ISO/IEC 27001:2022 Bilgi Güvenliği Yönetim Sistemi Kapsamında Bilgi Güvenliği Risk Yönetimi ve Risk Analizi

Yıl 2024, Cilt: 5 Sayı: 2, 1 - 13, 31.12.2024

Melis Böke Yazıcıoğlu

https://doi.org/10.54047/bibted.1447444

Öz

Siber saldırılardaki artış ile bilgi güvenliği ve Bilgi Güvenliği Yönetim Sistemi (BGYS) büyük önem kazanmıştır. BGYS’yi kurmak, kurumların bilgi varlıklarını belirleyerek, önemine göre risklerini tanımlayıp yönetmesine ve iş sürekliliğini sağlamasına destek olmaktadır. BGYS’nin oluşturulması, uygulanması ve yönetilmesi sürecinde Risk Yönetim sürecini de kapsayan birçok husus bulunmaktadır. Kurumlar, farkındalık eksikliği, maliyet ve süreç yönteminin zor olması sebepleri ile bu süreci devreye almaktan çekinmektedir. Bu makale, ISO/IEC 27001:2022 standardı çerçevesinde bilgi güvenliği risk yönetimi ve analizi süreçlerini ele almakta ve kurumların bu süreçleri etkin bir şekilde nasıl uygulayabilecekleri konusuna ışık tutmaktadır. Makalede, risk analizi için kullanılan çeşitli teknikler ve metodolojiler ele alınmıştır. İnceleme sonucunda, risk yönetim metodolojilerinin değinmiş olduğu temel noktaların ve temelde işletilmesi beklenen süreçlerin aynı ya da benzer olduğu tespit edilmiştir. Risk yönetim süreci, risklerin belirlenmesi, analiz edilmesi, değerlendirilmesi, yönetilmesi ve izlenmesi adımlarından oluşur. Her bir adımın önemi ve nasıl uygulanabileceği detaylı olarak incelenmiş olup uygulama aşamasında karşılaşılabilecek zorluklar ve çözüm önerileri analiz edilerek detaylandırılmıştır. Sürecin daha net ele alınabilmesi amacıyla edinilmiş deneyimler ve literatürde yapılan araştırmalar sentezlenerek örnek senaryolara yer verilmiştir.

Anahtar Kelimeler

Bilgi Güvenliği, Bilgi Güvenliği Yönetim Sistemi, Bilgi Güvenliği Risk Yönetimi, ISO/IEC 27001, ISO/IEC 27005

Information Security Risk Management and Risk Analysis within the Scope of ISO/IEC 27001:2022 Information Security Management System

Öz

With the rise in cyber attacks, information security and the Information Security Management System (ISMS) have become crucial. Establishing an ISMS helps organizations identify their information assets, manage risks based on their significance, and ensure business continuity. The process involves various aspects, including Risk Management. Organizations often hesitate to start due to lack of awareness, cost concerns, and perceived complexity. This article explores information security risk management and analysis within the ISO/IEC 27001:2022 standard and provides guidance on effective implementation. It discusses techniques and methodologies for risk analysis. Fundamental points of risk management methodologies and expected processes are found to be similar or identical. The risk management process includes identifying, analyzing, evaluating, managing, and monitoring risks. Each step's importance and implementation are thoroughly examined, including challenges during implementation and proposed solutions. To clarify the process, example scenarios are provided based on research and practical experiences. This approach helps organizations understand and navigate the complexities of establishing and maintaining an effective ISMS.

Anahtar Kelimeler

Information Security, Information Security Management System, Information Security Risk Management, ISO/IEC 27001, ISO/IEC 27005

Kaynakça

• Antunes, M., Maximiano, M., Gomes, R., ve Pinto, D. (2021). Information Security and Cybersecurity Management: A Case Study with SMEs in Portugal. Journal of Cybersecurity and Privacy, 1(2), 219-238.
• Durankaya, İ., Gökşen, Y., Eminağaoğlu, M. (2018, Ekim) ISO/IEC 27001 ISO27001 Bilgi Güvenliği Yönetim Sisteminde Risk Analizi. IMISC 2018 Conference Proceedings, 29-33.
• ISO/IEC 27005:2022 Information Security Risk Management International Standard. (2022).
• ISO/IEC 27001:2022 Information Security Management System International Standard. (2022).
• Kaptan, S., (1995), Bilimsel Araştırma ve İstatistik Teknikleri, Tekışık Web Ofset Yayınları. Ankara
• Marianne S. ve Barbara G. (1996). NIST- Generally Accepted Principles and Practices, Special Publication (NIST SP)- 800-14.
• Mohamed G., Sophia F., Hicham M., Adil S. (2014). Information Security Risk Assessment — A Practical Approach with a Mathematical Formulation of Risk, International Journal of Computer Applications (0975 – 8887).
• Peltier, T. R. (2005). Information Security Risk Analysis (15-42).
• Sağsan, M. (2010). Gelişmişliğin Vazgeçilmez Unsuru: Ulusal Bilgi Politikası.
• Marttin, V., Pehlivan, İ. (2010). ISO 27001:2005 Bilgi Güvenliği Yönetimi Standardı ve Türkiye’deki Bazı Kamu Kuruluşu Uygulamaları Üzerine Bir İnceleme (49-56).
• URL-1: https://www.6clicks.com/resources/answers/what-are-the-four-4-cybersecurity-risk-treatment-mitigation-methods [Erişim Tarihi: 30.11.2023]
• URL-2: https://finans.mynet.com/haber/detay/r/risk-istahi-nedir-risk-istahi-nasil-belirlenir/453728/ [Erişim Tarihi: 26.02.2024]
• URL-3:https://it.bilgi.edu.tr/tr/guvenlik/iso-27001/ [Erişim Tarihi: 18.11.2023]
• URL-4: https://ishayativedenetim.com/2021/03/26/risk-matrisi-nedir/ [Erişim Tarihi: 10.11.2023]
• URL-5: https://www.beyaz.net/tr/guvenlik/makaleler/bilgi_guvenligi.html [Erişim Tarihi: 17.05.2024]
• URL-6: https://belgelendirme.ctr.com.tr/iso-27001.html [Erişim Tarihi: 24.12.2023]