ݺߣ

ݺߣShare a Scribd company logo

BILISIM TEKNOLOJILERINDE HIZMET YONETIMI ve BILGI GUVENLIGI

Ahmet Pekel
Ahmet Pekel

BİMY 17, Bilgi İşlem Merkezi Yöneticileri Semineri, 16 Nisan 2010, Antalya

1 of 39
BİLİŞİM TEKNOLOJİLERİNDE HİZMET YÖNETİMİ ve BİLGİ GÜVENLİĞİ Ahmet PEKEL Antalya, 16 Nisan 2010 1 / 39
Hizmet = Değer Sunmak Beklentiler:  İyi vakit geçirmek  Mutfak  Lezzetli  Makine dairesi yemekler  Gemi elektroniği  Limana GÜVENLİ varış 2 / 39
BT Hizmet Yönetimi Daha kaliteli hizmet Daha hızlı sorun çözümü Daha düşük destek maliyetleri 3 / 39
BT’de Kalite Hedefleri • Süreklilik • Güvenlik • Güvenilirlik • Kullanıcı memnuniyeti • Kaynakları verimli kullanma • Uyumluluk 4 / 39
DAHA İYİ HİZMET VE KALİTELİ ÜRÜNLER SUNABİLMEK İÇİN SÜREÇLERİN İYİLEŞTİRİLMESİ GEREKİR... 5 / 39
6 / 39
BT Hizmet Yönetimi Gelişimi Hizmet Yönetimi, 2007 Odaklanma: İş-BT Uyumu & Stratejik ITIL v3 Entegrasyonu Ortak • İş & Teknoloji için Hizmet Yönetimi • Otomatik ve Entegre Operasyonlar BT Hizmet Yönetimi, • BT Yönetişimi 2000/2001 • Sürekli Geliştirme BT’nin Rolü Hizmet Sağlayıcı Odaklanma: BT Süreçlerinin ITIL v2 Kalitesi ve Verimliliği • BT hizmet sağlayıcıdır BT Altyapı • BT İş’ten ayrıdır. Yönetimi,1980 • BT bütçesi kontrol edilmesi gereken maliyettir. Odaklanma: Teknoloji Altyapısının Kontrolü Teknoloji • BT teknik odaklıdır. Sağlayıcı • BT İş kesintilerinin azaltılması için çalışır. ITIL v1 7 / 39 Zaman Kaynak : Deloitte, 2009
BT Hizmet Yönetimi Vaka Yönetimi Olay Yönetimi Hizmet Kataloğu Geçiş Planlama & Talep Yönetimi Yönetimi Destek Hizmet Seviyesi Değişiklik Yönetimi Problem Yönetimi Yönetimi Hizmet ղı & Kapasite Yönetimi Erişim Yönetimi Konfigü. Yönetimi Finansal Yönetim Yaygınlaştırma & Erişilebilirlik Yönetimi Hizmet Masası Sürüm Yönetimi Hizmet Portföy BT Hizmet Sürekliliği Hizmet Doğrulama & Yönetimi Teknik Yönetim Yönetimi Test Bilgi Güvenliği BT Operasyonları Gereksinim Yönetimi Değerlendirme Yönetimi Yönetimi Strateji Üretimi Tedarikçi Yönetimi Bilgi Yönetimi Uygulama Yönetimi Hizmet Hizmet Hizmet Hizmet Stratejisi Tasarımı Geçişi Operasyonu Sürekli Hizmet Geliştirme Hizmet Geliştirmenin 7 Adımı Hizmet Raporlama Hizmet Ölçme 8 / 39 Kaynak:Deloitte, ITIL v3, 2009
BT Hizmet Tasarımı İnsan  Hizmetler  Teknoloji Ürünler Süreç  Gereçler Paydaşlar  Tedarikçiler  Üreticiler  Satıcılar 9 / 39
Türkiye’de internet kullanıcı sayısı 2000-2009 yılları arasında 12 kat büyüdü. Nüfusun (75 milyon 738 bin 836) %35’i internet kullanıcısı (26 milyon 500 bin). (Kaynak:http://www.internetworldstats.com, 31 Mart 2009) 10 / 39
Güvenlik ? 11 / 39
Tehdit Unsurlarının Amaçları Farklı Olabilir... 12 / 39
Tehdit Unsurlarının Yöntemleri Çeşitlilik Gösterebilir... 13 / 39
Amaç Korumaksa... 14 / 39
ղı Koruma Koruma, korunan şeyin değeriyle doğru orantılı olmalıdır. 15 / 39
ղı Bilgi İtibar Yazılım VARLIK İnsan Donanım Hizmet Mekan 16 / 39
Bilgi ղı Sınıflaması Çok Gizli Gizli Özel Hizmete Özel Kişiye Özel Tasnif Dışı 17 / 39
Bilgi ղı Sınıflaması Çok Gizli Gizli Özel Hizmete Kişiye Tasnif Özel Özel Dışı Erişim Üst Hakları Yönetim ? ? ? ? ? ? Çelik Kasa Saklama ? ? ? ? ? ? Özel Kurye İletim ? ? ? ? ? ? Kağıt İmha Parçalayıcı ? ? ? ? ? ? 18 / 39
Bilgi ղı Değerinin Belirlenmesi Değerlendirme Kriterleri Gizlilik Bütünlük Erişebilirlik İş Kaybı ? Yüksek ? ? İtibar Kaybı Çok Düşük ? ? ? Ek Maliyetler ? ? Çok Yüksek ? Yasal Yükümlülükler ? Orta ? ? Çalışanların Morali Düşük ? ? ? Çok Yüksek = 5, Yüksek = 4, Orta = 3, Düşük = 2, Çok Düşük = 1 19 / 39
Bilgi Varlığı Bazında Risk Değerlemesi ղı : Taşınabilir Bellek ղı Değeri : İçindeki Bilginin Değeri Zayıflık : Korunmasız bir şekilde açıkta bırakılması, taşınabilir olması nedeniyle kaybolma tehlikesi Tehdit : Hırsızlık Risk : Gizli bilginin ele geçmesi, maddi kayıp veya itibar kaybı RİSK = f(VARLIK DEĞERİ, TEHDİT, ZAYIFLIK , OLASILIK) 20 / 39
ISO 27001 Kapsamı Yönetsel Süreçler Yönetsel Bilgi Güvenliği Politikası Teknik Süreçler Fiziksel Süreçler Bilgi Güvenliği Organizasyonu ղı ve Risk Uyumluluk Yönetimi BS 25999 İş Sürekliliği İnsan Kaynakları İş Sürekliliği Yönetimi Yönetimi Güvenliği Operasyonel Fiziksel ve Çevresel Bilgi Güvenliği Olay Güvenlik Yönetimi Bilgi Sistemleri Haberleşme ve İşletim Erişim Kontrolü 21 / 39 Geliştirme, Bakım Edinim, Yönetimi
ISO 27000 SERİSİ TARİHSEL GELİŞİMİ 22 / 39
ISO 27001 STANDARDI Bilgi güvenliği yönetim metodolojisidir, Yapısaldır, Süreç temellidir, Yönetsel süreçlere ihtiyaç duyar, En iyi uygulamalara göre geliştirilmektedir. Teknoloji ölçme aracı değildir. Teknik bir standart değildir. 23 / 39
SERTİFİKA, GÜVENLİK VE KALİTE SEVİYENİZİ YÜKSELTMEZ; GÜVENLİK ve KALİTE GEREKLİLİKLERİNİ YERİNE GETİRDİĞİNİZ SÜRECE SERTİFİKA ALMAYA HAK KAZANABİLİRSİNİZ. GÜVENLİK ve KALİTEDE DEVAMLILIK ESASTIR... 24 / 39
Web sitesi ataklarının %78’i yazılım katmanında gerçekleştiriliyor (Cenzic Web Application Security Trends Report, 2009) Uygulama Güvenliği Sistem Güvenliği Ağ Güvenliği 25 / 39
Yazılım güvenliği konusunda farkındalık yeterli değil ! Uygulama güvenliğini yazılım geliştirme yaşam döngüsünün parçası olarak ele alan organizasyonların oranı : %31 (Deloitte, 2008). 26 / 39
Yazılım Geliştirmede CMMI (Bütünleşik Olgunluk Modeli) 27 / 39
Tespitler...  Yazılım güvenliği konusunda farkındalık yeterli değil.  Organizasyon düzeyinde  Yazılım geliştirici düzeyinde  Tedarikçiler düzeyinde  Güvenlik, çoğu kez kod geliştiricinin öncelikleri arasında yer almıyor, zaman kaybettirdiği düşünülüyor.  Hızlı kod geliştirme ihtiyacı, güvenlik kontrollerinin gerçekleştirilmesinde direnç oluşmasına neden oluyor.  Eğitim ihtiyacı var.  Uygulama Güvenliği ve Farkındalık Eğitimleri  Üniversitelerde ders olarak verilebilir.  E-öğrenme olanakları kullanılabilir.  E-Devlet çalışmaları kapsamında ele alınabilir. 28 / 39
Güvenlik açıkları kodu baştan yazmayı gerektirebilir... • Uygulama Geliştirme Güvenliği, Uygulama Geliştirme Yaşam Döngüsünün bir alt süreci olarak ele alınmalıdır. – Yazılım geliştirme ve bakım aşamalarında kod düzeyinde güvenlik test süreci ilave edilmelidir. – Geliştirme zamanının belli bir bölümü (%5-10) kod analizine ayrılmalıdır. – Kontroller otomatik ve manuel düzeyde iki aşamalı yapılmalıdır. • Kontroller ; – kod yazılırken, – geliştirme sonrasında, üretime geçiş öncesinde, – üretimde belli periyodlarda yapılmalıdır. – Dışarıdan alınan test hizmetlerine uygulama güvenliğine yönelik kontroller ilave edilmelidir. 29 / 39
Mobil Teknolojilerdeki Gelişmeler Kapsamında Uygulama Güvenliği... • GSM operatör bilgilerine göre Türkiye’de 2009’un 3.çeyreği itibariyle 63.8 milyon civarında cep telefonu abonesi bulunuyor. • 3G (>4G) teknolojilerinin kullanımı ile birlikte mobil uygulamaların kullanım oranlarında daha hızlı bir artış beklenebilir. • Mobil uygulama güvenliği GSM operatörleri, uygulama sahibi kurum ve kuruluşlar, kullanıcılar çerçevesinde farkındalık yaratılması gereken alanlardan biridir. 30 / 39
Bilgi Güvenliğinde Öncelikli İlk Beş Konu 31 / 39 Kaynak : 2008 Global Security Survey, Deloitte
İlgili Düzenlemeler • BASEL II Sermaye Uzlaşı Belgesi, AB Haziran 1999 • Sarbanes-Oxley Kanunu, ABD Temmuz 2002 • 5018 Kamu Mali Yönetimi ve Kontrol Kanunu Kasım 2003 Ekim 2006 • 5411 Bankacılık Kanunu Mayıs 2006 • Bankalarda Bilgi Sistemleri Denetimi Yönetmeliği 32 / 39
İlgili Düzenlemeler (devam) Temmuz • Bilgi Toplumu Stratejisi ve Eylem Planı 2006 Kasım • Kamu İç Denetim Standartları 2006 • Kamu İç Kontrol Standartları Tebliği Aralık 2007 • Türkiye Denetim Standartları Kurulu Kurulmasına Yönelik Çalışma Mayıs 2008 • Kamu Denetim Kurumu Kanun Tasarısı Mayıs 2008 • Ulusal Sanal Ortam Güvenlik Politikası Şubat 2009 • E-Dönüşüm Türkiye Projesi Birlikte Çalışabilirlik Esasları Rehberi Ağustos • E-Devlet ve Bilgi Toplumu Kanun Tasarısı Taslağı 2009 33 / 39
COBIT (Control Objectives for Information and Related Technology) KONTROL HEDEFLERİ •PO1 Define Strategic IT Plan •AI1 Identify Automated Solutions •PO2 Define Information Architecture •AI2 Acquire & Maintain Application Software •PO3 Determine Technological Direction •AI3 Acquire & Maintain Technology Infrastructure •PO4 Define IT Processes, Organization, Relations •AI4 Enable Operation & Use •PO5 Manage IT Investment •AI5 Procure IT Resources •PO6 Communicate Aims & Direction •AI6 Manage Change •PO7 Manage IT Human Resource •AI7 Install & Accredit Solutions & Changes •PO8 Manage Quality •PO9 Assess & Manage IT Risks • PO10 Manage Projects Plan & Organize Acquire & Implement (Planlama ve Organizasyon) (Tedarik ve Uygulama) •DS1 Define & Manage Service Levels •DS2 Manage Third Party Services Monitor & Evaluate Deliver & Support •DS3 Manage Performance & Capacity •ME1 Monitor & Evaluate IT (İzleme ve Değerlendirme) (Teslimat ve Destek) •DS4 Ensure Continuous Service Performance •DS5 Ensure System Security •ME2 Monitor & Evaluate Internal •DS6 Identify & Allocate Costs Control •DS7 Educate & Train Users •ME3 Ensure Regulatory •DS8 Manage Service Desk & Incident Compliance •DS9 Manage Configuration •ME4 Provide IT Governance •DS10 Manage Problems •DS11 Manage Data •DS12 Manage Physical Environment •DS13 Manage Operations 34 / 39
Süreç Olgunluk Seviyeleri 35 / 39 Kaynak:Deloitte,2009
Bilgiye Kurumsal Koruma 36 / 39
Bilginin Korunmasında Yönetsel Destek YÖNETİM Tehdit Tehdit Süreçler, Standartlar, Kurallar BİLİNÇLİ ÇALIŞANLAR TEKNOLOJİK ve Tehdit BİLGİ BİLGİ FİZİKSEL ÖNLEMLER Tehdit EĞİTİM Tehdit 37 / 39
Bilginin Korunmasında Yönetsel Destek Vizyon Stratejiler Politikalar Planlar BGYS 38 / 39
Teşekkürler... Ahmet PEKEL 39 / 39

More Related Content

BILISIM TEKNOLOJILERINDE HIZMET YONETIMI ve BILGI GUVENLIGI

  • 1. BİLİŞİM TEKNOLOJİLERİNDE HİZMET YÖNETİMİ ve BİLGİ GÜVENLİĞİ Ahmet PEKEL Antalya, 16 Nisan 2010 1 / 39
  • 2. Hizmet = Değer Sunmak Beklentiler:  İyi vakit geçirmek  Mutfak  Lezzetli  Makine dairesi yemekler  Gemi elektroniği  Limana GÜVENLİ varış 2 / 39
  • 3. BT Hizmet Yönetimi Daha kaliteli hizmet Daha hızlı sorun çözümü Daha düşük destek maliyetleri 3 / 39
  • 4. BT’de Kalite Hedefleri • Süreklilik • Güvenlik • Güvenilirlik • Kullanıcı memnuniyeti • Kaynakları verimli kullanma • Uyumluluk 4 / 39
  • 5. DAHA İYİ HİZMET VE KALİTELİ ÜRÜNLER SUNABİLMEK İÇİN SÜREÇLERİN İYİLEŞTİRİLMESİ GEREKİR... 5 / 39
  • 7. BT Hizmet Yönetimi Gelişimi Hizmet Yönetimi, 2007 Odaklanma: İş-BT Uyumu & Stratejik ITIL v3 Entegrasyonu Ortak • İş & Teknoloji için Hizmet Yönetimi • Otomatik ve Entegre Operasyonlar BT Hizmet Yönetimi, • BT Yönetişimi 2000/2001 • Sürekli Geliştirme BT’nin Rolü Hizmet Sağlayıcı Odaklanma: BT Süreçlerinin ITIL v2 Kalitesi ve Verimliliği • BT hizmet sağlayıcıdır BT Altyapı • BT İş’ten ayrıdır. Yönetimi,1980 • BT bütçesi kontrol edilmesi gereken maliyettir. Odaklanma: Teknoloji Altyapısının Kontrolü Teknoloji • BT teknik odaklıdır. Sağlayıcı • BT İş kesintilerinin azaltılması için çalışır. ITIL v1 7 / 39 Zaman Kaynak : Deloitte, 2009
  • 8. BT Hizmet Yönetimi Vaka Yönetimi Olay Yönetimi Hizmet Kataloğu Geçiş Planlama & Talep Yönetimi Yönetimi Destek Hizmet Seviyesi Değişiklik Yönetimi Problem Yönetimi Yönetimi Hizmet ղı & Kapasite Yönetimi Erişim Yönetimi Konfigü. Yönetimi Finansal Yönetim Yaygınlaştırma & Erişilebilirlik Yönetimi Hizmet Masası Sürüm Yönetimi Hizmet Portföy BT Hizmet Sürekliliği Hizmet Doğrulama & Yönetimi Teknik Yönetim Yönetimi Test Bilgi Güvenliği BT Operasyonları Gereksinim Yönetimi Değerlendirme Yönetimi Yönetimi Strateji Üretimi Tedarikçi Yönetimi Bilgi Yönetimi Uygulama Yönetimi Hizmet Hizmet Hizmet Hizmet Stratejisi Tasarımı Geçişi Operasyonu Sürekli Hizmet Geliştirme Hizmet Geliştirmenin 7 Adımı Hizmet Raporlama Hizmet Ölçme 8 / 39 Kaynak:Deloitte, ITIL v3, 2009
  • 9. BT Hizmet Tasarımı İnsan  Hizmetler  Teknoloji Ürünler Süreç  Gereçler Paydaşlar  Tedarikçiler  Üreticiler  Satıcılar 9 / 39
  • 10. Türkiye’de internet kullanıcı sayısı 2000-2009 yılları arasında 12 kat büyüdü. Nüfusun (75 milyon 738 bin 836) %35’i internet kullanıcısı (26 milyon 500 bin). (Kaynak:http://www.internetworldstats.com, 31 Mart 2009) 10 / 39
  • 12. Tehdit Unsurlarının Amaçları Farklı Olabilir... 12 / 39
  • 13. Tehdit Unsurlarının Yöntemleri Çeşitlilik Gösterebilir... 13 / 39
  • 15. ղı Koruma Koruma, korunan şeyin değeriyle doğru orantılı olmalıdır. 15 / 39
  • 16. ղı Bilgi İtibar Yazılım VARLIK İnsan Donanım Hizmet Mekan 16 / 39
  • 17. Bilgi ղı Sınıflaması Çok Gizli Gizli Özel Hizmete Özel Kişiye Özel Tasnif Dışı 17 / 39
  • 18. Bilgi ղı Sınıflaması Çok Gizli Gizli Özel Hizmete Kişiye Tasnif Özel Özel Dışı Erişim Üst Hakları Yönetim ? ? ? ? ? ? Çelik Kasa Saklama ? ? ? ? ? ? Özel Kurye İletim ? ? ? ? ? ? Kağıt İmha Parçalayıcı ? ? ? ? ? ? 18 / 39
  • 19. Bilgi ղı Değerinin Belirlenmesi Değerlendirme Kriterleri Gizlilik Bütünlük Erişebilirlik İş Kaybı ? Yüksek ? ? İtibar Kaybı Çok Düşük ? ? ? Ek Maliyetler ? ? Çok Yüksek ? Yasal Yükümlülükler ? Orta ? ? Çalışanların Morali Düşük ? ? ? Çok Yüksek = 5, Yüksek = 4, Orta = 3, Düşük = 2, Çok Düşük = 1 19 / 39
  • 20. Bilgi Varlığı Bazında Risk Değerlemesi ղı : Taşınabilir Bellek ղı Değeri : İçindeki Bilginin Değeri Zayıflık : Korunmasız bir şekilde açıkta bırakılması, taşınabilir olması nedeniyle kaybolma tehlikesi Tehdit : Hırsızlık Risk : Gizli bilginin ele geçmesi, maddi kayıp veya itibar kaybı RİSK = f(VARLIK DEĞERİ, TEHDİT, ZAYIFLIK , OLASILIK) 20 / 39
  • 21. ISO 27001 Kapsamı Yönetsel Süreçler Yönetsel Bilgi Güvenliği Politikası Teknik Süreçler Fiziksel Süreçler Bilgi Güvenliği Organizasyonu ղı ve Risk Uyumluluk Yönetimi BS 25999 İş Sürekliliği İnsan Kaynakları İş Sürekliliği Yönetimi Yönetimi Güvenliği Operasyonel Fiziksel ve Çevresel Bilgi Güvenliği Olay Güvenlik Yönetimi Bilgi Sistemleri Haberleşme ve İşletim Erişim Kontrolü 21 / 39 Geliştirme, Bakım Edinim, Yönetimi
  • 22. ISO 27000 SERİSİ TARİHSEL GELİŞİMİ 22 / 39
  • 23. ISO 27001 STANDARDI Bilgi güvenliği yönetim metodolojisidir, Yapısaldır, Süreç temellidir, Yönetsel süreçlere ihtiyaç duyar, En iyi uygulamalara göre geliştirilmektedir. Teknoloji ölçme aracı değildir. Teknik bir standart değildir. 23 / 39
  • 24. SERTİFİKA, GÜVENLİK VE KALİTE SEVİYENİZİ YÜKSELTMEZ; GÜVENLİK ve KALİTE GEREKLİLİKLERİNİ YERİNE GETİRDİĞİNİZ SÜRECE SERTİFİKA ALMAYA HAK KAZANABİLİRSİNİZ. GÜVENLİK ve KALİTEDE DEVAMLILIK ESASTIR... 24 / 39
  • 25. Web sitesi ataklarının %78’i yazılım katmanında gerçekleştiriliyor (Cenzic Web Application Security Trends Report, 2009) Uygulama Güvenliği Sistem Güvenliği Ağ Güvenliği 25 / 39
  • 26. Yazılım güvenliği konusunda farkındalık yeterli değil ! Uygulama güvenliğini yazılım geliştirme yaşam döngüsünün parçası olarak ele alan organizasyonların oranı : %31 (Deloitte, 2008). 26 / 39
  • 27. Yazılım Geliştirmede CMMI (Bütünleşik Olgunluk Modeli) 27 / 39
  • 28. Tespitler...  Yazılım güvenliği konusunda farkındalık yeterli değil.  Organizasyon düzeyinde  Yazılım geliştirici düzeyinde  Tedarikçiler düzeyinde  Güvenlik, çoğu kez kod geliştiricinin öncelikleri arasında yer almıyor, zaman kaybettirdiği düşünülüyor.  Hızlı kod geliştirme ihtiyacı, güvenlik kontrollerinin gerçekleştirilmesinde direnç oluşmasına neden oluyor.  Eğitim ihtiyacı var.  Uygulama Güvenliği ve Farkındalık Eğitimleri  Üniversitelerde ders olarak verilebilir.  E-öğrenme olanakları kullanılabilir.  E-Devlet çalışmaları kapsamında ele alınabilir. 28 / 39
  • 29. Güvenlik açıkları kodu baştan yazmayı gerektirebilir... • Uygulama Geliştirme Güvenliği, Uygulama Geliştirme Yaşam Döngüsünün bir alt süreci olarak ele alınmalıdır. – Yazılım geliştirme ve bakım aşamalarında kod düzeyinde güvenlik test süreci ilave edilmelidir. – Geliştirme zamanının belli bir bölümü (%5-10) kod analizine ayrılmalıdır. – Kontroller otomatik ve manuel düzeyde iki aşamalı yapılmalıdır. • Kontroller ; – kod yazılırken, – geliştirme sonrasında, üretime geçiş öncesinde, – üretimde belli periyodlarda yapılmalıdır. – Dışarıdan alınan test hizmetlerine uygulama güvenliğine yönelik kontroller ilave edilmelidir. 29 / 39
  • 30. Mobil Teknolojilerdeki Gelişmeler Kapsamında Uygulama Güvenliği... • GSM operatör bilgilerine göre Türkiye’de 2009’un 3.çeyreği itibariyle 63.8 milyon civarında cep telefonu abonesi bulunuyor. • 3G (>4G) teknolojilerinin kullanımı ile birlikte mobil uygulamaların kullanım oranlarında daha hızlı bir artış beklenebilir. • Mobil uygulama güvenliği GSM operatörleri, uygulama sahibi kurum ve kuruluşlar, kullanıcılar çerçevesinde farkındalık yaratılması gereken alanlardan biridir. 30 / 39
  • 31. Bilgi Güvenliğinde Öncelikli İlk Beş Konu 31 / 39 Kaynak : 2008 Global Security Survey, Deloitte
  • 32. İlgili Düzenlemeler • BASEL II Sermaye Uzlaşı Belgesi, AB Haziran 1999 • Sarbanes-Oxley Kanunu, ABD Temmuz 2002 • 5018 Kamu Mali Yönetimi ve Kontrol Kanunu Kasım 2003 Ekim 2006 • 5411 Bankacılık Kanunu Mayıs 2006 • Bankalarda Bilgi Sistemleri Denetimi Yönetmeliği 32 / 39
  • 33. İlgili Düzenlemeler (devam) Temmuz • Bilgi Toplumu Stratejisi ve Eylem Planı 2006 Kasım • Kamu İç Denetim Standartları 2006 • Kamu İç Kontrol Standartları Tebliği Aralık 2007 • Türkiye Denetim Standartları Kurulu Kurulmasına Yönelik Çalışma Mayıs 2008 • Kamu Denetim Kurumu Kanun Tasarısı Mayıs 2008 • Ulusal Sanal Ortam Güvenlik Politikası Şubat 2009 • E-Dönüşüm Türkiye Projesi Birlikte Çalışabilirlik Esasları Rehberi Ağustos • E-Devlet ve Bilgi Toplumu Kanun Tasarısı Taslağı 2009 33 / 39
  • 34. COBIT (Control Objectives for Information and Related Technology) KONTROL HEDEFLERİ •PO1 Define Strategic IT Plan •AI1 Identify Automated Solutions •PO2 Define Information Architecture •AI2 Acquire & Maintain Application Software •PO3 Determine Technological Direction •AI3 Acquire & Maintain Technology Infrastructure •PO4 Define IT Processes, Organization, Relations •AI4 Enable Operation & Use •PO5 Manage IT Investment •AI5 Procure IT Resources •PO6 Communicate Aims & Direction •AI6 Manage Change •PO7 Manage IT Human Resource •AI7 Install & Accredit Solutions & Changes •PO8 Manage Quality •PO9 Assess & Manage IT Risks • PO10 Manage Projects Plan & Organize Acquire & Implement (Planlama ve Organizasyon) (Tedarik ve Uygulama) •DS1 Define & Manage Service Levels •DS2 Manage Third Party Services Monitor & Evaluate Deliver & Support •DS3 Manage Performance & Capacity •ME1 Monitor & Evaluate IT (İzleme ve Değerlendirme) (Teslimat ve Destek) •DS4 Ensure Continuous Service Performance •DS5 Ensure System Security •ME2 Monitor & Evaluate Internal •DS6 Identify & Allocate Costs Control •DS7 Educate & Train Users •ME3 Ensure Regulatory •DS8 Manage Service Desk & Incident Compliance •DS9 Manage Configuration •ME4 Provide IT Governance •DS10 Manage Problems •DS11 Manage Data •DS12 Manage Physical Environment •DS13 Manage Operations 34 / 39
  • 35. Süreç Olgunluk Seviyeleri 35 / 39 Kaynak:Deloitte,2009
  • 37. Bilginin Korunmasında Yönetsel Destek YÖNETİM Tehdit Tehdit Süreçler, Standartlar, Kurallar BİLİNÇLİ ÇALIŞANLAR TEKNOLOJİK ve Tehdit BİLGİ BİLGİ FİZİKSEL ÖNLEMLER Tehdit EĞİTİM Tehdit 37 / 39
  • 38. Bilginin Korunmasında Yönetsel Destek Vizyon Stratejiler Politikalar Planlar BGYS 38 / 39
  • 39. Teşekkürler... Ahmet PEKEL 39 / 39