YBS 4004 Sistem Güvenliği

YBS 4004 Ön Bilgi Hedef Grup: İş ve ticari yaşamda, bilgi güvenliğinin belli konularında deneyim sahibi olması gereken tüm lisans öğrencilerine yönelik genele açık bir derstir. Dersin adı Sistem Güvenliği olarak geçse de, esas temeli ve kapsamı Bilgi Güvenliği Yönetim Sistemleri'dir (ISMS – Inormation Security Management Systems) Günümüzde, şirketlerdeki sadece bilişim birimleri değil; Lojistik, İşletme, İnsan Kaynakları, Süreç Birimleri, Kalite Departmanları, Denetim Departmanları, Hukuk, Mali Birimler, Yönetim Kademeleri, vb için de gerekli olan ve önem kazanan bir konudur. Süre: Haftada 3 saat, (3 + 0, teorik) Standartlar / Modeller: ISO, ISC2, COBIT, ITIL 2

YBS 4004 Özet Kapsam İş hayatına yönelik ve yönetimsel bakış açısıyla, bilgi güvenliğinin temel unsurları olan gizlilik, bütünlük ve kullanılabilirlik ve iş sürekliliğinin yönetilmesindeki gerekli iş ve ticaret stratejileri, politikaları, prosedürleri ve bunların planlanmasının öğretilmesi amaçlanmaktadır. Bu ders, bilişim amaçlı değildir, veya kapsamı teknoloji, bilgi teknolojilerinin güvenliği, bilgisayar güvenliği, vb değildir. Bu unsurlar, dersin sadece belli kısımlarını oluşturmakta olup bu dersin esas amacı ve temel kapsamı ise; bilgi güvenliği ve bunun yönetiminin iş hayatındaki birçok farklı meslek ve alandaki ortak temel gereksinim ve “best-practice” lerinin anlatılmasıdır. Sadece “Ne?” sorularına değil, bunun yanı sıra “Nasıl?” sorularına da tatmin edici ve uygulanabilir yanıtları verecek şekilde gerçek yaşam ve günümüz iş hayatının güncel ve en gerçekçi konuları ve deneyimlerinden oluşmaktadır. 3

YBS 4004 Özet Kapsam Yönetimsel iş stratejilerinin bilgi güvenliği stratejileri ile paralelliğinin sağlanması, Lojistik, üretim bandı, tedarik zinciri, vb süreçlerle güvenliğin etkileşimi, Risklerin analizi, ölçümü ve yönetilmesi, Kurumlardaki organizasyonların yapılanmasının güvenlikle olan ilişkileri, İnsan Kaynakları ve personel istihdamında güvenlik konuları, İş sürekliliği, fiziksel güvenlik ve bunların bilgi güvenliği ile olan temel etkileşimleri, Kurumlardaki iş süreçlerinin bilgi güvenliği bazlı denetimi,kontrolü ve yönetimi, Ticari yaşamı etkileyen bilişim suçları, ilgili yasalar, mevzuatların irdelenmesi ...bu dersin en temel hedefleri ve kapsamı olarak özetlenebilir. 4

YBS 4004 Konular 1 Sistem güvenliğine ve risklerine giriş; temel kavramlar ve terimler 2 Sistem güvenliği yönetim -1; uluslararası standartlar, metodolojiler, en iyi uygulamalar 3 Sistem güvenliği yönetim -2; ISMS, ISO 27001, ISO 27002, PUKÖ modeli, iş süreçleri ve bilgi güvenliği ile olan ilişkisi, risk odaklı yönetim kavramları 4 ISO/IEC 27001 deki ISMS; önemli aşamalar, kontrol, risk analizi ve değerlendirmesi, izleme, denetimler, ISO 27001 sertifika süreci 5 ISO/IEC 27001 yardımıyla ISMS in uygulaması; aşamalar, kritik başarı faktörleri, yöntemleri, en iyi uygulamalar, vaka çalışmaları 6 Riskler ve ISO27001 bilgi güvenliği risklerinin azaltılması, güvenlik kontrolleri, güvenlik çözümleri, ilkeler, teknolojik yönleri, ISO 27001 kontrolleri yönetimsel yönler, ISO 27002 yardımıyla kontrollerin uygulaması 7 Genel olarak bilgi güvenliği riskleri Analizi. Nitel bilgi güvenliği risk analizi ve değerlendirmesi 8 Ara Sınav 5

YBS 4004 Konular 9 Nitel bilgi güvenliği risk analizi ve değerlendirmesi; istatistiksel kavramlar, araçlar, yazılım, uygulama ve vaka çalışmaları. 11 Nicel bilgi güvenliği risk analizi ve değerlendirmesi; istatistiksel arka plan, araçlar, yazılım, uygulama ve vaka çalışmaları. 12 ISO/IEC 27005 bilgi güvenliği risk yönetimi standardı; giriş, risk kavramına yaklaşım, metodolojiler, kavramlar. İş Sürekliliği ve Felaketten Geri Dönüş – 1. Bölüm İş Sürekliliği ve Felaketten Geri Dönüş – 2. Bölüm 6

Ara Sınav (1 tane) % 40 Final Sınavı (1 tane) % 60 YBS 4004 Değerlendirme Ara Sınav (1 tane) % 40 Final Sınavı (1 tane) % 60 7

Bilgi Güvenliği Yönetimi Örnek Eğitim Programları http://ism.cmu.edu/Information-Security-and-Policy-Management/Program/index.asp (Carnegie Mellon University) http://www.isg.rhul.ac.uk/modules/IY5501 (Royal Holloway, University of London) http://www.cbs.dk/cbs_international/summer_university/prospective_isup_students/courses/isup_ courses_2006/graduate/information_systems/su51_information_security_management (Copenhagen Business School) http://www.scs.northwestern.edu/pdp/npdp/issm/ (Northwestern University) http://stan.sfs.poly.edu/courses/cs996-management-s2005/ (Stanford University) 8

Bilgi Güvenliği Yönetimi Örnek Eğitim Programları http://www.calstate.edu/info_security_mgmt/ (California State University) http://www3.open.ac.uk/courses/bin/p12.dll?C01M886 (on-line university) http://www.sai-global.com/professionalservices/training/InfoSecurityTraining/ (Training programs for private sector) http://www.xlp.com/information-security-training-consulting 9