ISO27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ STANDARDININ KAMU KURUMLARINA UYGULANABİLİRLİĞİNİN ARAŞTIRILMASI: ANKARA İLİ ÖRNEĞİ

Hüseyin Çakır; Mehmet Tuygun

doi:10.33461/uybisbbd.598989

EN TR

INVESTIGATION OF THE IMPLEMENTATION OF ISO27001 INFORMATION SECURITY MANAGEMENT SYSTEM STANDARD ON PUBLIC INSTITUTIONS: CASE OF ANKARA PROVINCE, TURKEY

Öz

The aim of this research is to examine the opinions of the personnel of the institution in the public institutions that have completed the ISO27001 Information Security Management System (ISMS) certification process. For this reason, in the scope of the research, different questionnaires were prepared for the related groups on four different focus groups such as “Management Staff”, “ISMS Team Members”, ”Institution Technical Staff”, ”Institution Staff”. The 5-point Likert scale was used in the surveys. Reliability analysis was applied in Likert type scale questions. As a result of the analysis of the preliminary study, it was found that the reliability coefficient of the questionnaire was acceptable. In order to determine the opinions of the focus groups, frequency and percentage distributions were determined and interpreted. In light of the data obtained, it is seen that the management team has a positive attitude towards the ISO27001 certification process and in terms of ensuring institutional processes and information security. On the other hand, it has been observed that ISMS team members have expressed their opinion on the need for technical qualification, training and numerical multiplicity in order to manage the ISO27001 processes effectively. It was observed that the technical team members gave a positive opinion that the ISO27001 processes facilitated their work and contributed to the effective execution of the work, but there was no consensus on technical qualifications and numerical competence. It has been observed that the staff of the institution have been positive about the awareness trainings taken within the scope of ISO27001 and that ISMS processes are required for enterprise information security.

Establishing a corporate ISMS, ensuring the continuity of the established system, continuously monitoring and identifying the deficiencies, making improvements, creating information security awareness, in short, establishing a live ISMS is an indispensable condition of having ISO27001 certificate. This study is thought to be important in terms of shedding light on the efficiency levels, ownership and technical competence of ISMS established by public institutions.

Anahtar Kelimeler

e-government,Informatıon Security,ISO27001

ISO27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ STANDARDININ KAMU KURUMLARINA UYGULANABİLİRLİĞİNİN ARAŞTIRILMASI: ANKARA İLİ ÖRNEĞİ

Öz

Bu araştırmada, ISO27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) sertifikasyon sürecinin tamamlamış kamu kurumlarında kurum personelinin sistem hakkındaki düşüncelerinin incelenmesi amaçlanmıştır. Bu sebeple araştırma kapsamında, “Yönetim Kadrosu”, “BGYS Ekip Üyeleri”, “Kurum Teknik Personeli” ve “Kurum Personeli” gibi dört farklı odak grup üzerinde ilgili gruplar için hazırlanmış farklı anketler uygulanmıştır. Hazırlanan anketlerde 5’li likert ölçeği kullanılmıştır. Likert tipi ölçek sorularında güvenilirlik analizi uygulanmıştır. Yapılan ön çalışmanın analizleri sonucunda anketin güvenilirlik katsayısının kabul edilebilir düzeyde olduğu görülmüştür. Elde edilen verilerde odak gruplarının görüşlerinin belirlenmesi amacıyla frekans ve yüzdelik dağılımları belirlenerek yorumlanmıştır. Elde edilen veriler ışığında, yönetim kadrosunun ISO27001 sertifikasyon sürecini olumlu karşıladığı, kurumsal süreçlerin ve bilgi güvenliğinin sağlanması açısından olumlu katkı sağladığı yönünde görüş birliği olduğu görülmüştür. Diğer taraftan BGYS ekip üyelerinin, ISO27001 süreçlerinin etkin bir şekilde yönetilebilmesi için gereken teknik yeterlilik, eğitim ve sayısal çokluk noktasında takviye ihtiyaçları olduğu yönünde görüş bildirdikleri görülmüştür. Teknik ekip üyelerinin ise ISO27001 süreçlerinin işlerini kolaylaştırdığı ve etkin çalışma yürütülmesine katkı sağladığı yönünde olumlu görüş bildirdikleri fakat teknik yeterlilikler ve sayısal yeterlilik konusunda görüş birliği olmadığı görülmüştür. Kurum personelinin ise ISO27001 kapsamında alınan farkındalık eğitimlerini faydalı olduğu ve BGYS süreçlerinin kurumsal bilgi güvenliği açısından gerekli olduğu yönünde olumlu görüş bildirdikleri görülmüştür.

Kurumsal bir BGYS kurmak, kurulan sitemin sürekliliğini sağlamak, sürekli izlemek ve aksayan yönlerini tespit ederek iyileştirmeler yapmak, bilgi güvenliği farkındalığı oluşturmak, kısacası canlı bir BGYS kurmak ISO27001 belgesi sahibi olmanın olmazsa olmaz şartlarındandır. Bu çalışmanın, kamu kurumlarının kurmuş oldukları BGYS’lerin etkinlik seviyelerine, sahiplenme durumlarına ve teknik yeterliliklerine ışık tutması açısından önemli olduğu düşünülmektedir.

Anahtar Kelimeler

e-devlet,Bilgi Güvenliği,ISO27001

Kaynakça

Achmadi, D., Suryanto, Y., & Ramli, K. (2018, 12-13 May 2018). On Developing Information Security Management System (ISMS) Framework for ISO 27001-based Data Center. Paper presented at the 2018 International Workshop on Big Data and Information Security (IWBIS), Jakarta, Indonesia.
Akay, İ. G. (2014). Bilgi güvenliği yönetim sistemleri: Bilgi güvenliği uygulama mülakatları. Bilecik Şey Edebali Üniversitesi, Bilecik.
Arce, I. (2003). The weakest link revisited [information security]. IEEE Security & Privacy, 1(2), 72-76. doi:10.1109/msecp.2003.1193216
Asosheh, A., Hajinazari, P., & Khodkari, H. (2013). A practical implementation of ISMS. Paper presented at the 7th International Conference on e-Commerce in Developing Countries:with focus on e-Security, Kish Island, Iran. https://ieeexplore.ieee.org/ielx7/6552353/6556712/06556730.pdf?tp=&arnumber=6556730&isnumber=6556712
Aydoğmuş, E. (2010). Türkiye'deki organizasyonların bilgi güvenliği olgunluk seviyelerinin belirlenmesi ve ISO/IEC 27001:2005 standardına uyumluluklarının değerlendirilmesi. İstanbul.
Canbek, G., & Sağıroğlu, Ş. (2006). Bilgi, Bilgi Güvenliği ve Süreçleri Üzerine Bir İnceleme. Politeknik Dergisi, 9(3), 165-174.
Colwill, C. (2009). Human factors in information security: The insider threat – Who can you trust these days? Information Security Technical Report, 14(4), 186-196. doi:10.1016/j.istr.2010.04.004
Çek, E. (2017). Kurumsal Bilgi Güvenliği Yönetişimi Ve Bilgi Güvenliği İçin İnsan Faktörünün Önemi. İstanbul Bilgi Üniversitesi, İstanbul.

Demirtaş, H. (2013). Bilgi Güvenliği Yönetiminin Gerekleri Ve Başarı Dayanakları: Bir Uygulama Örneği. (Yüksek Lisans), Sakarya Üniversitesi.
Ganbat, O. (2013). Bilgi güvenliği yönetim sistemi ISO/IEC 27001 ve bilgi güvenliği risk yönetimi ISO/IEC 27005 standartlarının uygulanması. (Yüksek Lisans Tezi), İzmir.
Gencer, K. (2015). ISO 27001 Kapsamında Kurumsal Bilgi Güvenliğine Dinamik Bir Yaklaşım. Afyon Kocatepe Üniversitesi.
Gikas, C. (2010). A General Comparison of FISMA, HIPAA, ISO 27000 and PCI-DSS Standards. Information Security Journal: A Global Perspective, 19(3), 132-141. doi:10.1080/19393551003657019
Güldüren, C. (2015). Yükseköğretim Kurumlarındaki Öğretim Elemanlarının Bilgi Güvenliği Farkındalık Düzeylerinin Değerlendirilmesi. (Doktora Tezi), Ankara Üniversitesi, Ankara.
Gürcan, İ. A. (2014). Finans sektörü için bilgi güvenliği yönetim gereksinimlerinin ISO 27001 tabanlı incelenmesi. İstanbul.
Haklı, T. (2012). Bilgi Güvenliği Standartları ve Kamu Kurumları Bilgi Güvenliği İçin Bir Model Önerisi. (Yüksek Lisans Tezi), Isparta.
ISO. (2017). Uluslararası Standart Organizasyonu 2017 İstatistik Raporu. Retrieved from https://isotc.iso.org/livelink/livelink?func=ll&objId=18808772&objAction=browse&viewType=1
ISO. (2019). Uluslararası Standart Organizayonu Web Sayfası. Retrieved from https://www.iso.org/
King, K. E. (2017). Examine the relationship between information technology governance, control objectives for information and related technologies, ISO 27001/27002, and risk management. (10256918 Ph.D.), Capella University, Minneapolis, USA. Retrieved from https://search.proquest.com/docview/1877918458?accountid=11054
http://JJ2EC6WC6Q.search.serialssolutions.com?ctx_ver=Z39.88-2004&ctx_enc=info:ofi/enc:UTF-8&rfr_id=info:sid/ProQuest+Dissertations+%26+Theses+Global&rft_val_fmt=info:ofi/fmt:kev:mtx:dissertation&rft.genre=dissertations+%26+theses&rft.jtitle=&rft.atitle=&rft.au=King%2C+Kenneth+E.&rft.aulast=King&rft.aufirst=Kenneth&rft.date=2017-01-01&rft.volume=&rft.issue=&rft.spage=&rft.isbn=9781369575507&rft.btitle=&rft.title=Examine+the+relationship+between+information+technology+governance%2C+control+objectives+for+information+and+related+technologies%2C+ISO+27001%2F27002%2C+and+risk+management&rft.issn=&rft_id=info:doi/ ProQuest Dissertations & Theses Global database.
Mete, H. (2010). ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi'nin bilgi işlem merkezlerinde uygulanması. Sakarya.
Rhodes-Ousley, M. (Ed.) (2013). Information Security, Complete Reference. San Francisco: McGraw-Hill Education.
Shoraka, B. (2011). An Empirical Investigation of the Economic Value of Information Security Management System Standards. (3456209 Ph.D.), Nova Southeastern University, Florida, USA. Retrieved from https://search.proquest.com/docview/871586434?accountid=11054
http://JJ2EC6WC6Q.search.serialssolutions.com?ctx_ver=Z39.88-2004&ctx_enc=info:ofi/enc:UTF-8&rfr_id=info:sid/ProQuest+Dissertations+%26+Theses+Global&rft_val_fmt=info:ofi/fmt:kev:mtx:dissertation&rft.genre=dissertations+%26+theses&rft.jtitle=&rft.atitle=&rft.au=Shoraka%2C+Babak&rft.aulast=Shoraka&rft.aufirst=Babak&rft.date=2011-01-01&rft.volume=&rft.issue=&rft.spage=&rft.isbn=9781124655314&rft.btitle=&rft.title=An+Empirical+Investigation+of+the+Economic+Value+of+Information+Security+Management+System+Standards&rft.issn=&rft_id=info:doi/ ProQuest Dissertations & Theses Global database.
UDHB. (2017). KamuNet Ağına Bağlanma ve KamuNet Ağının Denetimine İlişkin Usul ve Esaslar Hakkında Tebliğ. Retrieved from http://www.resmigazete.gov.tr/eskiler/2017/06/20170621-15.htm
UHDB. (2016). 2016-2019 Ulusal Siber Güvenlik Stratejisi. Retrieved from http://www.edevlet.gov.tr/wp-content/uploads/2016/07/2016-2019-Ulusal-e-Devlet-Stratejisi-ve-Eylem-Plani.pdf

Ayrıntılar

Birincil Dil

Türkçe

Konular

Bilgisayar Yazılımı

Bölüm

Araştırma Makalesi

Yazarlar

Hüseyin Çakır ^*
0000-0001-9424-2323
Türkiye

Mehmet Tuygun Bu kişi benim
Türkiye

Yayımlanma Tarihi

29 Aralık 2019

Gönderilme Tarihi

31 Temmuz 2019

Kabul Tarihi

24 Kasım 2019

Yayımlandığı Sayı

Yıl 2019 Cilt: 3 Sayı: 2

DOI

https://doi.org/10.33461/uybisbbd.598989

IZ

https://izlik.org/JA67JE23GJ

Kaynak Göster

RIS / Bibtex

APA

Çakır, H., & Tuygun, M. (2019). ISO27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ STANDARDININ KAMU KURUMLARINA UYGULANABİLİRLİĞİNİN ARAŞTIRILMASI: ANKARA İLİ ÖRNEĞİ. International Journal of Management Information Systems and Computer Science, 3(2), 59-78. https://doi.org/10.33461/uybisbbd.598989

AMA

1.Çakır H, Tuygun M. ISO27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ STANDARDININ KAMU KURUMLARINA UYGULANABİLİRLİĞİNİN ARAŞTIRILMASI: ANKARA İLİ ÖRNEĞİ. UYBİSBBD. 2019;3(2):59-78. doi:10.33461/uybisbbd.598989

Chicago

Çakır, Hüseyin, ve Mehmet Tuygun. 2019. “ISO27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ STANDARDININ KAMU KURUMLARINA UYGULANABİLİRLİĞİNİN ARAŞTIRILMASI: ANKARA İLİ ÖRNEĞİ”. International Journal of Management Information Systems and Computer Science 3 (2): 59-78. https://doi.org/10.33461/uybisbbd.598989.

EndNote

Çakır H, Tuygun M (01 Aralık 2019) ISO27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ STANDARDININ KAMU KURUMLARINA UYGULANABİLİRLİĞİNİN ARAŞTIRILMASI: ANKARA İLİ ÖRNEĞİ. International Journal of Management Information Systems and Computer Science 3 2 59–78.

IEEE

[1]H. Çakır ve M. Tuygun, “ISO27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ STANDARDININ KAMU KURUMLARINA UYGULANABİLİRLİĞİNİN ARAŞTIRILMASI: ANKARA İLİ ÖRNEĞİ”, UYBİSBBD, c. 3, sy 2, ss. 59–78, Ara. 2019, doi: 10.33461/uybisbbd.598989.

ISNAD

Çakır, Hüseyin - Tuygun, Mehmet. “ISO27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ STANDARDININ KAMU KURUMLARINA UYGULANABİLİRLİĞİNİN ARAŞTIRILMASI: ANKARA İLİ ÖRNEĞİ”. International Journal of Management Information Systems and Computer Science 3/2 (01 Aralık 2019): 59-78. https://doi.org/10.33461/uybisbbd.598989.

JAMA

1.Çakır H, Tuygun M. ISO27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ STANDARDININ KAMU KURUMLARINA UYGULANABİLİRLİĞİNİN ARAŞTIRILMASI: ANKARA İLİ ÖRNEĞİ. UYBİSBBD. 2019;3:59–78.

MLA

Çakır, Hüseyin, ve Mehmet Tuygun. “ISO27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ STANDARDININ KAMU KURUMLARINA UYGULANABİLİRLİĞİNİN ARAŞTIRILMASI: ANKARA İLİ ÖRNEĞİ”. International Journal of Management Information Systems and Computer Science, c. 3, sy 2, Aralık 2019, ss. 59-78, doi:10.33461/uybisbbd.598989.

Vancouver

1.Hüseyin Çakır, Mehmet Tuygun. ISO27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ STANDARDININ KAMU KURUMLARINA UYGULANABİLİRLİĞİNİN ARAŞTIRILMASI: ANKARA İLİ ÖRNEĞİ. UYBİSBBD. 01 Aralık 2019;3(2):59-78. doi:10.33461/uybisbbd.598989

Cited By

https://doi.org/

Arşivcilik ve Belge Yönetimi Faaliyetlerinde Blokzincir Teknolojisi: Bilgi Güvenliği Bağlamında Bir Değerlendirme

Library Archive and Museum Research Journal

https://doi.org/10.59116/lamre.1357399

Yönetim Sistemi Standartlarının İşletmelerde Uygulanması: Düzce Sanayi İşletmelerinde Bir Araştırma

Düzce Üniversitesi Bilim ve Teknoloji Dergisi

https://doi.org/10.29130/dubited.1272751