Bilgi Güvenliği Yönetim Sistemi (BGYS), bir kurumdaki bilgi güvenliğini tasarlayan, gerçekleyen, işleten, gözleyen, değerlendiren, bakımını yapan ve geliştiren bir çerçeve sağlamaktadır. BGYS aşağıdaki maddelerin oluşturulmasında yardımcı olur:
- İş aktivitelerinde meydana gelen riskleri yönetebilmek
- Güvenlik olaylarına müdahale aktivitelerini yönetebilmek
- Kurumda güvenlik kültürünün oluşmasını sağlamak
Bir kurum neden BGYS kurmalıdır sorusuna aşağıdaki cümleler cevap olarak verilebilir:
- Teknik imkanlarla gerçekleştirilen bilgi güvenliği sınırlı kalmaktadır.
- Güvenlik ayrıca personele, politikalara, süreçlere ve prosedürlere de bağlıdır.
- Kaynaklar sınırlıdır.
- Bir seferde ulaşılabilecek bir hedef değil, süreklilik gerektiren bir aktivitedir.
Bir kurumda BGYS kuruluysa aşağıdaki maddeler yapılıyor/sağlanıyor demektir:BGYS bir kurumda %100 güvenlik sağlamamaktadır. %100 güvenliğin sağlanmaya çalışıldığı yerlerde aşırı harcama ve normal operasyonda yavaşlama meydana gelmektedir. Ayrıca BGYS yalnızca teknik ya da teknolojik bir sistem olarak görülmemelidir. Bunlara ilave olarak getirilen düzen, gözden geçirme ve bilinç de hesaba katılmalıdır. Pek çok kurumda karşılaşılan bir başka yanlış kanı da BGYS’nin sadece bir bilgi işlem faaliyeti olarak görülmesidir. Halbuki BGYS tüm kurumu ve özellikle üst düzey yöneticileri ilgilendiren bir faaliyet olarak görülmelidir. Kurumlarda karşılaşılan bir başka yanlış kanı da BGYS projesinin dışarıdan bir kurumun danışmanlığıyla gerçekleştirebileceği bir proje olarak görülmesidir. Kurumun hedef ve önceliklerinin dışarıdan doğru olarak belirlenmesi hemen hemen mümkün olmamakta, kurum içinden de projeye önemli derecede destek gelmesi beklenmektedir. BGYS projesi bir elbise, danışmanlık veren kurum da terzi olarak düşünüldüğünde, terzinin kuruma uygun olarak elbiseyi dikmesi için mutlaka kurumdan yardım alması gerekmektedir.
- Risk analizi
- Risklere karşı önlem:
- Politika ve prosedürler
- Yazılım/donanım tedarikleri
- Bilgi güvenliği farkındalık faaliyetleri