Öz
Çalışmada, bilgi çağında yaşadığımız bu dönemde en önemli gereklilik haline gelmiş bilgi güvenliğinin bilgi sistemleri ile entegre edilmesi üzerine çalışılmıştır. Sürekliliğe ihtiyaç duyulan bu süreçte maksimum fayda sağlanacak şekilde tasarlanabilmesi için bir yazılım önerilmiştir. Bu uygulamada ISO 27001 bilgi güvenliği yönetimi sistemi standardının maddelerine cevap verebilecek nitelikte modüler bir yapı oluşturulmuş ve kullanıcı dostu bir yazılım uygulaması geliştirilmiştir. Uygulama içerisinde ki varlık yönetimi, risk yönetimi, tedarikçi yönetimi, envanter yönetimi, bakım yönetimi, düzeltici iyileştirici faaliyetler, olay yönetimi, eğitim ve hatırlatma modülleri ile bilgi güvenliği yönetim sistemi kurulum aşamasında ihtiyaç duyulan bütün ana süreçlerin elektronik ortama taşınmasını amaçlamıştır. Geliştirilen uygulama sayesinde bilgi güvenliği yönetimi sürecindeki kâğıt ya da elektronik ortamda yürütülen süreçler ya da yapılan işler uygulama üzerinden takip edilerek her an gözlemlenebilir duruma gelecek ve kurumun kendi durumuyla ilgili sonuca tek bir ara yüzden ulaşabilmesi sağlanacaktır. Ayrıca geliştirilen kullanıcı dostu ara yüzlerle minimum düzeyde bir eforla beklenilen işin gerçekleştirilmesi ve bu süreçte de insan hatasından en az seviyede zarar görülmesi sağlanacaktır.
Anahtar Kelimeler
bilgi güvenliği yönetim sistemi BGYS iso27001 risk yönetimi varlık yönetimi
Kaynakça
- [1] Y. Rezgui, A. Marks, “Information security awareness in higher education: An exploratory study”, Comput. Secur., 27(7-8), 241-253, 2008.
- [2] V. Evrin, M. Demirer, “Kurumsal Bilgi Güvenliği Süreç Çalışmaları: ISO/IEC-27001 Örneği”, IV. Ağ Ve Bilgi Güvenliği Sempozyumu, 25-30, 2011.
- [3] Internet: Türk Standartları Enstitüsü, “TS EN ISO/IEC 27001:2013”, https://www.tse.org.tr/IcerikDetay?ID=2311, 07.07.2020
- [4] Internet: Resmi Gazete, “Kamunet Ağına Bağlanma Ve Kamunet Ağının Denetimine İlişkin Usul Ve Esaslar Hakkında Tebliğ”, https://www.resmigazete.gov.tr/eskiler/2017/06/20170621-15.htm, 07.07.2020
- [5] F. Çalıkuşu et al., “Risk Management Model Within Information Security Management System.”, III. Istanbul Informatics Congress, 2009
- [6] İ. Durankaya et al., “ISO27001 Bilgi Güvenliği Yönetim Sisteminde Risk Analizi”, 5th International Management Information Systems Conference, 29-33, 2018.
- [7] S. Gönen, M. Rasgen, “Sürekli Denetim Sisteminin Bir Yazılım Programında Uygulanabilirliğine İlişkin Örnek Olay Çalışması”, International Journal of Alanya Faculty of Business, 7(1), 181-191, 2015.
- [8] E. Dayıoğlu, “Kamu İdarelerinde Bilgi Sistemi Güvenlik Risklerinin Yönetimi”, Denetişim, 4, 71–81, 2010.
- [9] S. Uğuz, “Kurumsal Bilgi Güvenliği Yönetim Sistemi Yazilimlari: Örnek Bir Yazilim Geliştirilmesi”, Uluslararası Yönetim Bilişim Sistemleri ve Bilgisayar Bilimleri Dergisi, 2(1), 1-11, 2018.
- [10] M. Tuygun, “ISO/IEC 27001 Bilgi Güvenliği Yönetim Sisteminin Kamu Kurumlarına Uygulanabilirliğinin İncelenmesi”, 5th International Management Information Systems Conference, 25-27, 2018.
- [11] L. Nikolić, B., Ružić-Dimitrijević, “Risk Assessment of Information Technology Systems”, Issues Informing Sci. Inf. Technol., 6, 595-615, 2009.
- [12] S. Alhawari et al., “Knowledge-based risk management framework for information technology project”, Int. J. Inf. Manage., 32(1), 50–65, 2012.
- [13] Y. Y. İleri, “Örgütlerde Bilgi Güvenliği Yönetimi, Kurumsal Entegrasyon Süreci ve Örnek Bir Uygulama”, Anadolu Üniversitesi Sos. Bilim. Derg., 17(4), 55–72, 2016.
- [14] V. Marttin, İ. Pehlivan, “Iso 270012005 Bilgi Güvenliği Yönetimi Standardı ve Türkiye’deki Bazı Kamu Kuruluşu Uygulamaları Üzerine Bir İnceleme”, Mühendislik Bilimleri ve Tasarım Dergisi, 1(1),49-56, 2010.
- [15] H. Yılmaz, “TS ISO/IEC 27001 Bilgi Güvenliği Yönetimi Standardi Kapsaminda Bilgi Güvenliği Yönetim Sisteminin Kurulması Ve Bilgi Güvenliği Risk”, Denetişim, 15, 45–59, 2014.
- [16] H. Keser, C. Güldüren, “Bilgi Güvenliği Farkindalik Ölçeği (BGFÖ) Geliştirme”, Kastamonu Eğitim Dergisi, 20(3), 1167–1184, 2015.
- [17] H. Koçak, K. Memiş, “Bilgi Toplumunda Korku: Bilgi Güvenliği ve Risk Toplumu.”, Afyon Kocatepe Univ. J. Soc. Sci., 20(3), 1-10, 2018.
- [18] E. Çek, Kurumsal bilgi güvenliği yönetişimi ve bilgi güvenliği için insan faktörünün önemi, Yüksek Lisans Tezi, İstanbul Bilgi Üniversitesi, Sosyal Bilimler Enstitüsü, 2017.
- [19] D. Baccarini et al., “Management of risks in information technology projects”, Industrial Management and Data Systems, 104(3), 286–295, 2004.
- [20] A. Vildan, “Bilişim Teknolojileri Risk Yönetimi ve Yöntemleri Üzerine Bir Değerlendirme”, 3. Uluslararası Yönetim Bilişim Sistemleri Konferansı,1-14, 2016.
- [21] G. Canbek, Ş. Sağıroğlu, “Bilgi, bilgi güvenliği ve süreçleri üzerine bir inceleme”, Politek. Derg. J. Polytech., 9(3), 165–174, 2006.
Öz
In this study, it has been worked on the integration of information security, which has become the most important requirement in this period we live in the information age, with information systems. A software has been proposed so that it can be designed in a way that provides maximum benefit in this process that requires continuity. In this application, a modular structure that can respond to the provisions of the ISO 27001 information security management system standard has been created and a user-friendly software application has been developed. Asset management, risk management, supplier management, inventory management, maintenance management, corrective and remedial activities, incident management, training and reminder modules within the application aim to transfer all the main processes needed during the information security management system setup to the electronic environment. Thanks to the developed application, the processes carried out in the paper or electronic environment in the information security management process or the work done will be monitored through the application, and it will be observable at any time and the institution will be able to reach the result about its own situation from a single interface. In addition, with the user-friendly interfaces developed, it will be ensured that the expected work is carried out with minimum effort and the least damage from human error in the process will be ensured.
Anahtar Kelimeler
information security management system ISMS ISO27001 risk management asset management
Kaynakça
- [1] Y. Rezgui, A. Marks, “Information security awareness in higher education: An exploratory study”, Comput. Secur., 27(7-8), 241-253, 2008.
- [2] V. Evrin, M. Demirer, “Kurumsal Bilgi Güvenliği Süreç Çalışmaları: ISO/IEC-27001 Örneği”, IV. Ağ Ve Bilgi Güvenliği Sempozyumu, 25-30, 2011.
- [3] Internet: Türk Standartları Enstitüsü, “TS EN ISO/IEC 27001:2013”, https://www.tse.org.tr/IcerikDetay?ID=2311, 07.07.2020
- [4] Internet: Resmi Gazete, “Kamunet Ağına Bağlanma Ve Kamunet Ağının Denetimine İlişkin Usul Ve Esaslar Hakkında Tebliğ”, https://www.resmigazete.gov.tr/eskiler/2017/06/20170621-15.htm, 07.07.2020
- [5] F. Çalıkuşu et al., “Risk Management Model Within Information Security Management System.”, III. Istanbul Informatics Congress, 2009
- [6] İ. Durankaya et al., “ISO27001 Bilgi Güvenliği Yönetim Sisteminde Risk Analizi”, 5th International Management Information Systems Conference, 29-33, 2018.
- [7] S. Gönen, M. Rasgen, “Sürekli Denetim Sisteminin Bir Yazılım Programında Uygulanabilirliğine İlişkin Örnek Olay Çalışması”, International Journal of Alanya Faculty of Business, 7(1), 181-191, 2015.
- [8] E. Dayıoğlu, “Kamu İdarelerinde Bilgi Sistemi Güvenlik Risklerinin Yönetimi”, Denetişim, 4, 71–81, 2010.
- [9] S. Uğuz, “Kurumsal Bilgi Güvenliği Yönetim Sistemi Yazilimlari: Örnek Bir Yazilim Geliştirilmesi”, Uluslararası Yönetim Bilişim Sistemleri ve Bilgisayar Bilimleri Dergisi, 2(1), 1-11, 2018.
- [10] M. Tuygun, “ISO/IEC 27001 Bilgi Güvenliği Yönetim Sisteminin Kamu Kurumlarına Uygulanabilirliğinin İncelenmesi”, 5th International Management Information Systems Conference, 25-27, 2018.
- [11] L. Nikolić, B., Ružić-Dimitrijević, “Risk Assessment of Information Technology Systems”, Issues Informing Sci. Inf. Technol., 6, 595-615, 2009.
- [12] S. Alhawari et al., “Knowledge-based risk management framework for information technology project”, Int. J. Inf. Manage., 32(1), 50–65, 2012.
- [13] Y. Y. İleri, “Örgütlerde Bilgi Güvenliği Yönetimi, Kurumsal Entegrasyon Süreci ve Örnek Bir Uygulama”, Anadolu Üniversitesi Sos. Bilim. Derg., 17(4), 55–72, 2016.
- [14] V. Marttin, İ. Pehlivan, “Iso 270012005 Bilgi Güvenliği Yönetimi Standardı ve Türkiye’deki Bazı Kamu Kuruluşu Uygulamaları Üzerine Bir İnceleme”, Mühendislik Bilimleri ve Tasarım Dergisi, 1(1),49-56, 2010.
- [15] H. Yılmaz, “TS ISO/IEC 27001 Bilgi Güvenliği Yönetimi Standardi Kapsaminda Bilgi Güvenliği Yönetim Sisteminin Kurulması Ve Bilgi Güvenliği Risk”, Denetişim, 15, 45–59, 2014.
- [16] H. Keser, C. Güldüren, “Bilgi Güvenliği Farkindalik Ölçeği (BGFÖ) Geliştirme”, Kastamonu Eğitim Dergisi, 20(3), 1167–1184, 2015.
- [17] H. Koçak, K. Memiş, “Bilgi Toplumunda Korku: Bilgi Güvenliği ve Risk Toplumu.”, Afyon Kocatepe Univ. J. Soc. Sci., 20(3), 1-10, 2018.
- [18] E. Çek, Kurumsal bilgi güvenliği yönetişimi ve bilgi güvenliği için insan faktörünün önemi, Yüksek Lisans Tezi, İstanbul Bilgi Üniversitesi, Sosyal Bilimler Enstitüsü, 2017.
- [19] D. Baccarini et al., “Management of risks in information technology projects”, Industrial Management and Data Systems, 104(3), 286–295, 2004.
- [20] A. Vildan, “Bilişim Teknolojileri Risk Yönetimi ve Yöntemleri Üzerine Bir Değerlendirme”, 3. Uluslararası Yönetim Bilişim Sistemleri Konferansı,1-14, 2016.
- [21] G. Canbek, Ş. Sağıroğlu, “Bilgi, bilgi güvenliği ve süreçleri üzerine bir inceleme”, Politek. Derg. J. Polytech., 9(3), 165–174, 2006.
Ayrıntılar
| Birincil Dil | Türkçe |
|---|---|
| Konular | Bilgisayar Yazılımı |
| Bölüm | Makaleler |
| Yazarlar | |
| Yayımlanma Tarihi | 31 Temmuz 2021 |
| Gönderilme Tarihi | 9 Temmuz 2020 |
| Yayımlandığı Sayı | Yıl 2021 Cilt: 14 Sayı: 3 |
