BÖLÜM V: SONUÇ VE ÖNERĐLER
5.2. Öneriler
Araştırma bulgularından edinilen sonuçlarla ilgili geliştirilen öneriler, aşağıda uygulama ve araştırmaya yönelik öneriler olmak üzere iki başlıkta sunulmuştur:
Uygulamaya Đlişkin Öneriler:
• Bilgi güvenliğinin sağlanması için sadece teknoloji kullanımı veya tek bir kaynak ve tek bir doküman yeterli olmayacaktır. Farklı standart ve kılavuzlardaki ortak noktalar dikkate alınarak, odak noktası insan unsuru olan bir sistem tasarlanmalı ve uygulanmalıdır.
• Üniversitelerde BT sistemlerine bağımlılığın olması nedeniyle, özellikle BT sistemlerinde bilgi güvenliği temin edilmeli; bunun yanı sıra, süreç ve hizmetlerin aksamadan yürütülmesi için BT sistemlerindeki kesintiler minimumda tutulmalıdır. Bunu sağlamak için, BT sistemlerinde kesintisiz hizmeti daha yüksek seviyede garanti edecek çözümler (yedekli, merkezi ve sürekli izlenen bir yapı) hayata geçirilmeli, BT sistemlerine daha fazla kaynak ayrılmalıdır. Ek olarak bilgi güvenliğinin daha etkili sağlanabilmesi için; BT birimlerinde çalışan personel sayısı artırılmalı, bu personel teknik eğitimlerle, özellikle bilgi güvenliği konusundaki eğitimlerle desteklenmeli, bilgi güvenliği konusunda bilgi ve becerisini sürekli güncel tutmalıdır.
• Araştırma ile oluşturulan ÖBGYS modelin bileşenleri/alt boyutları, model uygulanması için süreç adımları ve sürekli iyileştirme kapsamında ÖBGYS modeli sürecinin sürekli döngü olarak işletilmesi aşamasında, dikkate alınması gereken ipuçları/kritik olan hususlar Şekil 17’de özetlenmiştir. Şekil 17’de içteki alan ÖBGYS model bileşenlerini (“bilgi ve insan”, “süreç ve hizmetler”, “teknoloji” ve “fiziksel ve çevresel ortam”) göstermektedir ve modelde bilgi ve insan unsuru odak noktası olmalıdır. Bilgi güvenliğinin sağlanabilmesi için bu bileşenlerin tamamı dikkate alınmalıdır. Sadece teknolojide kontrollerin tasarlanması veya sadece süreçlerde kontrollerin tasarlanması yeterli olmayacaktır. ÖBGYS süreçleri (“analiz”, “tasarım”,
“tasarımı geliştirme”, “uygulama” ve son olarak “değerlendirme iyileştirme”) işletilirken, ilk adımından itibaren güvenlikteki en zayıf halka olarak nitelendirilen insan unsurunun temel alınıp; kullanıcı gruplarının ve öğrenme hedeflerinin tespiti ile bu unsuru güçlendirmeye yönelik bir süreç işletilmesi hedeflenmelidir. ÖBGYS modelinin süreç adımlarında, her bir adımda önceki adımlara geri besleme yapılmalı ve düzeltici faliyetler bekletilmeden uygulanmalıdır. Böylelikle hızlı ve etkili bir şekilde ilerlenebilecektir. ÖBGYS modelinde uygulanabilir hedefler belirlenmeli ve bir anda çok sıkı güvenlik kontrolleri uygulamaya alınmamalıdır. Kritik olan husus kapsamı belirleyerek aşamalı bir şekilde sürekli iyileştirmeyi hedeflemektir. Modelin etkili bir şekilde uygulanması için üst yönetimin desteğiyle, farklı birimlerden temsilcilerinin olduğu bir komite oluşturulmalıdır. Güvenlik stratejik planlamalarda da yer almalıdır.
• Yukarıda Şekil 17’de en dışta yer alan kısım; modelin etkili olarak uygulanmasında sürekli iyileştirme ilkesi ile tekrarlayan süreç adımları için kritik noktaları ve başarı için ipuçlarını belirtmektedir. Öncelikle “yönetimin desteği” alınmalı; çalışmada “bilgi ve insan grupları ve öğrenme hedefleri” belirlenmeli ve temel alınmalı, farklı gruplar için farklı materyaller geliştirilmeli; “dokümantasyon” ilk aşamada mükemmelliği hedeflemeden, aşamalı iyileştirme ilkesi ile hazırlanmalı ve yayımlanmalı; ÖBGYS için “farkındalık yaratma”’ya yönelik çalışmalara ağırlık verilmeli, bu çalışmalar yapılırken bilgi güvenliği için sorumluluklar ve nelerin yapılabileceği konusunda sağlam temellerin oluşturulması hedeflenmeli; “aşamalı olarak güvenlik kontrollerini devreye alınması” ile gerçekçi ve kullanıcıları zorlamayacak hedeflerle güvenlik adım adım iyileştirilmeli, böylelikle insanların desteğini artırıp tepkisini azaltacak bir yaklaşım benimsenmeli; farkındalığı artırmaya yönelik hazırlanan seminerler bir süre sonra “zorunlu eğitim” haline getirilerek daha geniş kitlelere ulaşılmalı; süreçlerde “mümkün olduğunca otomatizasyon”a geçilmeli böylelikle hem hız kazanılması hem de güvenlik kontrollerinin güçlendirilmesi imkânı sağlanmalı; son olarak ise uygulanan BGYS’nin sürekli iyileştirilmesi kapsamında “süreç performans göstergelerinin analizi ve sunulması” ile sürecin işleyişine yönelik kayıtlar analiz edilerek raporlamalar yapılmalı, böylelikle hem farkındalığın pekiştirilmesi hem de güvenlik iyileştirilmesi için kaynak ihtiyacı ve ek iyileştirmelerin gerekçelendirilmesi sağlanmalı ve “yönetimin desteği”nin devamlılığı temin edilmelidir.
Araştırmaya Đlişkin Öneriler:
• Araştırma kapsamında uygulanan anket bilgi güvenliğine yönelik görüşlerin toplanması amacıyla tüm üniversitelerde uygulanabilir. Böylelikle Türkiye genelindeki durum tespit edilebilir.
• Model pilot uygulaması yapılan üniversitelerde, tüm model adımları tamamlandıktan ve süreç adımları tekrar uygulandıktan sonra kaydedilen gelişmeler incelenebilir.
• Bilgi güvenlik kültürünün geliştirilmesi için neler yapılabileceği araştırılabilir.
• Üniversitelerde yönetim düzeyindekilerin, bilgi güvenliğini nasıl algıladıkları araştırılabilir.
KAYNAKÇA
AKTAŞ, Z. (2003). Türkiye’de Bilgi Toplumuna Nasıl Erişiriz?. Ankara: Türkiye Bilimler Akademisi, TUBĐTAK Matbaası.
ALAGEEL, S. N. (2003). Development of An Information Security Awareness Training Program for The Royal Saudi Naval Forces (RSNF). Unpublished Master’s Thesis, Naval Postgraduate School Monterey, CA. Web: http://cisr.nps.navy.mil/downloads/theses/03thesis_alageel.pdf adresinden 30 Nisan 2005’de alınmıştır.
ALKAN, C. (2005). Eğitim Teknolojisi. Ankara: Anı Yayıncılık, Erdem Matbaası. ANDERSON, R. (2001). Security Engineering. UK: John Wiley and Sons.
BAILEY, C. F. (2003). Analysis of Security Solutions In Large Enterprises, Unpublished Master’s Thesis, Naval Postgraduate School Monterey, CA. Web: http://www.nps.navy.mil/cs/thesis2.asp?id=5 adresinden 30 Nisan 2005’de alınmıştır.
BLACKLEY, B., MCDERMOTT, E. ve GEER, D. (2001). Information Security is Information Risk Management. Proceedings New Security Paradigms Workshop 2001, 97-104. New York:The Association for Computing Machinery press.
BROSTOFF, S. ve SASSE, M. A. (2001). Safe and Sound: A Safety-Critical Approach to Security. Proceedings New Security Paradigms Workshop, 41-47. New York:The Association for Computing Machinery press. Web: http://citeseer.ist.psu.edu/brostoff01safe.html adresinden 3 Şubat 2004’de alınmıştır.
CAN, N. (2002). Değişim Sürecinde Eğitim Yönetimi. Milli Eğitim Dergisi. No:155- 156. Web: http://yayim.meb.gov.tr/dergiler/155-156/can.htm adresinden 4 Mart 2005’de alınmıştır.
ÇAKAR, H. (2005). Bilgisayar Ağ Güvenliği ve Güvenlik Duvarları, Yayımlanmamış Yüksek Lisans Tezi, Fırat Üniversitesi, Fen Bilimleri Enstitüsü.
CHENG, Y. C. (2002). New Paradigm of Borderless Education: Challenges, Strategies and Implications for Effective Education Through Localization and Internalization. Invited keynote speech presented at The International Conference on Learning and Teaching with the theme “Challenge of Learning and teaching in a Brave New World: Issues and Opportunities in Borderless Education”. Thailand: Hatyai. Web:http://www.ied.edu.hk/cird/doc/ speeches/14-16oct02.pdf adresinden 3 Şubat 2004’de alınmıştır.
ÇETĐN, S. (2004). Değişen Değerler ve Eğitim. Milli Egitim Dergisi. No:161. Web: http://yayim.meb.gov.tr/dergiler/161/cetin.htm adresinden 4 Mart 2005’de alınmıştır.
DICK, W., CAREY, L. (1996). The systematic design of instruction (4th ed.). New York: Harper Collins.
DODGE, A. (2008). Educational Security Incidents (ESI) Year In Review-2007. Web:http://www.adamdodge.com/esi/files/Educational Security Incidents Year in Review - 2007.pdf adresinden 20 Kasım 2008’de alınmıştır.
DRUCKER, P. F.,(1994). Kapitalist Ötesi Toplum.,Cev: B. Corakcı. Đstanbul: Đnkılap Kitabevi.
EDUCAUSE (2006). Web: http://www.educause.edu/ adresinden Aralık 2006’da alınmıştır.
EGE, Đ. ve SEZER, S. (2003). Bilgi Teknolojileri Kullanma Đle Akademik Verimlilik
Đlişkisi: Erciyes Üniversitesi Örneği. II. Ulusal Bilgi, Ekonomi ve Yönetim Kongresi. Derbent, Đzmir: Beta Yayım Dağıtım A.Ş., Đstanbul.:322. Web: http://www.bilgiyonetimi.org/cm/pages/mkl_gos.php?nt=233 adresinden 10
Şubat 2005’de alınmıştır.
ELLIOT, R., YOUNG, M. O., COLLĐNS, V. D., FRAWLEY D. ve TEMARES, M. L. (1991). Information Security in Higher Education. CAUSE The Association for the Management of Information Technology in Higher Education,
Professional Paper Series, #5. Web:http://
www.educause.edu/ir/library/pdf/PUB3005.pdf adresinden 2 Eylül 2005’de alınmıştır.
ERAYDIN, A.(2002). Bilgi Toplumuna Geçiş. Ankara: Türkiye Bilimler Akademisi Yayınları.
ERKAN, A. (2006). An Automated Tool for Information Security Management Model, Unpublished Master’s Thesis, The Middle East Tehnical University, The Graduate School of Informatics.
ERSOY, A. F. ve ACARTÜRK, C. (2006). Uluslararası Çevrimiçi Yüksek Öğretim ve Türkiye'nin Durumu: Üniversite Bilgi Đşlemlerine Öneriler. 8. Akademik Bilişim Konferansı. Denizli: Pamukkale Üniversitesi. Web: http://www.metu.edu.tr/~acengiz/ adresinden 7 Mart 2007’de alınmıştır.
GAGNE, R. M., BRIGGS, L. J., ve WAGNER, W. W. (1992). Principles of Instructional Design (4th ed.). New York: Harcourt Brace Jovanovich College Publishers.
GARTNER (2006). Gartner Datapro Research New Gartner Hype Cycle Highlights Five High Impact IT Security Risks. Gartner IT Security Summit. London. GARTNER, ZASTROCKY, M. BITTINGER, S. YANOSKY, R. (2001) Improving
Higher Education IT Security in 2002.
GIBBONS, M. (1998). Higher Education Relevance in the 21st Century. Paper presented at UNESCO World Conference on Higher Education. Paris. Web: http://www.worldbank.org/afr/teia/HE%20Relevance%20Gibbons.pdf
adresinden 2 Eylül 2005’de alınmıştır.
GONZALES, J. J. ve SAWICKA, A.(2002). A Framework for Human Factors in Information Security. Presented at the 2002 WSEAS Int. Conf. On Information Security. Rio de Janerio. Web: http://ikt.hia.no/josejg/ adresinden 2 Eylül 2005’de alınmıştır.
GÖKÇEN, H. (2002).Yönetim Bilgi Sistemleri. Ankara: Epi Yayıncılık. GUREDĐN, E.(1994). Denetim. Đstanbul: Beta Yayınları.
GÜREL, Z. (1995). Özerk Üniversite ve Vakıflar. Mülkiyeliler Birliği Dergisi, Cilt:19, Sayı:181, 47-48.
GÜROL, M. (2002). Web Tabanlı Öğrenme Çevrelerinin Tasarımı. Açık ve Uzaktan Eğitim Sempozyumu 23-25 Mayıs 2002. Web: http://aof20.anadolu.edu.tr/ bildiriler/Mehmet_Gurol.doc adresinden 3 Şubat 2004’de alınmıştır.
HANÇERLĐOĞLU, O. (1992).Türk Dili Sözlüğü: 200.
HONG, L.(2006). Instructional Project Management: An Emerging Professional Practice for Design and Training Programs. Workforce Education Forum.Volume 33, No.2. Web: http://voc.ed.psu.edu/projects/publications/ books/ Fall2006/ WEF_fall2006.1.html adresinden 7 Mart 2007’de alınmıştır. HOWELL, S. L., WILLIAMS, P. B. ve LINDSAY, N. K. (2003). Thirty-two Trends
Affecting Distance Education. Online Journal of Distance Learning Administration, 6(3). 2–16. Web: http://www.emich.edu/cfid/PDFs/ 32Trends.pdf adresinden 3 Şubat 2004’de alınmıştır.
ISTE (2006). The National Educational Technology Standards. Web: http://www.iste.org/standards adresinden 7 Mart 2007’de alınmıştır
KARADAL, H., KAZAN, H. ve UYGUN, M. (2002). Bilişim Teknolojilerine Geçiş Sürecince Küçük ve Orta Ölçekli Sanayi Đşletmelerinin Temel Üretim ve Yönetim Sorunları: Aksaray Örneği. Web: http://www.emu.edu.tr/smeconf/ turkcepdf/bildiri_43.pdf adresinden 3 Şubat 2004’de alınmıştır.
KARAHAN, M. (2003). Eğitimde Bilgi Teknolojileri. Web: http://web.inonu.edu.tr/~mkarahan/ adresinden 3 Şubat 2004’de alınmıştır. KEMP, J., MORRĐSON, G., ve ROSS, S. (1998). Designing Effective Instruction
(2nd ed.). New York: Merrill.
LUKER, M. ve PETERSEN R. (2003). Computer and Network Security in Higher Education. Publications from the EDUCAUSE Office. Web: http://www.educause.edu/ adresinden 3 Şubat 2004’de alınmıştır.
MAKINEN, K. (2005). STRATEGIC SECURITY A Constructivist Investigation of Critical Security and Strategic Organisational Learning Issues: Towards a Theory of Security Development, Unpublished Doctoral Thesis, FINNISH NATIONAL DEFENCE COLLEGE Department of Education. Research Centre for Action Competence, Identity, and Ethics ACIE. Web:http://www.defmin.fi/
chapter_images/3021_3011_Kalevi_MAkinen_Strategic_Security.pdf adresinden 15 Nisan 2006’da alınmıştır.
MCCANN, D., CHRISTMASS, J., NICHOLSON, P. ve STUPARICH, J. (1998). Educational Technology in Higher Education. Web: http://www.dest.gov.au/ archive/highered/occpaper/edtech.pdf adresinden 3 Şubat 2004’de alınmıştır. NAISBITT, J. ve ABURDENE, P. (1990). Megatrend 2000 (Büyük Yönelimler).
Đstanbul: Form Yayınları.
NCES (2006). Safeguarding Your Technology, Practical Guideline For Electronic
Education Information Security. Web:
http://nces.ed.gov/pubs98/safetech/index.asp. adresinden 15 Nisan 2006’da alınmıştır.
NĐŞANCI, M. (2005). Yüksek Öğretimde E-Öğrenme: Çevrimiçi Egitim Vermek
Đsteyen Türk Üniversiteleri Đçin Bir Yol Haritası, Yayımlanmamış Doktora Tezi, Orta Doğu Teknik Üniversitesi, Bilgisayar Eğitimi ve Öğretim Teknolojileri Bölümü. Web: http://etd.lib.metu.edu.tr/upload/ 12606254/index.pdf adresinden 10 Mart 2006’da alınmıştır.
ODTÜ – BĐDB. (2006). BĐDB Hakkında Misyon. Web:http://www.bidb.odtu.edu.tr/ index.php?go=about&sub=mission adresinden 15 Nisan 2006’da alınmıştır. ORTAŞ, Đ. (2004). Üniversite Özerkliği Nedir?. Üniversite ve Toplum Dergisi, Cilt: 4,
Sayı:1. Web: http://www.universite-toplum.org/text.php3?id=179 adresinden 03 Mart 2004’de alınmıştır.
ÖĞÜT, P. (2006). Küreselleşen Dünyada Bilgi Güvenliğine Yönelik Politikalar: Sayısal Đmza Teknolojisi ve Türkiye, Yayımlanmamış Yüksek Lisans Tezi, Ankara Üniversitesi, Sosyal Bilimler Enstitüsü.
ÖZKAN,Ö. (2004). Veri Güvenliğinde Saldırı ve Savunma Yöntemleri, Yayımlanmamış Yüksek Lisans Tezi, Süleyman Demirel Üniversitesi, Fen Bilimleri Enstitüsü.
ÖZKUL E., GĐRGĐNER N. (2001). Uzaktan Eğitimde Teknoloji ve Etkinlik. I. Uluslararası Eğitim Teknolojileri Sempozyumu, Sakarya Üniversitesi, 28- 30 Kasım 2001. Sakarya. Web: http://www.genbilim.com/content/view/ 4979/39/ adresinden 3 Mart 2004’de alınmıştır.
POULSEN, K. (2000). Mitnick to Lawmakers: People, Phones and Weakest Links. Web: http://www.politechbot.com/p-00969.html. adresinden 3 Mart 2004’de alınmıştır.
RUSSELL, B. (Çev.Nail Bezel). (2001). Eğitim Üzerine (Beşinci baskı). Đstanbul: Say Yayınları.
SASSE, M. A., BROSTOFF S. ve WEIRICH D. (2001). Transforming the ‘Weakest Link’ — a Human/Computer Interaction Approach to Usable and Effective Security. BT Technology Journal, 19(3), 122-131. Web: http://www.cs.ucl.ac.uk/staff/A.Sasse/ttw.pdf adresinden 3 Mart 2004’de alınmıştır.
SCHEINER, B. (2000). Secrets and Lies. New York: John Wiley & Sons, Inc.
SMITH P. L. ve RAGAN, T. J. (1999). Instructional Design (2nd ed). New York: Wiley & Sons, Inc.
ŞĐMŞEK, Ş. (2002).Yönetim ve Organizasyon. Konya: Günay Ofset.
TANDOĞAN, M., ÖZER, B., AKKOYUNLU B., KAYA, Z., ODABAŞI F., DERYAKULU, D., ĐMER G. (1998). Çağdaş Eğitimde Yeni Teknolojiler. T.C. Anadolu Üniversitesi Yayınları No:1021. Web: http://www.aof.edu.tr/kitap/IOLTP/1265/unite01.pdf adresinden 2 Şubat 2004’de alınmıştır.
TC Devlet Teşkilatı Rehberi. (1998). Ankara: TODAĐE Yayını.
TDK (Türk Dil Kurumu). (2009). Büyük Türkçe Sözlük. Web:http://www.tdk.gov.tr/ adresinden 2 Ocak 2009‘da alınmıştır.
TONTA, Y. (1999). Bilgi Toplumu ve Bilgi Teknolojisi. Türk Kütüphaneciliği, 13.(4). 363-375. Ankara. Web:http://yunus.hun.edu.tr/~tonta/yayinlar/ biltop99a.htm adresinden 2 Şubat 2004’de alınmıştır.
TOSUN, N. (2006). Bilgisayar Destekli ve Bilgisayar Temelli Öğretim Yöntemlerinin, Öğrencilerin Bilgisayar Dersi Başarısı ve Bilgisayar Kullanım Tutumlarına Etkisi: “Trakya Üniversitesi Eğitim Fakültesi Örneği”, Yayımlanmamış Doktora Tezi, Trakya Üniversitesi, Fen Bilimleri Enstitüsü, Bilgisayar Mühendisliği Ana Bilim Dalı.
TSĐCHRĐTZĐS, D. (1999). Reengineering The University. Communications of the ACM, 42 (6): 93-100. Web: http://www.ii.uni.wroc.pl/~psw/wayback/ www.sejm.gov.pl/wydarzenia/edukacja/denis.pdf adresinden 2 Şubat 2004’de alınmıştır.
TUBĐTAK (2002). Bilgi Toplumu Politikaları Üzerine Bir Değerlendirme. Ankara. Web:http://www.bilten.metu.edu.tr/Web_2002_v1/tr/docs/dunya_bilgi_toplumu _zirvesi/TUBITAK-Bilgi Toplumu Politikalari Degerlendirmesi.pdf adresinden 3 Şubat 2004’de alınmıştır.
UCISA (2006). UCISA Information Security Toolkit, Edition 2.0. Web: http://www.ucisa.ac.uk adresinden 12 Mart 2006’da alınmıştır.
ULUBAY, M., ACARTÜRK, C. (2006). Geçmişten Geleceğe Projeksiyonlar: Bilgi
Đşlem Birimleri Đçin Yol Haritaları. 8. Akademik Bilişim Konferansı. Denizli: Pamukkale Üniversitesi. Web: http://www.metu.edu.tr/~acengiz/ adresinden 4 Mart 2007’de alınmıştır.
UZAY, N. (2001). Bilgi Teknolojilerindeki Gelişme ve Verimlilik Artışı. Đstanbul Üniversitesi Siyasal Bilgiler Fakültesi Dergisi. Đstanbul:No.25, 16.
VIRTANEN, T.(2002). Four Views on Security, Unpublished Doctoral Thesis, Helsinki University of Technology, Department of Computer Science and Engineering. Web: http://www.tml.tkk.fi/~tpv/opiskelijat/tpv.pdf adresinden 3
Şubat 2004’de alınmıştır.
VURAL, Y.; SAĞIROĞLU Ş. (2008). Kurumsal Bilgi Güvenliği ve Standartları Üzerine Bir Đnceleme. Gazi Üniv. Müh. Mim. Fak. Der. Cilt 23, No 2, 507- 522.
YAHYAGĐL, M. Y.(2001). KOBĐ’lerde Bilgisayar Teknolojileri Uygulamaları.
Đstanbul: Đstanbul Ticaret Odası.
YALIN, H. Đ. (2004). Öğretim Teknolojileri ve Materyal Geliştirme. Ankara: Nobel Yayın Dağıtım.
YILDIRIM, A. ve H. SĐMSEK. (1999). Sosyal Bilimlerde Nitel Araştırma Yöntemleri. Ankara: Seçkin Yayınevi.
YILDIRIM, U. ve ÖNER, Ş. (2004). Bilgi Toplumu Sürecinde Yerel Yönetimlerde Eğitim-Bilişim Teknolojisinden Yararlanma : Türkiye’de E-Belediye
Uygulamaları. The Turkish Online Journal of Educational Technology – TOJET. ISSN: 1303-6521 Volume 3, Issue 1, Article 8. Web: http://www.nvi.gov.tr/attached/NVI/makale/16.pdf adresinden 12 Nisan 2005’de alınmıştır.
YILMAZ, S. (2007). Öğretim Tasarımı Modellerinin Karşılaştırılması. Web: http://websitem.gazi.edu.tr/secil.yilmaz/DosyaIndir adresinden 4 Mart 2007’de alınmıştır.
Yükseköğretim Kanunu (2547 Sayılı) (1981). Web:
http://www.yok.gov.tr/content/view/435/183/lang,tr adresinden 5 Ocak 2008’de alınmıştır.
EKLER
EK-1: Yükseköğretimde Bilgi Güvenliği Anketi EK-2: ÖBGYS Güvenlik Kontrol Listesi
Ek-3: Üniversitelerde ÖBGYS Modeli Đle Oluşturulabilecek Örnek Dokümanlar
EK-3.1: Örnek- Üniversite Bilgi Güvenlik Politikası EK-3.2: Örnek- Varlık Envanteri
EK-3.3: Örnek- Risk Analiz Tablosu
Ek-3.4: Örnek- Yöneticiler Đçin Hazırlanan Eğitim Materyali Ek-3.5: Örnek- Kullanıcılar Đçin Hazırlanan Eğitim Materyali Ek-3.6: Örnek- Teknik Personel Đçin Hazırlanan Eğitim Materyali
EK-2: ÖBGYS Güvenlik Kontrol Listesi
Üniversitede bilgi güvenlik yönetim sistemi ile ilgili aşağıdaki ifadelere cevap verebilir misiniz?
No Soru
Evet Hayır Açıklama 1 Üniversitede bilgi güvenliğinin tanımı ve
bilgi güvenliğinin sağlanması için
politikalar/kurallar içeren dokümantasyon mevcuttur.
2 Üniversite kritik varlıklarının (bilgi varlıkları, BT sistemleri vb.) tanımlanması, sınıflandırması ve
kullanımı için dokümantasyon mevcuttur.
3 Risk analizi gerçekleştirilmesi hakkında dokümantasyon mevcuttur.
4 Üniversitede kayıtların/belgelerin ne kadar süre saklanması gerektiğini belirten dokümantasyon mevcuttur.
5 Üniversitede kullanıcılara yönelik, BT sistemlerinin ve uygulamaların kabul edilir kullanım kuralları hakkında dokümantasyon mevcuttur.
6 Kullanıcılara yönelik zararlı kodlardan (virüs, worm vb.) korunma hakkında dokümantasyon mevcuttur.
7 Üniversitede kullanıcılara yönelik, şifre seçiminde ve kullanımında dikkat edilmesi gereken hususları içeren dokümantasyon mevcuttur.
No Soru
Evet Hayır Açıklama 8 Kullanıcıların fiziksel güvenlik veya BT
sistemleri hakkında taleplerin, problem ve sorunların (şüphelenilen güvenlik olayları dahil olmak üzere) bildirimi için
kullanılacak dokümantasyon mevcuttur
9 Acil Durumlarda/felaket durumlarında yapılacakların anlatıldığı dokümantasyon mevcuttur.
10 Yapılacak sözleşmeler içerisinde gerektiğinde gizlilik ve bilgi güvenliği hususlarının da eklenmesi gerektiğini belirten dokümantasyon mevcuttur.
11 Disiplin kurallarını içeren ( içerisinde bilgi güvenlik ihlalleri de belirtilmiştir) dokümantasyon mevcuttur.
12 BT sistemleri için risk analiz dokümantasyonu mevcuttur.
13 BT sistemlerinin envanteri (ayrıt edici kod, tanımı, hangi amaçla kullanıldığı, yönetim sorumlusu, lokasyonu vb.) mevcuttur.
14 BT sistem topoloji çizimleri (örneğin veri iletişim altyapı çizimi vb.) mevcuttur.
No Soru
Evet Hayır Açıklama 15 BT sistemlerinin kurulum ve
konfigürasyon (güvenlik konfigürasyon standartlarını içeren) dokümantasyonu mevcuttur.
16 Sistemler üzerinde kullanıcının tanımlanmasını sağlayan elektronik kimlikler için (uygulamaya girmek için kullanılan kullanıcı adı veya token, akıllı kart vb. araçlar) ilk kez tanımlamadan, iptal edilmesine kadar süreçler için sorumlulukları da belirten
dokümantasyon mevcuttur.
17 Sistemler üzerinde kullanıcı tanımlama (kullanıcı adı standardı) ve kullanıcı
şifrelerine yönelik (şifre uzunluğu, ilk girişte şifre değiştirme, şifre zaman aşımı,
şifre kilitleme, şifre seçiminde sınırlandırmalar vb.) kuralları içeren dokümantasyon mevcuttur.
18 Üniversitede BT sistemlerinin ve uygulamaların güncellemeleri ( yama, yeni versiyon vb.) ve takibi için dokümantasyon mevcuttur.
19 Üniversitede bilgi ve BT sistemlerinin yedeklenmesi konusunda (nelerin yedeğinin hangi periyotta alındığı, nasıl yedekleme alındığı, nasıl restore/geri yükleme yapıldığı vb.) dokümantasyon mevcuttur.
No Soru
Evet Hayır Açıklama 20 Sistemler üzerinde otomatik olarak hangi
kayıtların tutulacağına ve bu kayıtların ne kadar süre saklanacağına yönelik
dokümantasyon mevcuttur.
21 Eğer Üniversite kullanımı için uygulama geliştirme yapılıyorsa güvenlik için kurallar ve standartları belirten dokümantasyon mevcuttur.
22 Kritik merkezi BT sistemlerinin olduğu ortama (sistem platformuna) kimlerin giriş yapabileceği belgelenmiştir.
23 Yönetim, üniversite içinde uygulanacak güvenlik tedbirlerini aktif olarak
desteklemektedir.
24 Üniversitede (Personel, öğrenciler, destek hizmeti alınan 3. taraflar vb. için) bilgi güvenliği rolleri ve sorumlulukları tanımlanmıştır.
25 3. taraflarla yapılan sözleşmeler
içerisinde güvenlik gereksinimleri, bilgi güvenliğine yönelik ilkeler ve
sorumluluklar belirtilmektedir.
26 Servis kesintisi veya felaket durumlarında sorumluluklar belirlenmiştir
No Soru
Evet Hayır Açıklama 27 Personeli işe alırken referans bilgilerin
doğruluğu kontrol edilmektedir
28 Üniversitede BT güvenlik
gereksinimlerini yerine getirebilmek için gerekli kalifiye elemanlar işe alınmakta ve yetiştirilmektedir.
29 Üniversite ile ilişiği kesilen kullanıcıların BT sistemlerindeki kullanıcıları/erişim yetkileri kaldırılmaktadır.
30 Kullanıcı erişim hakları düzenli olarak gözden geçirilmektedir.
31 BT sistemleri kullanımında kişilere görevleri için gereken minimum yetki tanımlaması yapılmaktadır.
32 Kritik işlerde görev ayrımı yapılmaktadır. Bir işin yetkilendirilmesi ile o işin
gerçekleştirilmesi farklı kişiler tarafından yapılmaktadır.
33 Bilgi güvenliğine yönelik farkındalık yaratmak ve sorumlulukların aktarılması için bilinçlendirme ve bilgilendirme ortamları sağlanmaktadır.
No Soru
Evet Hayır Açıklama 34 Üniversitede bilgi güvenliğine yönelik
kurallar ve dokümanlar kişilerin kullanımı için yayınlanmıştır.
35 Bilgi güvenliğine yönelik seminerler periyodik olarak tekrarlanmaktadır
36 Üniversite güvenlik konusunda uzmanlaşmış forum, topluluklar ve profesyonel derneklerle irtibat halindedir.
37 Üniversitede bilgi güvenliğinin sağlanabilmesi için gerekli kuralların