ULUSAL ELEKTRONK VE KRPTOLOJ ARATIRMA ENSTTS

Dokman Kodu: BGYS-0001

BLG GVENL YNETM SSTEM KURULUMU

SRM 1.00 28.08.2007

Hazrlayan: Diner nel, Ali Dinkan

P.K. 74, Gebze, 41470 Kocaeli, TRKYE Tel: (0262) 648 1000 Faks: (0262) 648 1100 http://www.bilgiguvenligi.gov.tr bilgi@bilgiguvenligi.gov.tr

BLG GVENL YNETM SSTEM KURULUMU

NSZ Ulusal Elektronik ve Kriptoloji Aratrma Enstits (UEKAE)'nn misyonu, "bilgi gvenlii, haberleme ve ileri elektronik alanlarnda Trkiye'nin teknolojik bamszln salamak ve srdrmek iin nitelikli insan gc ve uluslararas dzeyde kabul grm altyaps ile, bilimsel ve teknolojik zmler retmek ve uygulamaktr". Bu ana hedef gz nnde bulundurularak belirlenen "bilgi gvenlii, haberleme ve ileri elektronik alanlarnda yeni teknolojilerin gelitirilmesine nclk eden uluslararas bilim, teknoloji ve retim merkezi olmak" vizyonuna ulalabilmesi ve lkenin ihtiyac olan teknolojilerin gelitirilmesi iin Enstit'nn akredite test ortam ve laboratuarlarnda temel ve uygulamal aratrmalar yaplmakta ve ihtiya sahiplerine teknik destek salanmaktadr.

Bu dokman, BGYS (Bilgi Gvenlii Ynetim Sistemi) kurmak isteyen kurumlar iin yardmc kaynak olarak hazrlanmtr. Tm kurum ve kurulular bu dokmandan faydalanabilir.

Bu dokmanda anlatlanlar tamamen tavsiye niteliindedir. UEKAE, yaplan uygulamalardan doabilecek zararlardan sorumlu deildir. Bu dokman UEKAEnin izni olmadan deitirilemez.

TBTAK UEKAE

BLG GVENL YNETM SSTEM KURULUMU

BLGLENDRME

Bu dokmann oluturulmasnda emei geen A Gvenlii personeline ve dokman gzden geirip fikirlerini ne srerek dokmann olgunlamasna katkda bulunan Burak Bayoluna ve Hayrettin Bahiye teekkr bor biliriz.

TBTAK UEKAE

BLG GVENL YNETM SSTEM KURULUMU

NDEKLER

1. GR .................................................................................................................................................... 5

1.1 Ama ve Kapsam.................................................................................................................5 1.2 Ksaltmalar...........................................................................................................................5

2. BLG GVENL ............................................................................................................................ 6 3. BLG GVENL YNETM SSTEM (BGYS) ....................................................................... 7 4. BGYS KURULUMU ............................................................................................................................ 9 5. KURULUM ADIMLARI................................................................................................................... 11 6. SONU................................................................................................................................................ 15 KAYNAKA .......................................................................................................................................... 16

TBTAK UEKAE

BLG GVENL YNETM SSTEM KURULUMU

1. GR Bilgi gvenlii ynetimi konusunda en yaygn olarak kullanlan standart, ISO/IEC 27002 Bilgi Gvenlii Ynetimi in Uygulama Prensipleri standarddr. Bu standart, iletmeler ierisinde bilgi gvenliini balatan, gerekletiren ve srekliliini salayan kiilerin kullanm iin, bilgi gvenlii ynetimi ile ilgili tavsiyeleri iermektedir. Bu rehber ISO/IEC 27002 ve bu standardn denetimi iin kullanlan ISO/IEC 27001 standardn referans alarak hazrlanmtr. 1.1 Ama ve Kapsam ISO/IEC 27001 standardna uygun Bilgi Gvenlii Ynetim Sistemi (BGYS) kurmak isteyen kurumlarda kullanlacak klavuzdur. gereken almalar zetlemektedir. 1.2 Ksaltmalar BGYS BT UEKAE PUKO : Bilgi Gvenlii Ynetim Sistemi : Bilgi Teknolojileri : Ulusal Elektronik ve Kriptoloji Aratrma Enstits : Planla Uygula Kontrol et nlem al BGYS kurulumu kapsamnda yaplmas

TBTAK UEKAE

BLG GVENL YNETM SSTEM KURULUMU

2. BLG GVENL Gnmzde ticari irketler ve devlet kurumlar ilerini srdrebilmek iin youn bir ekilde bilgi kullanmna ynelmilerdir. Zaman getike bilginin nemi artm, sadece gvenli bir ekilde saklanmas ve depolanmas gelien ihtiyalara cevap verememi ayn zamanda bir yerden bir yere nakil edilmesi de kanlmaz bir ihtiya haline gelmitir. Bilgiye olan bu bamllk bilginin korunmas ihtiyacn gndeme getirmitir. Bu anlamda bilgi, kurumun sahip olduu varlklar arasnda ok nemli bir yere sahiptir. Bilgiye ynelik olas saldrlar, tahrip edilmesi, silinmesi, btnlnn ve/veya gizliliinin zarar grmesi, bilgi altyapsnn bozulmasna ve bu da beraberinde ilerin aksamasna neden olmaktadr. Bilgi, kurumdaki dier varlklar gibi, kurum iin nem tayan ve bu nedenle de en iyi ekilde korunmas gereken bir varlktr. Bilgi gvenlii; kurumdaki ilerin srekliliinin salanmas, ilerde meydana gelebilecek aksaklklarn azaltlmas ve yatrmlardan gelecek faydann artrlmas iin bilginin geni apl tehditlerden korunmasn salar. Bilgi birok biimde bulunabilir. Bilgi, kt zerinde yazl olabilir, elektronik olarak saklanyor olabilir, posta ya da elektronik posta yoluyla bir yerden bir yere iletilebilir ya da kiiler arasnda szl olarak ifade edilebilir. Bilgi hangi formda olursa olsun, mutlaka uygun bir ekilde korunmaldr. Bilgi gvenliinin salanabilmesi bilginin gizliliinin, btnlnn ve kullanlabilirliinin yeterli dzeylerde salanabilmesi ile mmkndr. Bilgi gvenlii temelde aadaki unsuru hedefler: Gizlilik (Confidentiality) Btnlk (Integrity) Kullanlabilirlik (Availability)

Bu kavramlar biraz daha aacak olursak gizlilik, bilginin yetkisiz kiilerin eriimine kapal olmas eklinde tanmlanabilir. Bir dier tarif ile gizlilik bilginin yetkisiz kiilerce aa karlmasnn engellenmesidir. Btnlk, bilginin yetkisiz kiilerce deitirilmesi, silinmesi ya da herhangi bir ekilde tahrip edilmesi tehditlerine kar ieriinin korunmasdr. Btnlk iin ksaca kazara veya kastl olarak bilginin bozulmamas diyebiliriz. Kullanlabilirlik, bilginin her ihtiya duyulduunda kullanma hazr durumda olmas demektir. Herhangi bir sorun ya da problem kmas durumunda bile bilginin eriilebilir olmas kullanlabilirlik zelliinin bir gereidir. Bu eriim kullancnn haklar erevesinde olmaldr.

TBTAK UEKAE

BLG GVENL YNETM SSTEM KURULUMU

Kullanlabilirlik ilkesince her kullanc eriim hakknn bulunduu bilgi kaynana, yetkili olduu zaman diliminde mutlaka eriebilmelidir. 3. BLG GVENL YNETM SSTEM (BGYS) Bilgi Gvenlii Ynetim Sistemi BGYS, kurumun hassas bilgilerini ynetebilmek amacyla benimsenen sistematik bir yaklamdr. Bu sistemin temel amac hassas bilginin korunmasdr. Bu sistem alanlar, i srelerini ve bilgi teknolojileri (BT) sistemlerini kapsar. Bilgi Gvenlii Ynetim Sistemi deyimi ilk kez 1998 ylnda BSI (British Standards Institute) tarafndan yaynlanan BS 7799-2 standardnda kullanlmtr. Daha sonra bu standart Uluslararas Standartlar Kurumu ISO tarafndan kabul edilmi ve ISO/IEC 27001:2005* olarak yaynlanmtr. BSI tarafndan yaynlanan bir dier standart BS 7799-1 ise bilgi gvenliinin salanmasnda kullanlacak kontrollerden bahsetmektedir. Bu da yine ISO tarafndan kabul edilmi ve ISO/IEC 27002:2005 olarak yaynlanmtr. ISO/IEC 27002:2005 bu standardn Temmuz 2007den itibaren kullanlan ismidir, bu tarihe kadar standart ISO/IEC 17799:2005 olarak adlandrlyordu. Bilgi gvenlii ynetimi konusunda en yaygn olarak kullanlan standart, ISO/IEC 27002:2005 Bilgi Gvenlii Ynetimi in Uygulama Prensipleri standarddr. Bu standart, iletmeler ierisinde bilgi gvenlii ynetimini balatmak, gerekletirmek, srdrmek ve iyiletirmek iin genel prensipleri ve ynlendirici bilgileri ortaya koyar. ISO/IEC 27002:2005 rehber edinilerek kurulan BGYSnin belgelendirmesi iin ISO/IEC 27001:2005 Bilgi Gvenlii Ynetim Sistemleri Gereksinimler standard kullanlmaktadr. Bu standart, dokmante edilmi bir BGYSni kurumun tm i riskleri balamnda kurmak, gerekletirmek, izlemek, gzden geirmek, srdrmek ve iyiletirmek iin gereksinimleri kapsamaktadr. risklerini karlamak amacyla ISO/IEC 27002:2005te ortaya konan kontrol hedeflerinin kurum ierisinde nasl uygulanaca ve denetlenecei ISO/IEC 27001:2005te belirlenmektedir. Her iki standardn Trke hali TSE tarafndan srasyla TS ISO/IEC 17799:2005* ve TS ISO/IEC 27001:2005 isimleri ile yaynlanmtr. Sz konusu standardn belgelendirmesi

* *

Standartlarn sonunda yer alan :2005 yaynland tarihi gsterir. Bu standardn orijinali Temmuz 2007 tarihinden itibaren ISO/IEC 27002:2005 adn almtr. Bu makalenin

yazld tarih itibariyle TSE ilgili standartta bir isim deiiklii yapmamtr. TBTAK UEKAE 7

BLG GVENL YNETM SSTEM KURULUMU

konusunda TSE tarafndan TS 13268-1 BGYS Belgelendirmesi in Gereksinimler ve Hazrlk Klavuzu standard yaynlanmtr. ISO/IEC 27001 ve ISO/IEC 27002 standartlar BGYS konusunda en temel bavuru kaynaklardr. Bu iki standart da dorudan bilgi gvenlii konusunu ele alrlar. Teknik ve teknoloji baml standartlar deildirler. Belli bir rn veya bilgi teknolojisi ile ilgilenmezler. Hatta bilgi teknolojileri gvenlii dahi bu standartlarn ierisinde yer almaz. Tek ilgi alan vardr, o da bilgi gvenliidir. BGYS standartlar kapsamnda BGYSin kurulumu, gereklenmesi, iletilmesi, izlenmesi, gzden geirilmesi, srdrlmesi ve tekrar gzden geirilmesi iin PUK (Planla Uygula Kontrol et nlem al) modeli kullanlmaktadr. PUK modelini grsel olarak anlatan ekil 1, bir BGYSnin bilgi gvenlii gereksinimlerini ve ilgili taraflarn beklentilerini girdi olarak nasl aldn ve gerekli eylem ve prosesler araclyla, bu gereksinimleri ve beklentileri karlayacak bilgi gvenlii sonularn nasl rettiini gsterir.

ekil 1 - BGYS Srelerine uygulanan PUK modeli

TBTAK UEKAE

BLG GVENL YNETM SSTEM KURULUMU

Planla (BGYSnin kurulmas) Uygula (BGYSnin gerekletirilmesi ve iletilmesi) Kontrol Et (BGYSnin izlenmesi ve gzden geirilmesi) nlem al (BGYSnin srekliliinin salanmas ve iyiletirilmesi)

BGYS politikas, amalar, hedefler, sreler ve prosedrlerin gelitirilmesi BGYS politikas, kontroller, sreler ve prosedrlerin gerekletirilip iletilmesi BGYS politikas, amalar ve sre performansnn deerlendirilmesi, uygulanabilen yerlerde llmesi ve sonularn rapor edilmesi Ynetimin gzden geirme sonularna dayal olarak, dzeltici ve nleyici faaliyetlerin gerekletirilmesi

Bilgi gvenlii ynetimi, balang ve biti tarihleri olan bir proje gibi grlmemelidir. Srekli devam eden bir geliim sreci olarak dnlmelidir. PUK modelinde gsterildii gibi (Planla Uygula Kontrol et nlem al) faaliyetleri bir dng iinde durmakszn srekli devam etmelidir. PUK modeli zet olarak ne yaplacana karar verilmesi, kararlarn gerekletirilmesi, altnn kontrol edilmesi hedefine uygun almayan kontroller iin nlemlerin alnmasdr. BGYS kurulumu PUK modelinin ilk admn (Planla) tekil etmektedir. Yerleik bir sistemden bahsedebilmek iin dier admlarn da uygulanmas ve bunlarn bir dng iinde yaamas gerekir. 4. BGYS KURULUMU Kurulum admlarna gemeden nce BGYS ile ilgili bilinmesi gereken gereklerden bahsetmek gerekir. ncelikle salkl ileyi ve yarar salamas asndan BGYS kurulum istei kurumun st ynetimi tarafndan benimsenmelidir. st ynetim destei BGYSnin baarya ulamas asndan hayati neme sahiptir. ncelikle st ynetim BGYSnin gerekliliine ve faydasna inanmaldr. Bu birincil arttr. Dier nemli bir husus, BGYS kurulumu bir BT rn veya sistemi kurulumuyla kartrlmamaldr. BGYS kurumun i yapma tarzn etkileyen kkl bir sistemdir ve kurumu tmden etkiler. Tm kademelerdeki alanlarn iini yaparken bilgi gvenlii prensiplerine uygun hareket etmesini gerekli klar. Bu bilincin olumas ve ileyie gemesi de bir geliim srecinin sonucu olacaktr. Bir nceki blmde bahsedildii gibi BGYS srekli bir geliim srecidir.

TBTAK UEKAE

BLG GVENL YNETM SSTEM KURULUMU

BGYS ile ilgili en yaygn yanl kanlardan bir tanesi de bunun sadece kurumun BT blmne ait bir i olduunun dnlmesidir. BGYS bir teknoloji meselesi veya teknik bir i deildir. Tm kurumun aktif halde katlmyla hedefine ulaabilecek bir sistemdir. En st kademe yneticiden en alt seviye alana kadar katlm ve destek arttr. Aksi halde BGYSden beklenen faydann elde edilmesi mmkn deildir. Etkin bir BGYS kurulumu konusunda ilk yaplmas gereken ilerden bir dieri de kurum iinde bir Bilgi Gvenlii Komisyonu oluturulmasdr. Bilgi gvenlii komisyonu (Gvenlik Forumu da denir) kurum iindeki her blmden temsilcilerden oluur. Bilgi ilem, i denetim, muhasebe, insan kaynaklar, gvenlik ve dier tm blmlerden temsilciler bu komisyonda yer almaldr. Komisyon temsilcileri bilgi gvenlii konusunda deneyimli ve bilgili, bunun yannda kendi blmlerini temsil edebilme yetkisine sahip kiiler olmaldr. Komisyon temsilcileri bilgi gvenlii konusunda yeterli bilgi seviyesine sahip deilse mutlaka BGYS eitimleri almaldr. Tm blmlerden temsilcilerin komisyonda yer almas BGYSnin baar ansn arttrr. BGYSin kurumun tamamna nfuz etmesini kolaylatrr. Kurum apndaki gvenlik ihtiyalarnn daha etkin bir biimde farknda olunmasn salar. Bu durum BGYSin doru planlanmas ve salkl ilemesi asndan hayati neme sahiptir. Her blmden bir temsilcinin katlm ynetim ve teknik kadro arasndaki iletiim kopukluunu gidermeye de yarar. Sorunlar ve ihtiyalar yerinde yaayan kiiler belli konularda ynetimin daha rahat ikna edilmesini salar. Bilgi gvenlii komisyonu sayesinde BGYS ile ilgili grev ve sorumluluklar da kurum iinde datlm olur. Daha nce de belirtildii gibi BGYS sadece BT blmne ait bir i deildir.

10

TBTAK UEKAE

BLG GVENL YNETM SSTEM KURULUMU

5. KURULUM ADIMLARI BGYS konusunda temel bavuru kaynaklar ISO/IEC 27001 ve ISO/IEC 27002 standartlardr. BGYS kurulumu ncesinde bu standartlarn mutlaka dikkatlice okunup anlalmas gerekmektedir. BGYS kurulumu TS ISO/IEC 27001:2005teki 4.2.1 BGYSnin Kurulmas ve TS 13268-1 4.3 BGYSnin kurulmas balklar altnda detayl olarak aklanmaktadr. BGYS kurulumunda srasyla izlenmesi gereken admlar yledir: Adm 1: Kapsam Belirleme BGYSnin kapsam ve snrlar belirlenmelidir. BGYSnin kapsam kurumun belli bir ksm olabilecei gibi, kurumun btn de olabilir. Ancak, her iki durumda da, kurumun BGYS kapsamn ve snrlarn eksiksiz ve doru bir biimde tanmlamas gerekmektedir. rnein sadece kurum iindeki bir blm veya bir blmn verdii tek bir hizmet iin de bir BGYS hayata geirilebilir. BGYS kapsam, st ynetimin niyeti ve kurumun bilgi gvenlii hedefleri dikkate alnarak belirlenir. ISO/IEC 27001 ve ISO/IEC 27002 standartlarnn bu konuda belli bir ynlendirmesi veya zorlamas sz konusu deildir. Kapsam belirlenirken BGYS dnda braklan varlklarla ve dier kurumlarla olan etkileimleri de dikkate almak gereklidir. Kapsam dnda braklanlarn hangi sebeplerle darda brakldklarn kurumun salam gerekelerle aklayabilmesi gerekmektedir. Bu admn sonunda bir kapsam dokman yaynlanmal ve st ynetim tarafndan onaylanmaldr. BGYS kapsam belirlenmesi konusunda daha detayl bilgiler iin BGYS0002 kodlu dokmana bavurulmaldr. Adm 2: BGYS Politikas Ardndan BGYS politikasnn oluturulmas gerekmektedir. Bu politika, hedefleri ortaya koyan, ynetime yn veren ve harekete geiren, hangi riskin deerlendirmeye alnacana ilikin risk ynetim kapsam ve kriterini belirleyen bir ereve sunmaldr. BGYS politikasnn amacn bulmas iin ynetim politika ieriindeki maddelerin uygulamaya geirileceine ilikin kararlarln alanlara hissettirmelidir. Adm 3: Risk Deerlendirme Yaklam Bilgi gvenlii politikas temel alnarak sistematik bir risk deerlendirme yaklam belirlenmelidir. Kurum kendine uygun bir metodoloji semekte serbesttir. Seilen risk deerlendirme metodolojisi kyaslanabilir ve tekrarlanabilir sonular retmeyi garanti etmelidir. Bu admda kabul edilebilecek risk seviyeleri belirlenmeli ve bunlar iin ltler
TBTAK UEKAE 11

BLG GVENL YNETM SSTEM KURULUMU

gelitirilmelidir. Risk deerlendirme metodu seiminde kurumlar risk deerlendirme konusunda daha fazla bilgi veren BS 7799-3 standardna bavurabilirler. Adm 4: Risk Belirleme Korunmas gereken varlklar tehdit eden riskler, Adm 3te belirlenen yntem kullanlarak tespit edilmelidir. BGYS ierisindeki tm varlklarn tanmlanmas, yani varlk envanterinin karlmas risk deerlendirme iinin esasn oluturur. Kurum BGYS kapsamna dahil edecei tm varlklarn sahiplerini, trn ve nem derecesini bir envanter listesi eklinde belgelemelidir. Bir varln nem derecesini belirlemek iin bu varln gizliliine, btnlne ve kullanlabilirliine gelecek zararn kuruma yapaca etkinin derecesini batan ortaya koymak gerekmektedir. Varlklarn bu temel gvenlik zelliine gelecek zararlar farkl etki derecelerine sahip olabilirler. rnein ok gizli seviyede bir bilginin aa kmas kuruma byk zararlar verebilecekken ayn gizli bilginin kullanlamaz hale gelmesi o kadar byk zarar yaratmayabilir. Adm 5: Risk Analizi ve Derecelendirilmesi Tespit edilen risklerin analizi ve derecelendirilmesi yaplmaldr. Bu adm bir nceki admda tespit edilen risklerin yorumlanmas olarak grlebilir. Risk analizi yaparken riske neden olan tehdit ve aklklardan yola klmaldr. Risk, akln bir tehdit tarafndan kullanlmasyla oluur. rnein duvar delik bir ev dnelim. Duvardaki delik akl temsil eder. Olas bir sel ise burada tehdidi oluturur. Bu ikisinin bir araya gelmesiyle risk oluur ki bu rnekte risk evi su basmasndan dolay evdeki insanlarn veya eyalarn zarar grmesidir. Riskin derecelendirilmesi veya deerinin belirlenebilmesi iin ncelikle tehdidin gerekleme olasl ile etki derecesi hesaplanmaldr. Bunlar saysal deerler kullanlarak hesaplanabilecei gibi rakamlarla ifadenin zor olduu durumlarda dk, orta, yksek gibi nitel deerlerle de belirlenebilir. Riskin kabul edilebilir olup olmad Adm 3te belirlenen ltler kullanlarak tespit edilmelidir. Tm bu hesaplama ve deerlemeler uygulanmakta olan mevcut kontroller de dikkate alnarak yaplmaldr. Kontroller risk deerini azaltabilir. Bu adm sonunda bir risk deerlendirme sonu raporu yaynlanmaldr. Adm 6: Risk leme Bu admda risk deerlendirme sonu raporundan yola klarak uygun risk ileme (risk treatment) yntemleri belirlenmelidir. Belli bir risk karsnda drt farkl tavr alnabilir: 1. Uygun kontroller uygulanarak riskin ortadan kaldrlmas veya kabul edilebilir seviyeye drlmesi
12 TBTAK UEKAE

BLG GVENL YNETM SSTEM KURULUMU

2. Riskin olumasna neden olan faktrleri ortadan kaldrarak riskten kanlmas 3. Riskin sigorta irketleri veya tedarikiler gibi kurum dndaki taraflara aktarlmas 4. Kurum politikalarna ve risk kabul ltlerine uymas artyla riskin objektif bir biimde ve bilerek kabul edilmesi Adm 7: Kontrol Seimi Risk ileme sreci sonularna uygun kontrol ve kontrol hedeflerinin seilmesi gerekir. TS ISO/IEC 17799:2005te bu kontrollerden detayl bir biimde bahsedilmektedir. Bu kontroller standartta yol gsterici olmas amacyla verilmitir. Kurum kendisine ek olarak baka kontroller de semekte serbesttir. TS ISO/IEC 17799:2005te bulunan kontroller, sektr tecrbelerinden faydalanmak suretiyle, standart etki alanlarnda olabildiince geni kapsaml olarak belirlenmi olsa da d kaynakl kontrollere ihtiya olabilmektedir. Sadece TS ISO/IEC 17799:2005ten deil herhangi bir bilgi gvenlii kaynandan uygun kontrol seilebilecei gibi kurumun kendine zel gelitirebilecei kontroller de olabilmektedir. Fakat gzden kaan nemli bir kontrol hedefi veya kontrol olmadndan emin olmak iin bu listeyi bir balang noktas olarak kullanmakta fayda grlmektedir. Adm 8: Artk Risk Onay Risk ileme sreci sonrasnda geriye kalan riske artk risk (residual risk) denir. Bunlar kabul edilen riskler veya tamamen ortadan kaldrlamayan riskler olabilir. Kurum st ynetimi artk riskler iin onay vermelidir. Bu adm sonunda artk risk onay belgesi oluturulmaldr. Adm 9: Ynetim Onay Risk ynetimi admlarn getikten sonra BGYS iletimi ve uygulamasn yapmak iin ynetimden onay almak gerekmektedir. Adm 10: Uygulanabilirlik Bildirgesi Son olarak risklere kar seilen kontrolleri ieren bir Uygulanabilirlik Bildirgesi hazrlanarak BGYS kurulum ii tamamlanr. Uygulanabilirlik Bildirgesi Adm 7de seilen kontrollerin neler olduu ve bunlarn hangi gerekelerle seildiini anlatmaldr. TS ISO/IEC 27001 EKAdan seilmeyen kontrollerin neler olduu ile bunlarn seilmeme gerekeleri de Uygulanabilirlik Bildirgesinde verilmelidir. Ayrca mevcut durumda uygulanmakta olan kontroller de yine bu belge iinde yer bulmaldr. Bir sonraki sayfada BGYS kurulum admlarn zetleyen bir ekil yer almaktadr.

TBTAK UEKAE

13

BLG GVENL YNETM SSTEM KURULUMU

14

TBTAK UEKAE

BLG GVENL YNETM SSTEM KURULUMU

6. SONU BGYS, gnmz i dnyasnda vazgeilmez hale gelen bilgi gvenlii konusunda tm dnya tarafndan kabul grm standartlara uygun bir yap sunmaktadr. BGYS kavramnn ve bal olduu standartlarn doru anlalmas bu yapnn salayaca fayday nemli lde arttracaktr. BGYS kurulumunu fazladan bir i yk ve gereksiz zaman kayb olarak grmenin batan kaybetmek anlamna gelecei bilinmelidir. Bu sistemin vaat ettiklerine ulamak iin ynetimlere byk grev ve sorumluluklar dmektedir.

TBTAK UEKAE

15

BLG GVENL YNETM SSTEM KURULUMU

KAYNAKA [1]. www.itgovernance.co.uk/files/Infosec_101v1.1.pdf (Information Security and ISO27001 An Introduction)

[2]. www.niser.org.my/isms/docs/publications/information_security_management_committe e.pdf (The Importance of Setting up an Information Security Management Committee in Organization) [3]. http://www.isms.jipdec.jp/en/isms/frame.html (How to Establish an ISMS Management Framework)

16

TBTAK UEKAE