Türkiye’deki Organizasyonların Bilgi Güvenliği Olgunluk Seviyelerinin Belirlenmesi Ve Iso/ıec 27001:2005 Standardına Uyumluluklarının Değerlendirilmesi

Abstract

Toplumdaki her kesimin bilgi teknolojisine (BT) artan bağımlılığı, güvenlik ihlallerinin sonuçlarını son derece önemli hale getirmektedir. Bilgi sistemlerinin savunmasızlığı maddi kayıpların yanında, iç süreçlerin ve iletişimin kesintiye uğramasına, satışların düşmesine, rekabet avantajının kaybolmasına ve şirketin imajı ile güvenilirliği üzerinde olumsuz etkilere yol açmaktadır. Tüm bu nedenlerden dolayı, günümüzde bilgi güvenliği yönetimi (BGY) olmazsa olmaz bir unsur haline gelmiştir. Bugün pek çok durumda bilgi sistemleri güvenlik önlemleri olmadan bir işi yürütebilmek son derece riskli bir hale gelmiştir. Kurumdaki bilgi güvenliği, risk esasına göre belirlenen önlemler seti ile bütünleşen etkili bir bilgi güvenliği yönetim sistemi kurulması ve sürdürülmesi ile sağlanmaktadır. Kurumsal bilgi varlıklarını iç ve dış saldırılara karşı korumak için, çok farklı bilgi güvenliği standartları ve kuralları yayınlanmış ve geliştirilmiştir. Bu standartların en bilinen örneği, bilgi güvenliğini kurmak, uygulamak, yürütmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek amacıyla genel yönetim sisteminin parçası olarak görülen ISO/IEC 27001 standardıdır. Bu tezin amacı, kurumların bilgi güvenliği olgunluk düzeylerini belirlemek ve ISO/IEC 27001:2005 standardı ile uyumluluklarını değerlendirmektir. Bu amaçla, Türkiye’deki 8 farklı sektörden 80 farklı firmadaki bilgi güvenliği yöneticilerine ve sorumlularına, ISO/IEC 17799:2005 standardındaki 133 güvenlik önlemleri ve kontrolleri esas alınarak hazırlanan, 72 soruluk bir anket gönderilmiştir. Gelen yanıtların değerlendirilmesi sonuç bölümünde sunulmuştur.

With society’s increasing dependency on information technology (IT), the consequences of security breaches can be extremely grave. In addition to monetary losses, breaches of information systems can also cause damages to businesses such as disruption of internal processes and communications, the loss of potential sales, loss of competitive advantage, and negative impacts on a company’s reputation, goodwill and trust. As a result, information security management (ISM) has become a required function. In many cases, it is impossible or nearly impossible to run a business without the smooth and secure operation of its information systems. The information security within organizations is ensured by establishing and maintaining effective information security management systems, integrating a well balanced set of different safeguards selected on the risk basis. To protect organizational information assets from both internal and external attacks, many different information security standards and guidelines have been proposed and developed. The most representative example of such systems is the Information Security Management System (ISMS), defined in the International Organization for Standardization/International Electrotechnical Commission ISO/IEC 27001 standard, as the part of the overall management system, based on a business risk approach, to establish, implement, operate, monitor, review, maintain and improve information security within the organization. The purpose of this thesis is to carry out a review of the organizations’ information security maturity levels and evaluating ISO/IEC 27001:2005 standard compliance. To this end, we conducted a survey among 80 organizations from 8 business industries in Turkey. The 72 information security related questions, derived from 133 security measures in ISO/IEC 17799:2005, cover information security measures that should be implemented by organizations, including organizational, physical and technical controls.