Kurumsal bilgi güvenliği yönetişimi ve bilgi güvenliği için insan faktörünün önemi

Abstract

Bilgi güvenliğinin öneminin artması bilgi güvenliğinin nasıl daha etkin bir biçimde yönetilmesi gerektiğini de daha fazla tartışılır hale getirmiştir. İyi ve etkin bir bilgi güvenliği için kurumsal yönetişimin bir parçası olarak bilgi güvenliği yönetişimi kavramı kurumların hayatına dâhil olmuştur.Çalışmanın giriş bölümünün ardından; ikinci ve üçüncü bölümde bilgi, bilgi güvenliği ve yönetişim kavramları üzerinde duruldu. Dördüncü bölümde ISO/IEC 27001 standardı açıklanarak, bilgi güvenliği yönetim sistemini detaylandırıldı. Bilgi güvenliği özünde bir risk yönetim işidir. Asıl olan bilgi güvenliği risklerinin en aza indirilmesidir. Bu nedenle de iyi bir bilgi güvenliği yönetişimi; bilgi güvenliği risklerinin yönetilmesidir. Bu nedenle beşinci bölümü bilgi güvenliği risk yönetimine ayrıldı. Altıncı bölüm uyum konusunda çünkü bilgi güvenliği sadece kurumlara bırakılmayan, kamu tarafından yasa, yönetmelik ve tebliğlerle düzenlenen bir alan. Yedinci bölümde; bilgi güvenliği yönetişiminin neden gerekli olduğu, uygulanma yöntemleri, doğru bilgi güvenliği yönetişimin unsurlarını açıklanmaya çalışıldı. Sekizinci bölümde ise bilgi güvenliği yönetişimi için en önemli konulardan biri olan çalışanların bilgi güvenliği farkındalığı konusu anlatıldı.Sonuç bölümünde; kurumlarda bilgi güvenliği yönetişiminin daha etkin hale getirilmesi için uygun yöntem ortaya kondu.

The increase in the importance of information security has also made it more debatable how information security should be managed more effectively. As part of corporate governance for good and effective information security, the concept of information security governance has been incorporated into the life of institutions.Following the entrance chapter of the study; the second and third chapters focused on the concepts of information, information security and governance. In the fourth chapter, ISO / IEC 27001 standard is explained, detailing the information security management system. Information security is essentially a risk management business. The main thing is to minimize the risk of information security. For this reason, a good information security governance is managing of information security risks. For this reason, the fifth chapter is devoted to information security risk management. The sixth chapter is about compatibility because information security is not only left to institutions, but is regulated by laws, regulations and communiqués. In the seventh chapter; was explained to why information security governance is necessary, how to implement it, and the elements of accurate information security governance. In the eighth chapter, was explained information security awareness of employees, one of the most important topics for information security governance.In the conclusion chapter; An appropriate method for making information security governance more effective in institutions has been put forward.