Developing an information security management framework: Case studies on registration office and computer center of a state university

Abstract

Bilgi Teknolojisi (BT) şirketlere olduğu kadar organizasyonlara ve kurumlara çokgeniş faydalar sağlar. Hızlı, etkin ve etkili operasyonların elde edilmesi bu geniş faydalararasında sayılabilir. Öte yandan günümüz şirketlerinde, organizasyonlarında ve kurumlarındabulunan çalışma ortamındaki iş akışları bilgisayarlarla takip edilmekte; veriler son teknolojisistemlerle kaydedilmekte, işlenmekte ve ilgili bireylere tümüyle entegre ağlarladağıtılmaktadır. Öte yandan, tüm veriler elektronik olarak kaydedilmekte ve transferedilmekte olduğundan, verilerin güvenliğinin sağlanması, veri sahipleri ve kullanıcılar için enönemli konu haline gelmiştir. Yüksek miktarlarda finansal kayıplara ve sonunda bir çokkanunun yürürlüğe konmasına neden olan güvenlik ihlalleri, bilgi sahiplerini BT altyapılarıkadar sağlam bilgi güvenliği sistemleri kurmaya da zorlamıştır. Aynı zamanda, bu sistemlerinyönetimiyle ilgili durumlar da üst yönetim için en önemli konulardan biri haline gelmiştir. Buçalışmanın amacı BS 7799/ ISO 17799 standartlarına bağlı olarak bir bilgi güvenliği yönetimiçerçevesi oluşturmak ve bunu vak'a çalışmaları ile uygulamaktır. Çerçevenin uygulanmasıiçin iki vak'a çalışması hedefi belirlenmiştir. Bunlar bir devlet üniversitesine ait kayıt bürosuve bilgi işlem merkezidir. Öne sürülmüş çerçeve ile bu iki kurumun bilgi güvenliğiuygulamaları değerlendirilmiştir.

Information Technology (IT) provides a wide range of benefits for the companies aswell as organizations and institutions. Obtaining fast, efficient and effective operations areamong the main benefits. On the other hand, the workflow of business in companies,organizations and institutions are mainly handled via computers; the data are recorded,processed by state-of-art systems and distributed to individuals via fully integrated networks.However, since all data is electronically stored and transferred, maintaining the security ofdata has become a primary subject for the owners and users of the data. Security breaches,resulting in huge amounts of financial losses and eventually in enforcement of severalregulations force information owners to build sound information security systems as well asIT infrastructures. Concurrently, the managerial aspects of these systems have also becomeone of the main topics for the top management. The aim of this study is to constitute a basicinformation security management framework based on the standards BS 7799/ ISO 17799 andto apply it via case studies. For the application of the framework, two case study subjects areselected; one registration office and one computer center of a state university. Based on theframework proposed, the information security practices of these two entities are evaluated.