Bilgi Güvenliği Yönetim Sistemlerinin Belgelendirilmesi: Batı Karadeniz’de Bir Alan Araştırması

Abstract

ÖZ Teknolojinin, iletişimin ve internetin hızlı bir şekilde gelişmesi ile kuruluşların sahip olduğu bilginin güvenliğini de sağlamanın önemi her geçen gün artmaktadır. Bilgi güvenliğinin öneminin ve bilinirliliğinin artması ile, kuruluşlar sahip olduğu bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak için çözüm arayışına girmişlerdir. Kuruluşların hassas bilgilerini bilgi güvenliği unsurları çerçevesinde koruma altına alması meydana gelebilecek zararları en aza indirecektir. Bu da kuruluşlarda bir bilgi güvenliği yönetim sistemi kurulmasını gerektirmektedir. Bu çalışma, tüm dünyada kabul görmüş ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi standardını kurmak, uygulamak, sürdürmek ve sürekli iyileştirmek isteyen ve bu süreçte karşılaştıkları sorunlara bir rehber olması amacıyla Batı Karadeniz Bölgesinde ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi sertifikasına sahip olan kuruluşlar tespit edilerek mülakat çalışması yapılmıştır. Nitel araştırma yöntemine dayalı olarak yapılan bu çalışmanın verileri, nitel veri analizi şekli olan betimsel analiz tekniği kullanılarak analiz edilmiştir. Analiz edilen verilere dayanarak bu belgeyi almak isteyen ve halihazırda alan kuruluşların sistemi kurmaları ve yürütmeleri sırasında uygulayabileceği çözüm önerileri; bulundukları sektör ile ilgili araştırma yapması ve bilgi alışverişinde bulunarak ortaya çıkan tecrübelerin paylaşımı, üst yönetimin desteğini her aşamada alarak kuruma özgü bir BGYS oluşturmaları, çalışanları sürece dahil ederek sistemin sahiplenmesini, kendi kurumlarına özgü uygulama yöntemlerini geliştirmelerini ve bilgi güvenliği konusunda bilinçli bir IT departmanı kurulmasını, BGYS komitesinin bilgili, mutlaka BGYS kapsamını ilgilendiren birimlerden oluşması, şeklinde sunulmuştur.

ABSTRACT With the rapid development of technology, communication and the internet, the importance of ensuring the security of information that organizations have is increasing day by day. With the increasing importance and awareness of information security, organizations have sought solutions to ensure the confidentiality, integrity and accessibility of their information. If organizations protect their sensitive information within the framework of information security elements, it will minimize the damages that may occur. This requires the establishment of an information security management system in organizations. This study has been awarded the ISO / IEC 27001: 2013 Information Security Management System certificate in the Western Black Sea Region in order to establish, implement, maintain and continuously improve the globally accepted ISO / IEC 27001: 2013 Information Security Management System standard and to be a guide to the problems they encounter in this process. The data of this study, which is based on the qualitative research method, were analyzed using the descriptive analysis technique, which is a type of qualitative data analysis. Based on the analyzed data, the solution proposals that the organizations that want or have received this document can implement during the establishment and execution of the system; to do research about the sector in which it operates and to share its experiences by exchanging information, to create a customized ISMS with the support of the senior management at every stage, to embrace the system by including the employees in the process, to develop application methods specific to their own institutions and to establish an IT department with information security awareness, with the scope of ISMS It is presented as an ISMS committee, which is necessarily composed of relevant knowledgeable units.