Bilgi güvenliði yönetim sistemi hakkýnda bilinçlendirme ve eðitim faaliyetlerini yoðunlaþtýrarak devam ettiren Geliþim Yönetim Sistemleri A.Þ. 2006 yýlýnda tüm kamu kurumlarý, üniversiteler ile IT, finans, saðlýk sektörleri baþta olmak üzere tüm Türkiye’deki kurumlara danýþmanlýk ve eðitim hizmetleri sunmaktadýr.

Türkiye için yeni bir standart olmasýna ve Türkçe hemen hemen hiç kaynak bulunmamasýna raðmen sektörünün öncü kurumlarý tarafýndan faydasý tespit edilmiþ ve çalýþmalarý yýllardýr sürdürülen bilgi güvenliði yönetim sisteminin yaygýnlaþmasý, doðru anlaþýlmasý ve verimli bir þekilde uygulanabilmesi için seminer faaliyetlerinin yaný sýra hazýrlanan Türkçe kýlavuzlar ve kitaplar ile de kurumlarýn iþlerini kolaylaþtýracak çözümler sunmaya devam etmekteyiz.

ISO 27001 bilgi güvenliði yönetim sistemi hakkýnda dikkat edilmesi gereken temel noktalar aþaðýda özetlendiði gibidir. Konuyla ilgili detaylý bilgi için www.gelisim.org adresi ziyaret edilebilir.

Bilgi güvenliði standardý BS 7799-2’nin revize edilip 2005’in sonlarýnda ISO 27001 olarak deðiþtirilmesiyle yürürlüðe giren bu standart kurumlarýn bilgi güvenliði yönetim sistemi kurmalarý için gereklilikleri tanýmlamaktadýr.
Bunun yaný sýra ISO 17799:2002 numaralý standart da ISO 17799:2005 bilgi teknolojileri güvenlik teknikleri en iyi uygulamalar rehberi olarak yayýnlanarak ISO 27001’e göre kurulacak bir BGYS’nin nasýl gerçekleþtirilebileceðine dair açýklamalarý içerir.

Bilgi güvenliði yönetim sistemi , kurumunuzdaki tüm bilgi varlýklarýnýn deðerlendirilmesi ve bu varlýklarýn sahip olduklarý zayýflýklarý ve karþý karþýya olduklarý tehditleri göz önüne alan bir risk analizi yapýlmasýný gerektirir. Kurum kendine bir risk yönetimi metodu seçmeli ve risk saðaltýmý için bir plan hazýrlamalýdýr.

Risk saðaltýmý için standartta öngörülen kontrol hedefleri ve kontrollerden seçimler yapýlmalý ve uygulanmalýdýr. Planla-uygula-kontrol et-önlem al (PUKÖ) çevrimi uyarýnca risk yönetimi faaliyetlerini yürütmeli ve varlýðýn risk seviyesi kabul edilebilir bir seviyeye geriletilene kadar çalýþmayý sürdürmelidir.

ISO 27001 Kurumlarýn risk yönetimi ve risk saðaltým planlarýný , görev ve sorumluluklarý, iþ devamlýlýðý planlarýný , acil durum olay yönetimi prosedürleri hazýrlamasýný ve uygulamada bunlarýn kayýtlarýný tutmasýný gerektirir. Kurum tüm bu faaliyetlerin de içinde yer aldýðý bir bilgi güvenliði politikasý yayýnlamalý ve personelini bilgi güvenliði ve tehditler hakkýnda bilinçlendirmelidir. Seçilen kontrol hedeflerinin ölçülmesi ve kontrollerin amacýna uygunluðunun ve performansýnýn sürekli takip edildiði yaþayan bir süreç olarak bilgi güvenliði yönetimi ancak yönetimin aktif desteði ve personelin katýlýmcýlýðýyla baþarýlabilir.

Kurum içerisinde bu çalýþmalarý yürütecek BGYS takýmýnýn ve BGYS yöneticisinin bilgi güvenliði yönetimi konusunda iyi eðitimli olmalarý gerekmektedir. Risk yönetimi, politika oluþturma, güvenlik prosedürlerinin hazýrlanmasý ve uygun kontrollerin seçilerek uygulanmasý aþamalarýnda uzman desteði ve danýþmanlýk almalarý faydalý olacaktýr.

ISO 27001’den bahsederken karýþtýrýlan ve dikkatle ayrýlmasý gereken þey ISO 27001’in YÖNETÝM SÝSTEMÝ öngörmesidir. ISO 27001 size nasýl virüs bulaþmayacaðýný anlatmaz.
Bilgisayar aðýnýza saldýrganlarýn nasýl sýzabileceðini söylemez. Size toplam bilgi güvenliði ve bir “yaþayan bir süreç olarak” bilgi güvenliðinin nasýl “yönetileceðini” tanýmlar.

Bir diðer karýþýklýk da bilgi güvenliði denilince kutu-paket güvenlik ürünlerinin ve “çözümlerinin” gelmesidir. ABD , AB ve Ýsrail kökenli yazýlým firmalarýnýn kutu güvenlik anlayýþý ile yaydýðý çözümler bilgi güvenliðinin ve ISO 27001’in yüzlerce kontrolünden sadece bir kaçýný oluþturmaktadýr. Bu baðlamda tekrar etmek gerekirse “Bilgi güvenliði bir ürün deðil bir süreçtir.” Bu sürecin en zayýf halkasý ise insandýr. Bugüne kadar gerçekleþen bilgi güvenliði kazalarý-kayýplarýnýn %80’inden fazlasý yazýlýmsal veya donanýmsal deðil insan hatasý veya kastý ile gerçekleþen durumlardýr. Bu nedenle etkin bir yönetim yapýsý ve BGYs takýmýna etkin bir yönetim desteðinin yaný sýra yoðun bir bilinçlendirme faaliyeti ISO 27001’in kaçýnýlmaz gerekliliklerindendir.

Geliþim Yönetim sistemleri olarak geliþtirdiðimiz özgün metodoloji ile etkin ve verimli bir bilgi güvenliði yönetimi için Türkiye’de ISO 27001 projelerinin %70 ini bu anlayýþ ile gerçekleþtirmiþ bulunuyoruz.

Temmuz 2006’dan itibaren baþlatýlacak eðitimlerle, Türkiye’de yetiþmiþ bilgi güvenliði uzmaný açýðýna çözüm getirmeyi hedeflemekteyiz. Çeþitli kamu kurumlarý ve üniversitelerde yürüttüðümüz bilinçlendirme faaliyetlerini de hýzlandýrarak artýrmayý planlamaktayýz.