İnsanoğlunun varoluşundan beri sahip olduğu bilgi birikimi katlanarak çoğalmaktadır. Bu artan birikim de beraberinde bu bilgiyi sistematik bir şekilde koruma yollarını araştırmaya itmektedir. Bu sebeple başlangıcı 1990'lı yılların sonuna dayanan bir bilgi güvenliği yönetim sistemi standartlarını oluşturulma çalışmaları süregelmiştir.

İlk defa İngiliz Standartları Enstitüsünün (BSI) 1998'de yayınladığı BS 7799-2 standardında gördüğümüz Bilgi Güvenliği Yönetim Sistemi tanımı, zamanla gelişerek 2005 yılında Uluslararası Standartlar Organizasyonu (ISO) tarafından ISO 27001:2005 olarak Bilgi Güvenliği Yönetim sistemi standardı haliyle yayınlanmıştır. Bu standartla beraber bilgi güvenliğinin sağlanmasında kullanılacak gereksinimlerin uygulama kontrolleri için ISO 27002 : 2005 isminde başka bir standart daha yayınlanmıştır. ODTÜ öğrenci ve personelimiz, kütüphanemizin ilgili veritabanlarına üyeliği sayesinde ISO standartlarına ücretsiz erişebilmektedir.

Uluslararası Standartlar Enstitüsü (ISO) tarafından ISO 27000 grubu altında yer alan bilgi güvenliği standartlarından bir kısmı şöyledir:
ISO/IEC 27000, Bilgi Güvenliği Yönetim Sistemleri - Genel Açıklamalar ve Terminoloji
ISO/IEC 27001, Bilgi Güvenliği Yönetim Sistemleri - Gereksinimler
ISO/IEC 27002, Bilgi Güvenliği Yönetim Sistemleri - Uygulama Kontrolleri
ISO/IEC 27003, Bilgi Güvenliği Yönetim Sistemleri - Uygulama Kılavuzları
ISO/IEC 27004, Bilgi Güvenliği Yönetim Sistemleri - Ölçüm Yöntemleri
ISO/IEC 27005, Bilgi Güvenliği Yönetim Sistemleri - Risk Analizi

Temelde ISO 27001 standardı aşağıdaki bölümler altında sistematik bir yaklaşımla bilgi güvenliği kontrollerini sınıflandıran bir yapıya sahiptir.

• Güvenlik Politikası
• Bilgi Güvenliği Organizasyonu
• Varlık Yönetimi
• İnsan kaynakları Güvenliği
• Fiziksel ve Çevresel Güvenlik
• Haberleşme ve İşletim Güvenliği
• Erişim Kontrolü
• Bilgi Sistemleri Edinim Geliştirme ve Bakımı
• Bilgi Güvenliği İhlal Olayı Yönetimi
• İş Sürekliliği Yönetimi
• Uyum

Bilgi güvenliği standartları, bilginin gizliliği, bütünlüğü ve istenildiği anda erişilebilir olmasıyla ilgilenir. Bu üç temel özelliğin sağlanması ile ilgili olması gerekenleri tanımlar. BGYS kurmak isteyen bir kurum aşağıdaki temel adımlarla bu sistemi kurabilir:

1. Aşama: Kapsam Belirleme
2. Aşama: BGYS Politikası Oluşturma
3. Aşama: Risk Değerlendirme Yaklaşımı
4. Aşama: Risk Belirleme
5. Aşama: Risk Analizi ve Derecelendirme
6. Aşama: Risk İşleme
7. Aşama: Kontrol Seçimi
8. Aşama: Artık Risk Onayı
9. Aşama: Yönetim Onayı
10. Aşama: Uygulanabilirlik Bildirgesi

ODTÜ'de Mart 2010 yılı itibarıyla başlayan ve 3+ yıl süreceği öngörülen Bütünleşik Bilgi Sistemi kurulumunun bilgi güvenliği alt sisteminde yukarıda belirtilen ISO standartları ile birlikte, COBIT / ITIL gibi standartların oluşturduğu bir yol haritasına göre çalışmalar yapılacaktır. Bu kapsamda Bilgi Güvenliği Alt Sistemi Koordinasyon Kurulu oluşturulmuş, çalışmalara başlanmıştır.

Ferdi Ayaydın - Lütfi Oduncuoğlu