EN
EN

DMA Analizlerinde Kullanılan Standart, Çerçeve ve Kütüphaneler


Digital Maturity Assessment çalışmalarında her biri konusunda uzman geniş bir ekip tarafından bilgi teknolojileri, bilgi güvenliği, performans ve iş sürekliliği gibi konularda bu başlıkların farklı disiplinleri ve bakış açıları ile çeşitli analiz işlemleri gerçekleştirilmektedir.

Analiz çalışmalarının modellenmesinde NIST CSF, COBIT, CMMI ve CIS Control List gibi çerçeve çalışmaları, ISO 27001, ISO 20000-1, ISO 22301 standartları ve BİG Rehber ve ITIL gibi kütüphane ve kılavuzlar baz alınmaktadır.

BT Yönetişim Analizi

COBIT

Bilgi ve İlgili Teknolojiler İçin Kontrol Hedefleri (COBIT) ISACA ve ITGI (IT Governance Institute) tarafından 1996 yılında geliştirilmiş, Bilgi Teknolojileri Yönetimi için en iyi uygulamalar kümesidir. COBIT yöneticilere, denetçilere ve Bilgi Teknolojileri (BT) kullanıcılarına iş hedeflerinin bilgi işlem hedeflerine dönüşümünü, bu hedeflere ulaşmak için gerekli kaynakları ve gerçekleştirilen süreçleri bir araya getirirken, aynı zamanda bilgi teknolojileri alt yapılarını da etkin kullanmayı sağlar.

COBIT, etkili yönetişim, pratik rehberlik ve içgörü sağlamak, kuruluşa özgü endüstri standartlarının, yönergelerin, düzenlemelerin ve en iyi uygulamaların yönetişim çözümüne entegre edilmesine yardımcı olmak için rehberlik ve daha birçok fayda sağlar.

BT Bilgi Güvenliği Analizi

ISO 27001

ISO 27001 Bilgi Güvenliği Yönetim Sistemi, sağlam bir bilgi güvenliği sistemi için gerekliliklerin belirtildiği standartlar bütünüdür.

ISO 27001 standardı, her büyüklükteki ve tüm faaliyet sektörlerindeki şirketlere, bir bilgi güvenliği yönetim sisteminin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi konusunda rehberlik sağlar.

Siber suçların artması ve yeni tehditlerin sürekli ortaya çıkması nedeniyle siber riskleri yönetmek zor, hatta imkansız görünebilir. ISO 27001, kuruluşların risk bilincine sahip olmasına ve zayıflıkları proaktif bir şekilde tespit edip ele almasına yardımcı olur.

ISO 27001, insanları, politikaları ve teknolojiyi inceleyerek bilgi güvenliğine bütünsel bir yaklaşımı destekler. Bu standarda göre uygulanan bir bilgi güvenliği yönetim sistemi, risk yönetimi, siber dayanıklılık ve operasyonel mükemmellik için bir araçtır.

NIST CSF

NIST Cyber Security Framework kritik altyapıya sahip her türlü organizasyona uyum sağlayabilen bir siber güvenlik risk yönetim aracıdır. Uygulandığı kurumda sürdürülebilir performans sağlamayı amaçlayan CSF, siber güvenlik ekosisteminde endüstri tarafından kabul edilmiş standartları (NIST SP 800-53 Rev.4, ISO/IEC 27001:2013, COBIT 5, CIS CSC, ISA 62443-2-1:2009, ISA 62443-3-3:2013) esas alarak 2014 yılında yayınlanmıştır.

NIST CSF;

- Kritik altyapıya sahip tüm sektörlerde uygulanabilir güvenlik standartları ve kuralları belirlemek,

- Performans ve verimliliğe dayalı esnek ve tekrarlanabilir bir yapı sağlamak,

- Siber risklerin belirlenmesi, değerlendirilmesi ve yönetilmesine yardımcı olmak,

- Mevcut siber riskler için iyileştirme alanları belirlemek,

- Yayınlanmış standartların karşılamadığı güvenlik boşluklarını belirlemek ve bu boşluklar için eylem planları geliştirmek

amacıyla geliştirilmiştir.

CIS Karşılaştırmaları

CIS Benchmarks, 25'ten fazla satıcı ürün ailesi için kuralcı yapılandırma önerileridir. Sistemlerin tehditlere karşı daha güvenli bir şekilde korunmasına yardımcı olmak için küresel çapta siber güvenlik uzmanlarının fikir birliğine dayalı çabalarını temsil eder.

CIS Kontrolleri

CIS Kritik Güvenlik Kontrolleri (CIS Kontrolleri), kuruluşların siber güvenlik duruşunu güçlendirmek için kullanabileceği kuralcı, öncelikli ve basitleştirilmiş en iyi uygulamalar kümesidir. Bugün dünyanın dört bir yanından binlerce siber güvenlik uygulayıcısı CIS Kontrollerini kullanıyor ve/veya topluluk fikir birliği süreci aracılığıyla bunların geliştirilmesine katkıda bulunuyor.

CB DDO Bilgi ve İletişim Güvenliği Rehberi Analizi

BİG Rehber

T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı koordinasyonunda başlatılan "Bilgi ve İletişim Güvenliği Rehberi" hazırlama çalışmaları sonucunda oluşturulan Rehber; kamu kurumları ve kritik altyapı hizmeti veren işletmelerce uyulması gereken Bilgi ve İletişim Güvenliği tedbirlerini içerir.

BİG Rehber, bilgi sistemlerinde karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda millî güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacını taşır.

Rehber, bilgi ve iletişim güvenliği alanındaki büyük bir boşluğu doldurmakla birlikte, siber saldırılara karşı mukavemeti artırmakta, bilgi güvenliği ve siber güvenlikte ülke seviyesinin uluslararası arenada yükselmesinde önemli bir rol almaktadır. Bununla birlikte ulusal veri güvenliğine, kritik altyapı ve sistemlerin sürdürülebilirliğine katkı sağlamakta, millî güvenlik stratejileri ve hedefleri gerçekleştirmek için doğru adımlarla yol almayı sağlamaktadır.

BT Servis Yönetimi Analizi

ITIL

Bilgi Teknolojisi Altyapı Kütüphanesi (Information Technology Infrastructure Library) olarak adlandırılan ITIL, BT servislerini eksiksiz ve en iyi kalitede yönetmek üzere geliştirilmiş servis yönetim metodolojisidir.

İş süreç yaklaşımı sayesinde ITIL, müşteri, tedarikçi, BT bölümü ve kullanıcıları arasında başarılı bir şekilde iletişim kurulmasını sağlamaktadır. "En iyi uygulamalar / deneyimler" üzerine yapılandırılmış olan ITIL BT Servis Yönetimi ve dağıtımı süreçleri ile dünyada yaygın olarak kullanılmakta ve kabul görmüş bir çerçeve çalışması olarak benimsenmektedir.

ITIL, servis yönetimi ve sağlama süreçleri için başvurulacak en uygun kaynaktır. Servis yönetimini en iyi şekilde sürdürmek için yol gösteren ve kullanıcılarına servis sağlama süreçlerini ayrıntılı şekilde gösteren bir kitap kümesi olmaktan çıkmış, dünyaca kabul gören yöntemler dizisine dönüşmüştür. ITIL yaklaşımının servis yönetimi süreçlerine nasıl uygulanacağı her organizasyon tarafından, organizasyonun kendi kültürüne, yapısına ve teknolojisine göre belirlenmelidir.

ISO 20000-1

ISO 20000-1, bir kuruluşun bir hizmet yönetim sistemi (Service Management System-SMS) oluşturması, uygulaması, sürdürmesi ve sürekli olarak iyileştirmesi için gereksinimleri belirtir. Belirtilen gereksinimler, hizmet gereksinimlerini karşılamak ve değer sunmak için hizmetlerin planlanmasını, tasarlanmasını, geçişini, sunulmasını ve iyileştirilmesini içerir.

BT İş Sürekliliği Analizi

ISO 22301

ISO 22301, bir kuruluşta kesintiler ortaya çıktığında bunlara karşı koruma sağlamak, kesintilerin oluşma olasılığını azaltmak, bunlara hazırlık yapmak, müdahale etmek ve iyileştirmek için bir yönetim sisteminin uygulanması, sürdürülmesi ve iyileştirilmesine yönelik gereksinimleri belirtir.

Belirtilen gereksinimler geneldir ve kuruluşun türüne, büyüklüğüne ve niteliğine bakılmaksızın tüm kuruluşlara veya bunların bölümlerine uygulanabilecek şekilde tasarlanmıştır. Bu gerekliliklerin uygulama kapsamı kuruluşun çalışma ortamına ve karmaşıklığına bağlıdır.

ISO 22301, bir kuruluşun iş sürekliliği ihtiyaçlarını ve yükümlülüklerini karşılama yeteneğini değerlendirmek için kullanılabilir.

Yazılım Yaşam Döngüsü Analizi

CMMI

CMMI (Yetenek Olgunluk Model Entegrasyonu; Capability Maturity Model Integration) bir süreç modeli olup, kuruluşların yazılım süreçlerinin (Yazılım planlama, geliştirme, yapılandırma vb.) olgunluğunu değerlendirme modelidir.

Kuruluşlar, ISACA’nın CMMI olgunluk modelleri ile net, sürdürülebilir, optimize iş sonuçlarına ulaşır. CMMI modelleri, herhangi bir sektördeki kuruluşun mevcut yetenek ve performans seviyesini anlamasını sağlar.

Kaynaklar:

https://www.isaca.org/resources/cobit

https://www.iso.org/standard/27001

https://www.cisecurity.org/

https://www.axelos.com/certifications/itil-service-management/what-is-itil

https://www.iso.org/standard/75106.html

https://cmmiinstitute.com/

https://cbddo.gov.tr/bigrehber/