Kamu kurumlarında bilgi güvenliği yönetim sistemleri için politika geliştirme metodolojisi

Abstract

Bilgi güvenliğinin sağlanmasına yönelik uygulamalar karmaşık, zaman alan ve maliyetli süreçleri içerir. Bilgi güvenliğinin ulusal ve uluslararası alanda sağlanması amacıyla ISO, `27k ailesi`ni oluşturan Standardları ve bunlar arasında özellikle ISO 27001 Standardı'nı geliştirmiştir. ISO 27001 Standardı bilgi güvenliğine ilişkin temel unsurları içerir. Kamu kurumlarında BGYS'ler için politika geliştirme metodolojisi başlıklı bu çalışmada bilgi güvenliği politikası açısından BGYS'nin sistem gereksinimleri ve kurumsal bilgi güvenliği politikasında görev, yetki ve sorumlulukları incelenmiştir. Ülkemizde, ulusal ve uluslararası standardlar dahil olmak üzere BGYS'lere ve genel olarak ele aldığımız araştırma sorunu kapsamında bilgi güvenliğine uygulanabilir kurallar ve standardlar belirlenerek açıklanmıştır. Çalışmamızda; e-Devlet Kapısında hizmet veren ve TSE'denISO 27001 belgesini alan kamu kurumlarında, BGYS yöneticilerine anket yapılmıştır.Sistematik literatür tarama yöntemi ile literatürde bilgi güvenliği konusundaki tümçalışmalar ve kamu kurumlarının strateji, politika metinleri ve benzeri tüm dokümanlarıirdenlenmiştir. Ayrıca bilgi ve belge yöneticilerinin bilgi güvenliği alanındaki rolü ve ISO27001 belgesine sahip BGYS'lerin bilgi güvenliği politikalarının, strateji belgeleri,politika metinleri vd. belgeler eşliğinde incelenerek kamu kurumlarında bilgi güvenliğipolitikası oluşturma sürecinde yaşanan sorunların tespiti ve giderilmesi için muhtemelçözüm önerileri ortaya konmuştur.

Applications designed to ensure information security often include complex, timeconsuming and costly processes. In order to lay the ground for information security atnational and international levels, ISO developed `27k family`, including primarily theISO Standard 27001. ISO Standard 27001 contains the basic elements of informationsecurity. This thesis, dedicated to development of policy methodology for informationsecurity management systems of public institutions, analyzes system requirements fromthe perspective of information security policy, and duties, entitlements andresponsibilities within the framework of institutional information security policy. Acrossour country, the rules and standards applicable to ISMSs and information security in thecontext of our research question are ascertained and systematized. In this thesis, topmanagement of ISMSs in public institutions serving on e-Devlet platform while at thesame time possessing ISO 27001 certificate are surveyed. Through the method ofsystematic literature review, the corpus of relevant literature and policies, strategicdocuments and other similar documentation of public institutions are thoroughlyanalyzed. Further, the role of information managers in information security along withinformation security policies, strategic documents, policy documents and otherdocumentation of the ISMSs having the ISO 27001 certificate are examined with a viewto identify the problems of public institutions through the formation and development ofinformation security policy, and to propose feasible solutions to remedy the latter.