Kurumsal bilgi güvenliği yönetim sistemi; vakıf üniversitesi örneği

Abstract

Günümüzde, bilişim sistemleri hayatımızın her alanında vazgeçilmezdir. Tüm kişisel ve kurumsal bilgiler bilişim sistemleri üzerinde bulunmakta ve bir çoğuna internet aracılığıyla erişilebilmektedir. Bilişim sistemlerinin güvenliğinin sağlanması sistemlerin kesintisiz, sorunsuz ve veri kaybı olmadan kullanılabilmesi için önemlidir. Bilgi güvenliği konusunda yeterince tedbir alınamadığı veya farkındalık yaratılamadığı için günümüzde şahıslar, şirketler ve kurumlar siber saldırılar veya farklı yöntemlerle bilgi hırsızlığına maruz kalarak veya sistemlerinde hizmet aksaklıkları yaşayarak maddi veya itibari kayıplar yaşamaktadırlar. İstatiksel araştırmalarda bilgi güvenliği ihlalleri ve kayıp miktarlarının büyük oranlarda meydana geldiği bildirilmektedir.Bu çalışmadaki amaç, ISO/IEC 27001:2013 bilgi güvenliği yönetim sistemi standartının kontrol hedeflerini, bilgi güvenliği ihlallerine neden olan zafiyet ve tehditlerini, detaylı bir şekilde açıklayarak, bilgi güvenliği yönetim sistemini kurmak isteyen kurumların herhangi danışman hizmeti almadan bu sistemi kurabilmeleri için danışabilecekleri bir kaynak ve bir vakıf üniversitesindeki tüm bilgi varlıkları envanterini kapsayan örnek risk analizi çalışması sunmaktır.

Nowadays, information systems are indispensable in every area of our lives. All individual ve institutional informations exist in information system and most of them are accessible through internet. Providing security of the information systems is important to be able to use them uninterrupted, troubleless and without data losing. Because of not to be sufficiently taken precauitons or raised awareness about information security, in the present days, individuals, companies and foundations get losses of financial and reputation by being exposed to informaiton theft or getting loss of service in their systems through cyber attcks or different methods. In the statistical researchs, it is stated that Information security incidents and loss amounts take place in large measures.The aim of the this article is to present a resource to institutions wanting to establish ISMS without taking consultancy service and a risk analysis study including all information assets in one foundation university by explaning vulnerabilities and threats causing information security incidents, requirements of control objectives of ISO/IEC 27001:2013 ISMS standard in detail.