim Teknolojilerinin Çağdaş İşletmelerde Stratejik Yönetim Üzerindeki Etkileri.
2. ATAN, Murat: Risk Yönetimi ve Türk Bankacılık Sektöründe Bir Uygulama, Doktora Tezi, Ankara 2002.
3. BGYS Risk Yönetimi Süreci Kılavuzu, TUBİTAK, Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü, 2007.
4. Bilgi Güvenliği Politikası Oluşturma Kılavuzu, TUBİTAK, Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü, Mart 2008.
5. CEVHER, Ezgi: Bilişim Teknolojileriyle Yaratılan Yeni Bir Yaklaşım: Yönetişim, Gazi Üniversitesi, MBA, 2003.
6. ÇALIKUŞU, Faruk / KARAMEHMET, Bilge/ DENİZCİ, Ömer Mert: Bilgi Güvenliği Yönetim Sistemi Kapsamında Risk Yönetim Modeli. (senkronbilisim.net/BGYS.pdf)
7. ÇAYIR, Sinan / GÜNEŞ, Asım / BÜK, Ozan: Türkiye’deki Kamu Kurumlarında Bilişim Teknolojileri Yönetimi, Akademik Bilişim, Ocak-Şubat 2008, s. 541-544.
8. DERİCİ, Onur, TÜYSÜZ, Zekeriya, SARI Aydın: Kurumsal Risk Yönetimi ve Sayıştay Uygulaması, Sayıştay Dergisi, S. 65, s. 151-172.

9. Devlet Planlama Teşkilatı, 8. Beş Yıllık Kalkınma Planı, Bilişim Teknolojileri ve Politikaları Özel İhtisas Komisyonu Raporu, Ankara 2001.
10. Devlet Planlama Teşkilatı, Bilgi Toplumu Stratejisi (2006-2010).
11. Devlet Planlama Teşkilatı, Bilgi Toplumu Stratejisi Eylem Planı (2006-2010).
12. Devlet Planlama Teşkilatı, e-Dönüşüm Türkiye Projesi, Birlikte Çalışabilirlik Esasları Rehberi.
13. Devlet Planlama Teşkilatı, Kamu Bilgi ve İletişim Teknolojisi Projeleri Hazırlama Kılavuzu, Temmuz 2009.
14. KUMAŞ, Erhan: Kurumlarüstü Bilgi Güvenliği Stratejisi.
15. KUMAŞ, Erhan: e-Devlet Kapısı ve Risk Değerlendirme Metodolojisi.
16. OECD Bilgi Sistemlerinin Güvenliğine İlişkin Rehber İlkeleri, [C (2002/131 FINAL]
17. ÖZBİLGİN, İzzet Gökhan: Bilgi Teknolojileri Denetimi ve Uluslararası Standartlar, Sayıştay Dergisi, S.49, s. 123-128.
18. SOĞUKPINAR, İ: Veri ve Ağ Güvenliği Ders Notları.
19. Sayıştay Başkanlığı: Hazine Bilişim Sistemleri Denetimi Raporu, Ekim 2003.
20. TBB Çalışma Grubu,: Risk Yönetimi Prensipleri, Bankacılar Dergisi, 2006, S. 57, s.15-32.
21. TEKTAŞ, Halil: Kamu İdarelerinde Kurumsal Risk Yönetim Sistemi, Mali Hukuk, sayı:138, Kasım-Aralık 2008, s. 26-41.
22. Türkiye Bilişim Derneği: Bilişim Teknolojilerinde Risk Yönetimi, 2. Çalışma Grubu Raporu, Mart 2006.
23. Türkiye Bilişim Derneği: Bilgi Teknolojilerinde Yönetişim, 1. Çalışma Grubu Raporu, Nisan 2008.
24. Türkiye Bilişim Derneği: Kuruluşlarda Bilgi Güvenliği Yönetim Sistemi Uygulamasında ISO/IEC 27001:2005, 1. Çalışma Grubu Raporu, Nisan 2008.
25. UZUNAY, Vildan: COBİT (Bilgi ve İlgili Teknolojiler için Kontrol Hedefleri - Control Objectives for Information and Related Technology), (www.bumko.gov.tr/KONTROL/Genel/dg.ashx?...DIL=1...COBIT... )
26. Veri Yedekleme Kılavuzu, TUBİTAK, Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü, Ocak 2008.
27. VURAL, Yılmaz / SAĞIROĞLU, Şeref: Kurumsal Bilgi Güvenliği ve Standartları Üzerine Bir İnceleme, G.Ü.,Müh., Mim.Fak.Der., 2008, C. 23, s. 507-522