CEVAP:

Kurumların İnternet veya özel iletişim hatları üzerinden akan verilerinin güvenliğinin sağ­lanması amacıyla kullanılabilecek pek çok teknoloji bulunsa da yalnız teknolojik önlem­lerle (anti-virüs, firewall sistemleri, kripto vb.) iş süreçlerinde bilgi güvenliğini sağlama imkânı yoktur. Ayrıca bilgi güvenliğini tehdit eden unsurlar sadece elektronik ortamda ya­pılan saldırılarla sınırlı değildir. Yangın, sel, deprem vb. doğal afetler veya kullanıcı hataları sonucunda da bilgiler ve bilgi sistemleri tamamen ya da kısmen zarar görebilmektedir.

Vazgeçilmez ve önemli bilgi sistemlerinin korunabilmesi, iş risklerinin en aza indir­genmesi ve iş sürekliliğinin sağlanması ancak bütünsel yaklaşımlar ile mümkündür. Tüm bunlardan çıkan sonuç bilgi güvenliğinin bir teknoloji sorunu olmadığı, bunun bir iş yö­netimi sorunu olduğudur.

İşte bu nedenlerle “Kurumsal Bilgi Güvenliği” kavramı altında bir yönetim sistemi oluşturma yönünde yapılan çalışmalar 1993 yılında BS 7799 standardını, 2000 yılında ISO/IEC 17799 standardını ve 2006 yılında ISO/IEC 27001 standardını ortaya çıkarmıştır. Kısaca ISMS (Information Security Management System)/BGYS (Bilgi Güvenliği Yöne­tim Sistemi) olarak adlandırılan bu yeni yönetim sistemi standardı “bilgilerin” her türlü ortamda (kâğıt üzerinde, elektronik ortamda, yazılı ve sözlü iletişimde vb.) güvenliğini sağlamak için öngörülen yönetsel çerçeveleri oluşturur ve bilgi güvenliğini kurumsal sü­reçlerin bir parçası (iş anlayışı, yönetim ve kültür sorunu) hâline getirir.