ITIL HİZMET DÖNGÜSÜ-Bölüm 1: Genel Tanımlar ve ITIL Hizmet Döngüsü

“Dünya, avuçlarımızın arasında, fakat biz de dünyanın avuçları arasındayız…”

Merhabalar,

Artık bilişim çağını yaşıyoruz ve ilk cümleyle, aslında çok önemli bir konuya dikkat çekmek istedim: Ne derece güvendeyiz ve kendimizi ne kadar güvende tutabiliriz!!!!

Günümüzde herkesin, en az bir IP adresi var ve her yere bilgi alışverişi için bu adresleri kullanmaktalar. Peki güvenlik konusunda, etrafımızda kaç kişi farkındalık sahibi? Güvenlik, çok geniş bir konu. Bu konuyu zaten ilerleyen zamanda yazacağım makalelerde de ele almaya devam edeceğim. Öncesinde, birbirlerinden pek ayrı düşünemeyecek olduğumuz iki konu hakkında bilgiler aktarmak istiyorum : Süreç Yönetimi ve Bilgi Güvenliği Yönetim Sistemi

Bu makalede, Yüksek Lisans bitirme projemden bilgiler aktaracağım. Aslında ilk bölüm oldukça uzun ve ben uzun bir yazıyla sizleri sıkmak istemiyorum. Dolayısıyla ilk bölümü de kendi içinde bölümler halinde aktarmayı hedefliyorum. Bu yazı dizisini, bu şekilde ele alarak değerlendiriniz.

GİRİŞ

Gelişen teknolojiyle birlikte, işlenen bilginin hacminde de büyük artışlar meydana gelmektedir. Zaman içinde de bilgi kavramı, yapısını değiştirerek yeni tanımlar kazanmaktadır. Artık geçmiş yıllarda kullanılan kağıt üzerinde yazılı-basılı-çizili her döküman da dijital dünyadaki yerini almaktadır. İşlenen bilgilerin güvenliği, bu bilgilere ulaşma, arşivleme, gerektiğinde yeniden bu bilgiyi çağırma ve her an ulaşılabilir durumda olması gibi konular da önem kazanmaktadır. Tüm bu uygulamaların temelinde ITIL temelli yönetim sistemi bulunmaktadır.

ITIL, 1987 yılında İngiltere’de geliştirilmiştir ve Türkçe’ye, Bilgi Teknolojisi Altyapı Kütüphanesi olarak çevrilmiştir. IT birimlerinin sunmuş olduğu hizmetleri en iyi şekilde yönetmek için geliştirilen hizmet ve servis yönetim metodlarını açıklar. ITIL, tedarikçiler ve müşteriler ile IT departmanları ve hizmetlerini kullananlar arasında sağlıklı iletişim kurulabilmesini sağlar. 1989-1996 yılları arasındaki ilk baskılarından sonra, kitap sayısı, ITIL birinci versiyon adı altında hızlı bir şekilde otuzdan fazla bölüm halinde gelişim göstermiştir. ITIL ikinci versiyonu ise, 2001 yılında yayınlanmıştır. Üçüncü ve hala kullanılan versiyon ITIL ise 2007 yılında yayınlanmış olup 5 kitap (Hizmet Stratejisi, Hizmet Tasarımı, Hizmet Geçişi, Hizmet Operasyonu ve Sürekli Servis İyileştirmesi), 84 kontrol maddesi ve dökümantasyon şablonu ve 23 genel süreci kapsamaktadır.

ITIL metodları, firma büyüklüğünden bağımsız bir şekilde her ölçekteki firmaya uygulanabilir. Verilen hizmetlerin ölçülebilir ve dolayısıyla yönetilebilir hale gelmesiyle, iş kollarıyla yönetim aynı paydada buluşarak ortak bir dilde anlaşmaya başlayabilirler ve böylece IT birimleri, sadece maliyet kalemi olarak görülmekten öteye geçmiş olur.

Bu çalışmada, ITIL tasarım süreçleri altında ele alınan Erişilebilirlik Yönetimi ve İş sürekliliği modelleriyle, bu amaca yönelik hazırlanan Felaket Kurtarma çözümlerinin, kurumsal bir firmaya uyarlanması konuları ele alınmıştır.

BİRİNCİ BÖLÜM

GENEL TANIMLAR VE ITIL HİZMET DÖNGÜSÜ

Bu bölümde genel tanımlara yer verilerek, kapsamda bulunan konuların temelindeki kavramların aktarılması hedeflenmiştir.

1.Bilginin Tanımı
Bilgi, bir firmaya maddi ya da manevi herhangi bir değer sağlayan yazılı, basılı, çizili olarak bulunan her türlü varlık olarak açıklanabilir. Bu tanımdan hareketle bilgi, çok çeşitli formlarda bulunabilir. Bir veri tabanında, kağıda yazılı, herhangi bir dijital medya içinde herhangi bir veri olarak bulunabilir. Bunun dışında aşağıdaki tabloda da görülebileceği gibi, yazılıp silinebilen dijital medya araçlarında, telefon görüşmesi ya da film dosyası şeklindeki her veri de bilginin bulunabileceği formlar ya da ortamlar olmaktadır. Ayrıca bu tip formlarda olması ve bulunduğu ortamlar gereği de korunması gereken bir varlıktır. Bilgi güvenliğinden söz edebilmemiz için ise bu verilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamamız gerekmektedir.

1.1. Bilgi Güvenliği kavramı
Teknolojinin her geçen gün daha da ilerlemesiyle birlikte hem şirketler hem de devlet kademelerinde, günden güne artan yoğun bir bilgi kullanımı ortaya çıkmıştır. Dolayısıyla her geçen gün daha da önemli hale gelmekte, yalnızca güvenilir ortamlarda ve güvenilir metodlarla saklanması yeterli olmamaktadır. Ayrıca gerektiğinde başka noktalara taşınması da kaçınılmaz hale gelmiştir. Sonuç olarak, bilginin her türlü kullanımı ya da bir yerden bir yere aktarılması sırasında güvenliğinin sağlanması ve bilginin korunması gerekliliği ortaya çıkmıştır. Bu yönden incelendiğinde bilgi, firmaların en değerli varlıkları arasındaki yerini almıştır.

Bilginin herhangi bir şekilde kullanılmaz duruma gelmesi, saldırıya maruz kalması, silinmesi, erişim gizliliğinin ihlal durumları, yapısının bozulması, tüm bilgi sistemi altyapısının etkilenmesine ve sonrasında da tüm işlerin akmasına sebep olmaktadır.

Bilgi güvenliği; kurumlarda işlerin ve verilen servislerin sürekliliğini sağlamayı, muhtemel tüm aksaklıkların en aza indirgenmesini ve yatırım faydalarının arttırılması için, bilginin her türlü tehditlere karşı korunmasını amaçlar.

Bilgi güvenliği yönetim sistemi, temel konusu olan Gizliliği, Bütünlüğü ve Kullanılabilirliği hedefler.

Gizlilik, bilginin sadece yetkilendirilmiş kişilerce erişilebilir olması, bunun dışındaki herkesin erişimine kapatılmasıdır. Böylece yetkisiz kişilerin, bilgiyi açığa çıkarmasının da önüne geçilmiş olur.
Bütünlük, yetkisi olmayan kişilerin bilgiyi değiştirmesinin, silmesinin engellenmesi ve her türlü tehdide karşı içeriğinin korunmasıdır. Bilginin bozulmasının önüne geçmeyi amaçlar.
Kullanılabilirlik, ihtiyaç duyulan her an bilgiye ulaşılmasının sağlanmasıdır. Kullanılabilirliğin gereği olarak, bir sorunla karşılaşılsa dahi bilgiye her an erişebilmek esastır. Erişimler ise kullanıcı yetkileri çerçevesinde yapılmalıdır. Bilgiyi talep eden herkes, erişmeye hakkı olan tüm kaynaklara erişebilmelidir.

1.2. BGYS-Bilgi Güvenliği Yönetim Sistemi
Bilgi Güvenliği Yönetim Sisteminin (BGYS) esas amacı, kurumsal firmaların hassas verilerinin belli kriterlere göre sistematik olarak yönetilmesini sağlamak ve bilgiyi korumaktır. BGYS, tüm süreçleri, tüm şirket çalışanlarını ve bilgi işlem sistemlerini kapsamaktadır.

Bilgi Güvenliği Yönetim Sistemi terimi, British Standards Institute tarafından ilk olarak 1998 yılında kullanılmış ve açıklanmıştır. Sonrasında ise Uluslararası Standartlar Kurumu tarafından onay görmüş ve ISO/IEC 27001:2005 standardı olarak yayına alınmıştır. BSI’ın yayınladığı, BS 7799-1 standardında ise, bilgi güvenliğini sağlanmak için kullanılacak kontrol aşamalarından söz edilmiştir. Bu standart da ISO tarafından kabul edilerek, ISO/IEC 27002:2005 adı altında yayınlanmıştır.

BGYS ‘de en sık uygulanan standart, “ISO/IEC 27002:2005 Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri” standardıdır. Bu standartta, kurum içerisinde BGYS yi başlatmak, uygulamak, sürekliliğini sağlamak ve iyileştirme faaliyetleri için gereken temel gereksinimler ve rehber niteliğinde bilgiler açıklanmıştır. ISO/IEC 27002:2005 rehberliğinde yapılandırılmış olan BGYS’ni belgelendirebilmek için “ISO/IEC 27001:2005 Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler” standardı kullanılmaktadır. Bu standart, BGYS’ni, şirketlerin bütün iş risklerini analiz ederek kurmak, uygulamak, gözlemlemek, düzenlemeler yapmak, sürdürülebilirliğini sağlamak ve iyileştirme faaliyetleri için gereksinimleri kapsamaktadır.

Türk Standartları Enstitüsü, bu standartların Türkçe versiyonlarını TS ISO/IEC 17799:2005 ve TS ISO/IEC 27001:2005 adlarıyla yayınlanmıştır.
ISO/IEC 27001-27002 standartları, BGYS uyarlanmasında temel kaynaklardır. Her iki standartta da bilgi güvenliği konusu ele alınır. Herhangi bir ürün ve o ürünlerin teknolojisiyle ilgilenmezler. Temel olarak bilgi güvenliği konusuyla ilgilenirler.

Belli standartlar kapsamında BGYS’in kurulumu, uyarlanması, faaliyete geçirilmesi, gözlemlenmesi, düzenlenmesi ve sürekliliğinin sağlanması için Deming Döngüsü adı verilen ve Türkçe’ye PUKÖ (Planlama – Uygulama – Kontrol etme – Önlem alma) olarak çevrilen model kullanılır.

Bilgi güvenliği yönetim sistemi, başlangıcı ve sonu olan bir proje olarak ele alınmamalıdır. Planlama, Uygulama, Kontrol ve Önleme faaliyetleri, sürekli bir döngü içinde bulunmalıdır. PUKÖ modeliyle kısaca, kararların alınması, uygulanması, işlevselliğin kontrolü ve uygun olmayan çalışma şekilleri için önlem alınması açıklanır.

Şimdilik makaleme burada kısa bir ara veriyorum. Diğer bölümler, kesilemeyecek kadar birbirleriyle iç içe olduğu için şimdilik kısa bir mola diyelim 🙂

Yararlı olması dileğiyle.

Yusuf İşleyen

One Reply to “ITIL HİZMET DÖNGÜSÜ-Bölüm 1: Genel Tanımlar ve ITIL Hizmet Döngüsü”

Bir Cevap Yazın