2. KURUMSAL BİLGİ GÜVENLİĞİ
(ENTERPRISE
INFORMATION SECURITY)
Kişilerin bilgi güvenliği önem arz ederken, bundan
daha önemlisi, kişilerin güvenliğini doğrudan
etkileyen kurumsal bilgi güvenliğidir. Her birey bilgi
sistemleri üzerinden hizmet alırken veya hizmet
sunarken kurumsal bilgi varlıklarını doğrudan veya
dolaylı olarak kullanmaktadır. Bu hizmetler kurumsal
anlamda bir hizmet alımı olabileceği gibi, bankacılık
işlemleri veya bir kurum içerisinde yapılan bireysel
işlemler de olabilir. Kurumsal bilgi varlıklarının
güvenliği sağlanmadıkça, kişisel güvenlikte
sağlanamaz.
Bilgiye sürekli olarak erişilebilirliğin sağlandığı bir
ortamda, bilginin göndericisinden alıcısına kadar
gizlilik içerisinde, bozulmadan, değişikliğe
uğramadan ve başkaları tarafından ele geçirilmeden
bütünlüğünün sağlanması ve güvenli bir şekilde
iletilmesi süreci bilgi güvenliği olarak tanımlanabilir
[8]. Kurumsal bilgi güvenliği ise, kurumların bilgi
varlıklarının tespit edilerek zafiyetlerinin belirlenmesi
ve istenmeyen tehdit ve tehlikelerden korunması
amacıyla gerekli güvenlik analizlerinin yapılarak
önlemlerinin alınması olarak düşünülebilir.
Kurumsal bilgi güvenliği insan faktörü, eğitim,
teknoloji gibi birçok faktörün etki ettiği tek bir çatı
altında yönetilmesi zorunlu olan karmaşık süreçlerden
oluşmaktadır. Bu süreçlerin yönetilmesi, güvenlik
sistemlerinin uluslararası standartlarda
yapılandırılması ve yüksek seviyede bilgi
güvenliğinin sağlanması amacıyla tüm dünyada
kurumsal bilgi güvenliğinin yönetiminde
standartlaşma çalışmaları
hızla sürmektedir.
Standartlaşma konusuna önderlik eden İngiltere
tarafından geliştirilen BS–7799 standardı, ISO
tarafından kabul görerek önce ISO–17799 sonrasında
ise ISO–27001:2005 adıyla dünya genelinde bilgi
güvenliği standardı olarak kabul edilmiştir [9].
Ülkemizde Avrupa Birliği Uyum Kriterlerinde de adı
geçen bu standartların uygulanması konusunda
yapılan çalışmalar yetersiz olup bu standardı
uygulayan kurum ve kuruluşların sayısı yok denecek
kadar azdır. ISO–27001:2005 standardı ülkemizde
Türk Standardları Enstitüsü (TSE) tarafından TS
ISO/IEC 27001 “Bilgi Güvenliği Yönetim Sistemi”
standardı adı altında yayınlanmış ve belgeleme
çalışmaları başlatılmıştır. Bu standart kapsamında
kurumsal bilgi varlıklarının güvenliğinin istenilen
düzeyde sağlanabilmesi amacıyla; gizlilik, bütünlük
ve erişilebilirlik gibi güvenlik unsurlarının kurumlar
tarafından sağlanması gerekmektedir.
Bilgi Güvenliği Yönetim Sistemleri (BGYS);
insanları, süreçleri ve bilgi sistemlerini içine alan ve
üst yönetim tarafından desteklenen bir yönetim
sistemidir. Kurumlar açısından önemli bilgilerin ve
bilgi sistemlerinin korunabilmesi, risklerin en aza
indirilmesi ve sürekliliğinin sağlanması, BGYS’nin
kurumlarda hayata geçirilmesiyle mümkün olmaktadır.
BGYS’nin kurulmasıyla; olası risk ve tehditlerin
tespit edilmesi, güvenlik politikalarının oluşturulması,
denetimlerin ve uygulamaların kontrolü, uygun
yöntemlerin geliştirilmesi, örgütsel yapılar kurulması
ve yazılım/donanım fonksiyonlarının sağlanması gibi
bir dizi denetimin birbirini tamamlayacak şekilde
gerçekleştirilmesi anlamına gelmektedir.
Kurumsal bilgi güvenlik politikalarının oluşturulması,
BGYS kapsamının belirlenmesi, risk yönetimi,
denetim kontrollerinin seçilmesi, uygulanabilirlik
beyannameleri BGYS kurulabilmesi için, yapılması
gereken adımlardır [10]. Bilgi güvenliğinin
yönetiminin kurulmasında izlenmesi gereken adımlar
bu bölümde sırasıyla takip eden başlıklarda
açıklanmıştır.
Dostları ilə paylaş: |