Iso 27001 bilgi güvenliği yönetim sistemi: Erişim kontrol politikası üzerine bir inceleme

Abstract

Küreselleşen dünyada, teknolojinin gelişmesi ile birlikte önem kazanan kavramlardan biri de bilgi güvenliğidir. Bilgi güvenliği, kurum ve kuruluşların sahip olduğu açık ya da gizli bilgi ve belgelerin kurumsal yapı dışına çıkarılmasını önlemek, yetkisiz ya da izinsiz girişimleri engellemek adına erişim yönetimi sisteminin devreye konulması olarak karşımıza çıkmaktadır. Bu süreçlerin yönetiminde bir çerçeve sunan ISO 27001 Bilgi Güvenliği Yönetim Sistemine (BGYS) kurum ve kuruluşların talepleri artmış ve artmaya da devam etmektedir. Bununla beraber ISO 27001 BGYS belgesine sahip olan şirketlerin de bu belgeye sahip olmanın getirdiği uygulama süreçlerinin ne denli etkili işletilip işletilmediğinin belirlenmesi önem arz etmektedir.Yapılan birçok araştırma, şirketlerde yaşanan bilgi güvenliği vakalarında, şirket çalışanlarının şirket bilgi güvenliğine yönelik tehditlere ortam hazırlayabileceği, bunun neticesinde de birçok maddi ve manevi zararlarla şirketlerini karşı karşıya bırakabilecekleri görülmüştür. Bu durum şirketlerin bilgi sistemlerine yönelik olarak erişim kontrol politikalarının ne kadar önemli olduğunu göstermektedir. Bu bağlamda çalışmanın amacı BGYS standartları içerisinde uluslararası geçerliğe sahip olan ISO 27001 BGYS kapsamında yer alan erişim kontrol protokolünün şirketler için önem düzeyinin, şirketlerin bilgi güvenliğinin sağlanmasındaki etkilerinin incelenmesidir. Çalışma kapsamında 5'li Likert ölçeği ile hazırlanan ankete, farklı sektör (eğitim, finans vb.) ve seviyeden (üst düzey yönetici, orta düzey yönetici vb.) 343 çalışan katılmıştır. ISO 27001 BGYS'ye sahip olan ve olmayan şirketlerin erişim güvenlik düzeyleri incelenerek, elde edilen veriler üzerinde yapılan istatistiki analizlerle karşılaştırmalar yapılmıştır ve BGYS belgesine sahip olan şirketlerin erişim kontrol politikalarının bilgi güvenliğine ilişkin risklerin en aza indirildiği görülmüştür.

Information security is one of the concepts that gain importance with technological innovations in the globalizing world. It can be defined as the application of an access management system to prevent the removal of explicit or confidential information and documents owned by institutions and organizations and to prevent unauthorized or unsanctioned attempts. The demands of institutions and organizations to ISO 27001 Information Security Management System (ISMS) providing a framework for the management of these processes have increased and continue to increase. Additionally, it has importance to what extent effectively the companies that have an ISO 27001 ISMS certificate operate the implementation processes stemming from having this document.Many studies have indicated that in the events of information security in companies, company employees may pave the way for the threats to information security of the company, and as a result, they may make their company confront with many material and moral damages. This situation shows how important the access control policies of companies for information systems are. In this context, the existing study aims to examine the importance level of the access control protocol which is within the scope of ISO 27001 ISMS, which has international validity within the ISMS standards, and the effects of that on providing the information security of companies.343 employees from different sectors (education, finance, etc.) and levels (senior manager, mid-level manager, etc.) participated in the questionnaire which was prepared with a 5-point Likert scale. By examining the access security levels of companies with and without ISO 27001 ISMS, comparisons were made with statistical analysis on the data obtained, and it was seen that the risks of information security of the access control policies of the companies that have ISMS certificate were minimized.