Kamu kurumları için bilgi güvenliği yönetişim modeli

Abstract

Son yıllarda kamu kurum ve kuruluşlarının hızla artan ihtiyaçlarına paralel olarak, bilgi teknolojilerinin kullanımında büyük bir artış yaşanmış ve bilgi teknolojilerinden en iyi şekilde istifade etmek tüm kuruluşların başlıca amaçlarından biri haline gelmiştir.Bilgiyi saklayan, ileten, değerlendiren ve yeniden üreten sistemler, kurumların yapılarında hayati bir önem kazandığı gibi, teknolojik imkanlar vesilesiyle kullanılan bilginin güvenliği de yeni bir çalışma alanı olarak ön plana çıkmıştır. Artık bilgi güvenliği için önlem almak ve alınan önlemleri (kararları) titizlikle uygulamak her kurum için dikkatle üzerinde durulan bir çalışma alanı olmuştur.Bilgi güvenliğine verilen önemin bir gereği olarak, son yıllarda kurumsal organizasyonlar tarafından ?Bilgi Güvenliği Yönetişimi? kavramı geliştirilmiştir ve netice itibariyle bugün her kurum, kendi kurumsal işleyişine uygun olan bir ?Bilgi Güvenliği Yönetişim Modeli? kurma ihtiyacı ve gayreti içerisine girmiştir.?Kamu Kurumları İçin Bir Bilgi Güvenliği Yönetişim Modeli? adındaki bu çalışmada; Türkiye için kamu kurum ve kuruluşlarında kullanılacak yeni Bilgi Güvenliği Yönetişimi Modeli önerilmiştir. Öncelikle tek bir kamu kuruluşunda bu modelin nasıl uygulanacağı açıklanmıştır. Ayrıca modelin tek bir kurum ya da kuruluşun da kullanılması için tasarlanmasının yeterli olmayacağı düşüncesinden hareketle, önerilen modelde kurum ve kuruluşların birbirleriyle etkileşimini de içeren yeni bir yapı ortaya konulmuştur. Bu sistemin işleyebilmesi için de tüm kamu kurum ve kuruluşları ile birlikte özel şirketleri de içeren bir Bilgi Güvenliği Stratejisi Kurulu (BGSK)'nun kurulmasının gerekliliğine vurgu yapılarak, bilgi güvenliği konusunun yasal dayanaklarla desteklenmesi önerilmiştir. Bu modelin İstanbul Büyükşehir Belediyesi, bağlı kurumları ve iştirak şirketlerinde nasıl kurulabileceği örnek olarak anlatılmıştır.In parallel to quickly emerging needs of government entities and institutions in recent years, huge advance has appeared in the usage of information Technologies, as a consequence, taking advantage of benefits of information technologies has become one of the primary aims of all organizations.Security of the information produced by the new technological advances emerged a new work area, like systems - which store, convey, evaluate and reproduce the information - has gained very important position in the structure of organizations. Taking precautions for information security and applying these meticulously is the carefully cared area in every organization, anymore.Information Security Governance concept is enlarged with respect to the requirement of the importance of information security, as a consequence, nowadays, all organizations are spending effort for implementing a information technology governance model which is suitable with their organizational processes.The model of Information Security Governance proposed by Solms is discussed in this article and a new model developed based on the Solms?s model is offered to use in public sector and government entity. First of all, it is explained how this model is implemented to one sample government entity. Besides, a new structure including the interaction of the public sector and government entities is introduced to the proposed model due to the knowledge that designing a model with respect to only one government entity is not enough sufficiently. Initially, it is defined how Information Security Governance is to be in only one public institution and its related organizations. In addition, it is explained how and at which level the institutions should be interacted in this model. Moreover, it is emphasized that it is necessary to establish an Information Security Strategies Committee consisting of all public sector and government entities to keep running this system properly. Information security issue certainly has to be supported with the appropriate legal basis. The implementation of the model is explained with a sample in Istanbul Metropolitan Municipality.