2. İÇİNDEKİLER
İÇİNDEKİLER
TABLOLAR LİSTESİ
ŞEKİLLER LİSTESİ
KISALTMALAR
ÖZET
ABSTRACT
1.GİRİŞ
2.LOJİSTİK VE LOJİSTİK SİSTEMLERİ
2.1 Lojistik
2.1.1 İş Dünyasında Lojistik
2.1.2 Askeri Lojistik
2.2 Lojistik Sistemleri
2.2.1 Temel Lojistik Faaliyetleri
2.2.1.1 Nakliye
2.2.1.2 Dış Ticaret
2.2.1.3 Stok Yönetimi
2.2.1.4 Depolama
2.2.1.5 Sevkiyat Planlama
2.2.1.6 Filo Yönetimi
2.3.1 Lojistik Grupları
2.3.1.1 Üretim(Tedarik Lojistiği)
2.3.1.2 Dağıtım Lojistiği
2.3.1.3 Tersine Lojistik
2.3.1.4 Ürün Ömür Çevrimi Bazlı Lojistik
2.3. Lojistik Yönetimi
3.LOJİSTİK SİSTEMLERİNDE BİLİŞİM SİSTEMLERİNİN KULLANIMI
3.1 Bilişim Sistemleri
3.1.1 Organizasyonda Anahtar Sistem Uygulamaları
3.1.1.1 İşlemsel Seviye Sistemleri
3.1.1.2 Bilgi Seviye Sistemleri
3.1.1.3 Yönetim Seviye Sistemleri
3.1.1.4 Stratejik Seviye Sistemleri
3.1.2 Altı Ana Sistem Tipi
3.1.2.1 Atomik İş İşleme Sistemi-AİS (TPS)
3.1.2.2 Bilgi İş Sistemleri ve Ofis Otomasyon sistemleri
3.1.2.3 Yönetim Bilişim Sistemleri-YBS (MIS)
3. 3.1.2.4 Karar Destek Sistemleri-KDS (DSS):
3.1.2.5 Yönetici Destek Sistemleri-YDS (ESS)
3.2 Lojistik Bilgi Teknolojileri
3.3 Lojistik Bilişim Sistemleri
3.3.1 Lojistik Bilişim İlkeleri
4.BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ
4.1. Bilgi Güvenliği Yönetim Sistemi Kapsamının Belirlenmesi
4.2 Varlık Yönetimi
4.3 Risk Yönetim Metodolojisi
4.3.1 Varlık Listesinin Tanımlanması
4.3.2 Varlıklar Bazında CIA Kriterlerinin Belirlenmesi
4.3.3 CIA Değerinin Hesaplanması
4.3.4 Varlıklara İlişkin Tehdit ve Risklerin Değerlendirilmesi
4.3.5 Risklerin Etkilerinin ve Olma Olasılıklarının Hesaplanması
4.4 Uygulanabilirlik Bildirgesi
4.5 Kontrol Alanları ve EK-A Kontrol Hedefleri
4.5.1 ISO/IEC 27001:2013
4.5.2 İç Denetim
4.5.3 Dış Denetim
4.6 Temel BT Ortamı ve BT Bileşenleri
5.BİLGİ GÜVENLİĞİNİN BİR LOJİSTİK FİRMASINA UYGULANMASI
5.1 “Bilgi Teknolojileri Anketi” ve “İncelenecek ve İstenecek Belgeler”
5.2 “İş Süreçleri Kontrol Listesi”
SONUÇ VE ÖNERİLER
KAYNAKLAR
EKLER
Ek-1. İncelenecek ve İstenecek Belgeler, Bilgi Teknolojileri Anketi ve İş Süreçleri
Kontrol Listesi
Ek-2. Bilgi Güvenliği Açısından Yetki Sınırlandırmaları
Ek-3. Gönderici Bilgileri Detay İzleme
Ek-4. Alıcı Bilgileri Detay İzleme
Ek-5. Gelen Kargo Arama Alıcı Detay Görme
Ek-6. Gelen Kargo Arama Gönderici Detay Görme
4. TABLOLAR LİSTESİ
Tablo 3.1 Bilişim Sistemlerinde Ana Organizasyonel Fonksiyonlar
Tablo 4.1 Varlıkların Sınıflandırılması ve Sahiplerinin Belirlenmesi
Tablo 4.2 Varlıkların Sınıflandırılması ve Sahiplerinin Belirlenmesi
Tablo 4.3 CIA Kriterlerinin Belirlenmesi
Tablo 4.4 CIA Değerlerinin Hesaplanması
Tablo 4.5 Varlıklara İlişkin Tehdit ve Risklerin Değerlendirilmesi
Tablo 4.6 Risklerin Etkilerinin ve Olma Olasılıklarının Hesaplanması
Tablo Ek 1.1 İncelenecek ve İstenecek Belgeler
Tablo Ek 1.2 Bilgi Teknolojileri Anketi
Tablo Ek 1.3 İş Süreçleri Listesi
Tablo Ek 2.1 Bilgi Güvenliği Açısından Yetki Sınırlandırmaları
Tablo Ek 3.1 Gönderici Bilgileri Detay İzleme
Tablo Ek 4.1 Alıcı Bilgileri Detay İzleme
Tablo Ek 5.1 Gelen Kargo Arama Alıcı Detay Görme
Tablo Ek 6.1 Gelen Kargo Arama Gönderici Detay Görme
5. ŞEKİLLER LİSTESİ
Şekil 2.1 Ürün Yaşam Çevrimi
Şekil 2.2 Lojistik Yönetimi
Şekil 3.1 Bilişim Sistemlerinin Yapısı
Şekil 3.2 Bilişim Sistemlerinin Fonksiyonları
Şekil 3.3 Bilişim Sistemi yapısına Bir Örnek
Şekil 3.4 Lojistik Bilgi Teknolojilerinin Haritası
Şekil 3.5 Biyometrik Teknolojiler
Şekil 3.6 Lojistik Bilgi Sistemlerinin Haritası
Şekil 3.7 LBS Kullanım, Karar Düzeyleri
Şekil 4.1 PUKÖ Döngüsü ya da Shewhart Çevrimi
Şekil 4.2 Risk Yönetim Metodolojisi
Şekil 4.3 Tehdit ve Zafiyetlerin Belirlenmesi
Şekil 4.4 Risk Yönetim Süreci
Şekil 4.5 Risk Değerinin Hesaplanması
Şekil 4.6 CIA Kriterleri
Şekil 4.7 İç Denetim Aşamaları
Şekil 4.8 ISO 27001 Süreç Akışı
6. KISALTMALAR
AİS Atomik İş İşleme Sistemleri
APS İleri Planlama sistemleri
ATS Araç Takip Sistemi
BGYS Bilgi Güvenliği Yönetim Sistemi
BTBS Bilgisayar tabanlı bilişim sistemleri
CIA Confidentiality (Gizlilik), Integrity (Bütünlük), Availability (Kullanılabilirlik)
EDI Elektronik Veri Değişimi
ERP Enterprise Resource Planning,
ERP Kurumsal Kaynak Planlaması
GIS Coğrafi Bilgi sistemi
KDS Karar Destek Sistemleri
KKP Kurumsal Kaynak Planlama
LBS Lojistik Bilişim Sistemleri
MRP Malzeme İhtiyaç Planlaması
MRP Üretim Kaynakları Planlaması
OMS Sipariş Yönetim Sistemi
OOS Ofis Otomasyon Sistemi
PUKÖ Planla, Uygula, Kontrol Et ,Önlem Al
RFID Radio Frequency Identification
SCM Tedarik Zinciri yönetim sistemi
SOA Statement of Applicability
TMS Taşıma yönetim sistemi
UBS Uzman Bilişim Sistemleri
WMS Depo yazılım sistemi
YBS Yönetim Bileşim Sistemleri
YDS Yönetici Destek Sistemi
7.
8. GİRİŞ
Lojistik Bilişim Sisteminde, lojistik operasyon süreçlerinin tümünde firmaların iç
ve/veya dış diğer sistemleri ile bütünleşik çalışabilen, yani bilgi akışının sağlandığı ve bu bilgi
akışının sağlıklı yürütülebilmesi için ve lojistik firmaları müşterilerinin gün geçtikçe artan
isteklerini karşılamak ve gerçek zamanlı tedarik zincir yönetimini yönetebilmek için ciddi
bilişim yatırımları yapmak zorundadırlar. Gün geçtikçe, lojistik firmalarının müşterileri ile
uzun soluklu işbirlikleri arttıkça Türkiye’deki lojistik sektörünün bilişim altyapısı
güçlenmektedir. Bilişim sistemlerindeki gelişim, diğer birçok sektöre göre
değerlendirildiğinde, lojistik sektöründe çok daha yoğun olduğu görülmektedir. Malların
hareketinin planlamasında, evrakların hazırlanmasında, sevkiyat, teslimat, mal bedellerin
tahsili, iade mallar gibi lojistikle ilgili bütün lojistik süreçlerde bilişim sistemlerinin
kullanımının yaygınlaştığı görülmektedir. Bu nedenle, bilişim sistemlerinin lojistik stratejik
planlama olarak kullanımı hayati rol oynamakla birlikte ürünlerin, doğru zamanda, doğru yerde,
doğru bilgi ile sunulmasına imkan verecek olan, anında nitelikli bilgi transferi sağlayan bilgi
teknolojileri sayesinde gerçekleştirilmektedir. Lojistik süreçlerde taşıma operasyonlarından,
siparişin alınmasına, sevkiyat bilgilerine, teslimat yerleri, dönüş yükü gibi filo yönetiminin
temelini oluşturan bilişim sistemlerine dayalı alt yapısına kadar tüm süreçler, bilişim sistemleri
ile yönetilebilmektedir.
Tüm bu süreçlerin sağlıklı bir şekilde yürütülebilmesi için ise bilişim sistemlerindeki
bilgi güvenliğinin sağlanması, yönetilmesi ve uygulanabilmesi son derece önem
kazanmaktadır. Lojistik sektöründeki kullanılan bilişim sistemlerine dayalı olarak E-Ticaret ve
E-Lojistik, Internet – Intranet – GPS – GPRS – 3G, Elektronik Veri Değişimi (EDI),Kurumsal
Kaynak Planlaması (ERP ),Malzeme İhtiyaç Planlaması (MRP 1), Üretim Kaynakları
Planlaması (MRP 2), Tedarik Zinciri yönetim sistemi (SCM), Depo yazılım sistemi (WMS),
Taşıma yönetim sistemi (TMS), Coğrafi Bilgi sistemi(GIS), Araç Takip Sistemi (ATS), Sipariş
Yönetim Sistemi (OMS), İleri Planlama sistemleri (APS), RFID ve Barkod gibi programların
bilgi güvenliği ile entegre olmasıdır.
Bu proje çalışması giriş bölümü hariç dört bölümden oluşmaktadır. Birinci bölümde
genel hatlarıyla lojistik ve süreçleri ele alınmaktadır. İkinci bölümde lojistik ve lojistik
sistemleri ile ilgili detaylı bilgiler verilmektedir. Üçüncü bölümde Lojistik sistemlerinde bilişim
sistemlerinin kullanılması ile ilgili temel düzeyde bilgiler verilmektedir. Dördüncü bölümde
bilgi güvenliği yönetim sistemi ile ilgili bilgiler verilmektedir. Beşinci bölümde ise lojistik
9. alanındaki bilişim sistemlerine bilgi güvenliğinin uygulanması ile ilgili bilgiler örnekler ile ele
alınmış ve bilişim sistemlerine uygulanacak olan bilgi güvenliği bir yönetim çerçevesinde ele
alınmaktadır.
10. 1. LOJİSTİK ve LOJİSTİK SİSTEMLERİ
Bu bölümde lojistik ve lojistik sistemleri hakkında genel bilginin yanı sıra, tarihsel
süreçleri, kullanılan teknolojiler, prensipleri hakkında detaylı bilgi verilmektedir. Lojistik
sistemlerindeki bilişim sistemlerinin ve bilgi güvenliğinin kolay anlaşılması açısından
lojistik ve lojistik sistemlerinin detaylı bir şekilde anlatılması önem arz etmektedir.
2.1 Lojistik
Lojistik, ürün, hizmet ve insan gibi kaynakların, ihtiyaç duyulan yerde ve istenen
zamanda temin edilmesi için bir araç olarak tanımlanabilir. Herhangi bir pazarlama veya
üretim organizasyonunun lojistik destek olmadan başarılması çok zordur. Lojistik, nakliye,
envanter, depolama, malzeme idaresi ve ambalajlama bilgilerinin birleştirilmesini kapsar.
Lojistik işletme sorumluluğu, hammaddenin coğrafik konumlanması, sürecin işletilmesi ve
ihtiyaçların mümkün olan en düşük maliyetle karşılanarak işin bitirilmesidir. Kısa bir tanım
ile üreticinin üreticisinden, müşterinin müşterisine kadar bir zincirde, doğru malzemenin
doğru zamanda bulundurulmasını sağlayan faaliyetlerin tümüdür.
Bazı yerlerde lojistik hizmetler bir bütün olarak algılanırken bazı yerlerde de henüz bu
tanımın içi doldurulmaya çalışılmaktadır. Ülkemizde de lojistiği çağdaş tanımı ile
buluşturma konusunda çalışmalar yapan birçok dernek ve kurum bulunmaktadır. Sektörde
faaliyet gösteren şirketler, önceki dönemlerde sadece malların hareketini izlerken, son
dönemde depolamanın içine girdiği çalışma şekilleri ile lojistiğin asıl boyutuna doğru
taşınmaya bağladığı görülüyor. Lojistik genel olarak dağıtım gerektiren, pahalı zincir
mağazalara ulaşan, paletle taşınan ve raflanabilen ürünler için daha popüler olan bir
hizmettir [9].
Küçük ölçekteki ihtiyaçlara karlılık verebilmesi, adresten alınıp adrese kadar açılmadan
takınabilmesi ve parsiyel yüklerin birleştirilerek yollanmasına olanak sağlaması, bu tercihin
nedenleri olarak sıralanmaktadır [4].
2.1.1 İş Dünyasında Lojistik
İş dünyasında, lojistik tedarikçiden son kullanıcıya uzanan (tedarik zinciri) bir akış
içinde; içe veya dışa ya da her ikisine odaklı olabilir. Lojistik yönetiminin ana fonksiyonları,
satın alma(Edinim), taşıma, depolama ve bu aktivitelerin organize edilmesi ve planlanmasıdır.
11. Lojistik yöneticileri, bir organizasyon içinde, kaynakların koordinasyonu sağlayarak bu
fonksiyonların her birinden gelen bilgileri birleştirir. Lojistiğin temelde iki farklı formu
vardır. Biri depolama ve taşıma ağı boyunca malzeme akışının sürekliliğini sağlar. Diğeri
projelerin sonuçlanması için kaynaklar zincirini koordine eder [4].
2.1.2 Askeri Lojistik
Askeri lojistikte, kaynakların ihtiyaç duyulan yer ve zamanda yerine nasıl ulaştırılacağı
yönetilir. Askerlik biliminde, düşmanın tedarik hatlarını bozmak en önemli askeri stratejilerden
biridir. Yakıt, cephane ve yiyeceği olmayan askeri güç savunmasızdır [4].
2.2 Lojistik Sistemleri
Lojistik sisteminin elemanları çok geniş olmakla birlikte aşağıda sıralanan şekilde
gruplamak mümkündür.
Elemanlar :
Fiziksel Dağıtım,
İlk Madde ve Malzeme Yönetimi,
Entegre Lojistik Yönetimi,
Dağıtım Yönetimi,
Lojistik Mühendisliği,
Lojistik Yönetimi,
Pazarlama Lojistiği,
Tedarik Zinciri Yönetimi,
Satınalma Lojistiği,
Ticari Lojistik.
Gruplamak Gerekirse;
Depolama;
Taşıma;
Stok Yönetimi;
Bilgi ve Kontrol;
12. Ambalajlama;
Gümrükleme;
Müşteri Hizmetleri
şeklinde sınıflandırılabilir [4].
2.2.1 Temel Lojistik Faaliyetleri
Temel lojistik faaliyetleri altı grupta incelenmektedir. Bu faaliyetler;
Nakliye
Dış Ticaret
Stok Yönetimi
Depolama
Sevkiyat Planlama
Filo Yönetimi
olarak sıralanabilir [10].
2.2.1.1 Nakliye
Ürün, hammadde, kaynak veya diğer somut maddelerin taşınması işlemine nakliye
denir. Üretim ve tüketim noktaları farklı olduğu sürece taşımacılık her zaman var olacaktır.
Lojistik, malların tedarik zinciri içindeki hareketini kapsadığına göre nakliye operasyonları,
lojistiğin en temel operasyonudur denilir [6].
2.2.1.2 Dış Ticaret
İthalat ve ihracat işlemlerinde, uluslararası nakliyenin yapılması büyük önem
taşımaktadır. Bu noktada gümrükleme, bekleme süresinde antrepo kullanımı, sigorta işlemleri
vb. işlemler nakliye faaliyetin devam edebilmesi için önemli operasyonlardır [6].
13. 2.2.1.3 Stok Yönetimi
Müşteriye istediği anda gerektiği kadar ürünle cevap verebilmek için tedarik zinciri
boyunca yeterli stoklara sahip olunmalıdır. Ancak tutulan stok maliyetlerinin, önemli gider
kalemlerinden biri olması nedeniyle stoklar aşırı miktarda olmamalıdır. Stok yönetimi, bu
dengeyi sağlayarak düşük maliyetle müşteri talebine cevap verebilmeyi planlamaktadır [5].
2.2.1.4 Depolama
Zincirdeki hammadde depolarında, yarı mamul depolarında, dağıtıcılarda ve satış
noktalarında depolama yapılmaktadır. Depo faaliyetleri arasında etiketleme, satış öncesi son
işlemler gibi faaliyetler bulunur. Depolamanın ana amacı müşteri talebinden itibaren en kısa
sürede cevap verebilmek ise depolanan miktarların fire vermemesi, hızlı toplanması ve
yüklenebilmesi önem arz etmektedir. Depolar ilk giren ilk çıkar (FIFO) veya son giren ilk çıkar
(LIFO) prensiplerine göre dizayn edilebilir [10].
2.2.1.5 Sevkiyat Planlama
Sevkiyat müşteri ile temasa geçilen, bu süreçte yapılan bir hatanın doğrudan müşteriyi
etkileyen bir faaliyettir. Bunun yanında lojistik faaliyetler içinde maliyeti en yüksek
işlemlerden biri olduğu da kesindir. Bu nedenle sevkiyat planlamanın misyonu müşteri
taleplerini istekler dahilinde eksiksiz yerine getirmek ve bunu en ekonomik şekilde
gerçekleştirmek olmalıdır [10].
2.2.1.6 Filo Yönetimi
Nakliyenin yapıldığı araçların sayı ve büyüklüklerinin belirlenmesi, tasarımları ve
bakımları filo yönetimi kapsamında sürdürülen faaliyetlerdir. Bununla birlikte 12 taşınacak
malın türüne göre araçtaki donanım belirlenir. Örneğin dondurulmuş gıda taşıyan araçlarda
ürünün soğuk kalması için frigofrik kasalar, ağır yük taşıyan araçlarda mobil vinç, akaryakıt
taşıyan araçların üstünde tanklar bulunabilir [9].
14. 2.3.1 Lojistik Grupları
Lojistik grupları dört başlık altında incelenmektedir. Bunlar;
Üretim (Tedarik) Lojistiği
Dağıtım Lojistiği
Tersine Lojistik
Ürün Ömür Çevrimi Bazlı Lojistik [7].
2.3.1.1 Üretim (Tedarik) Lojistiği
Üretim faaliyetlerinin gerçekleştirilebilmesi için gereken
hammadde, ara malı, makine ve diğer malların tedariki ile ilgilenir. Üretim yapmayan firmalar
ve kuruluşlar ise satılacak ticari malların veya kullanılacak malzemelerin ikmalini
gerçekleştirir.
2.3.1.2 Dağıtım Lojistiği
Üretimi tamamlanan ürünlerin ve diğer malların müşteriye ulaştırılmasını kapsar.
Dağıtım lojistiği ürünlerin son kullanıcıya (tüketici) ulaşana kadar gerekli olan yer, zaman,
enformasyon ve mülkiyet konularında fayda sağlamaktadır. Ürünler tüketiciye ulaşmadan
gerçekleştirilen tüm süreçler dağıtım lojistiğinin kapsamına girmektedir.
2.3.1.3 Tersine Lojistik
Rafta beklerken son kullanım tarihi geçen, yanlış sevk edilen, hatalı üretilen veya
kullanım ömrü sonunda imha edilmesi gereken ürünlerin geri toplanması işlemine tersine
lojistik denir. Tersine lojistik tedarik zinciri içinde hatanın/ürünün iade edilmesinin anlaşıldığı
noktada başlar, iadenin türüne göre farklı noktalarda biter [2].
15. 2.3.1.4 Ürün Ömür Çevrimi Bazlı Lojistik
Kullanım ömrü uzun olan ve bu sürede nakliye, montaj, yedek parçaların stoklanması,
bakım ve imhası gereken ürünlere bu desteklerin verilmesi esasına dayanan lojistik sistemidir.
Ürün yaşam çevrimi döngüsü Şekil 2.1 de gösterilmiştir.
Şekil 2.1 Ürün Yaşam Çevrimi
Lojistik Yönetimi
http://lojistikmakaleleri.blogspot.com.tr/2014/05/lojistik-bilgi-sistemleri-nelerdir.html
Erişim Tarihi:10.09.2015
2.3 Lojistik Yönetimi
Ürün, hizmet, bilgi ve sermayenin kaynağından tüketildiği noktaya kadar olan etkin ve
verimli akışını planlama, uygulama ve kontrol sürecidir. Lojistik yönetimi süreci Şekil 2.2 de
gösterilmiştir [3].
16. Şekil 2.2 Lojistik Yönetimi
Lojistik Yönetimi
http://lojistikmakaleleri.blogspot.com.tr/2014/05/lojistik-bilgi-sistemleri-nelerdir.html
Erişim Tarihi:10.09.2015
Lojistik yönetimi, sipariş, üretim, depolama ve fiziksel dağıtım imkânlarını birlikte ele
alır ve toplam maliyeti en az olan lojistik stratejisine odaklanır. Lojistik yönetimi çeşitli
alanlardan meydana gelen faaliyetler bütünüdür.
Tesis ve donanımlar,
İnsan Kaynakları,
Bilgi kaynakları,
Finansal Kaynaklar gibi lojistik girdilerle,
Depolama
Taşıma
Stok Yönetimi
Ambalajlama
Müşteri Hizmetleri
Sipariş İşleme
Elleçleme
Bilgi Yönetimi
Talep Tahmini/Planlama
Satış Sonrası Servis
Fabrika ve Depo Yer Seçimi
Gümrükleme
17. Atık/Parça Yönetimi
Satın Alma gibi bütünleşik lojistik faaliyetleri Planlama, uygulama ve kontrol
noktaların da yöneterek ilk etapta belirtmiş olduğumuz lojistiğin 7 doğrusu kriterlerini
yerine getirmeye çalışmaktadır [10].
18. 3.LOJİSTİK SİSTEMLERİNDE BİLİŞİM SİSTEMLERİNİN KULLANIMI
Bu bölümde bilişim sistemleri; lojistik bilgi teknolojileri ve lojistik bilgi sistemleri
olmak üzere iki temel kategori şeklinde sınıflandırılmıştır. 3.2’ de bilişim sistemleri
anlatıldıktan sonra bu iki kategorinin her biri için ilgili kategoriye yönelik kavramları içeren
sınıflandırma, zihin haritası (mind map) şeklinde sunulacaktır. Zihin haritasında her bir alt dal,
bir üst dalın altında yer alan ve yapılandırılan bir kavramdır [12].
3.1 Bilişim Sistemleri
Bilişim sistemi, teknik olarak, organizasyonlardaki karar verme desteğine kadar bilgiyi
düzenlemek, saklamak, işlemek, toplamak olan birbirleriyle ilgili parçaların kümesi olarak
tanımlanabilir. Bilişim sistemleri, organizasyon içinde ve çevresinde önemli insanlar, yerler
ve şeyler hakkında da bilgi içerirler.
Veri, önce insanların anlayabileceği ve kullanabileceği biçimde hazırlanmış ve organize
edilmiş, sonra organizasyonlarda veya fiziksel çevrelerde görülen olayları tanımlayan ham
gerçeklerin yoğunluğudur. Bilişim sisteminde üç aktivite karar verme, işlemlerin kontrolü,
problemlerin çözümü ve yeni ürünler veya hizmetler oluşturmada organizasyonların
ihtiyacı olan bilgiyi üretmektir.
Bu aktiviteler:
1. Girdi (input): organizasyonun içinden veya dış çevresinden, ham bilgileri (veri) ele
geçirmek veya toplamaktır.
2. İşlem (processing): bu ham veriyi daha anlamlı biçime çevirir.
3. Çıktı (output): işlenmiş bilgiyi (information), insanlara veya kullanılacak olan
aktivitelere aktarır [12].
Bilişim Sistemleri;
Resmi bilişim sistemleri, bilgisayar tabanlı veya elle olabilir. El sistemleri, kağıt ve kalem
teknolojisini kullanırlar. Bilişim sistemlerinin yapısı Şekil 3.1 de gösterilmiştir.
19. Şekil 3.1 Bilişim Sistemlerinin Yapısı
Management Information Systems
Kenneth C. Laudon, Jane P. Laudon
http://www.pearsonmiddleeastawe.com/pdfs/SAMPLE-MIS.pdf
Erişim Tarihi:14.09.2015
Bilgisayar tabanlı bilişim sistemleri (BTBS), bilgiyi yaymak ve işlemek için, bilgisayar
yazılımı ve donanımına güvenir. Bugünün yöneticileri bilgisayar bilgilerini ve bilişim sistemi
bilgilerini birleştirmek zorundadırlar. Bilişim sistemlerinin fonksiyonları Şekil 3.2 de
verilmiştir [1].
Şekil 3.2 Bilişim Sisteminin Fonksiyonları
Bilişim Sistemlerinin Fonksiyonları
https://www. orhankocak.net /TKY.ppt
Erişim Tarihi: 25.08.2015
20. Bilişim sistemleri bilgisayarla sınırlı değildir. Bilişim sistemlerini etkili kullanmak,
sistemleri şekillendiren organizasyon, yönetim ve bilişim teknolojilerini anlamayı gerektirir.
Bilişim sistemlerini etkili kullanabilmek için ilk başta organizasyonun yapısını, çevresini,
fonksiyonlarını, politikalarını ve pek tabi yönetimini ve yönetim verdiği kararları anlamazsınız
[1].
Bilişim sistemleri organizasyonların bir parçasıdır. Uzmanlar değişik fonksiyonlara
göre yetiştirilir ve çalıştırılır. Bunlar satış, pazarlama, üretim, finans ve insan kaynaklarıdır.
FONKSİYON AMAÇ
Satış ve Pazarlama Organizasyonun hizmet ve ürünlerini satma
Üretim Ürün ve hizmet oluşturma
Finans Organizasyonun finansmanını yönetme
Muhasebe Organizasyonun finansal kayıtlarını tutma,
harcamalarının hesabını tutma
İnsan Kaynakları Çalışma gücünü geliştirme ve çalışan
kayıtlarını tutma
Tablo 3.1 Bilişim Sistemlerinde Ana Organizasyonel Fonksiyonlar
Organizasyonel Fonksiyonlar
https://iibf.deu.edu.tr/dergi/2000_1_9
Erişim Tarihi: 25.08.2015
3.1.1 Organizasyonda Anahtar Sistem Uygulamaları
Organizasyonda değişik seviyeler, özellikler ve ilgi alanları olduğundan dolayı bir
çok çeşit sistem vardır. Organizasyon stratejik, yönetim, bilgi ve işlemsel seviyelere
bölünmüştür ve son olarak satış, üretim, finans, insan kaynakları gibi fonksiyonel alanlara
bölünmüştür.
Farklı Tipteki Sistemler:
Farklı organizasyonel seviyelerde servis veren dört tip bilişim sistemi vardır:
İşlemsel seviye sistemleri,
Bilgi seviye sistemleri,
Yönetim seviye sistemleri,
Stratejik seviye sistemleri [12]
21. 3.1.1.1 İşlemsel Seviye Sistemleri:
İşlemsel yöneticileri destekler ve bunu organizasyonun satışları, para depozitleri, kredi
kararları ve fabrika malzemenin akışı gibi temel aktivitelerin ve işlemlerin kayıtlarını tutarak
yapar.
Bu seviyede sistemlerin temel prensipleri rutin sorulara cevap vermek ve organizasyonların
muamelelerinin kayıtlarını tutmaktır. [15]
Ör: Bankamatikler
3.1.1.2 Bilgi Seviye Sistemleri:
Bir organizasyondaki veri işçilerini ve bilgileri destekler. Bilgi seviye sistemleri bir
firmanın kırtasiye işlerinin kontrolüne ve yeni bilgilerin işe entegre edilmesine yardımcı olur.
3.1.1.3 Yönetim Seviye Sistemleri:
Orta kademe yöneticilerin olayları izlemesi, kontrolüne, karar vermesine yardımcı
olmaktadır. Yönetim seviye sistemleri tipik olarak anlık raporlar yerine belli bir periyot için
bilgi elde ederler. Anlık bilgiye ihtiyaç fazla değildir, fakat periyodik raporlara halen ihtiyaç
duyulmaktadır. [15]
3.1.1.4 Stratejik Seviye Sistemleri:
Tepe yöneticilerin firma içi ve dış çevredeki stratejilerini belirlemelerine yardımcı olur.
Onların ana prensibi dış çevredeki değişikliklere var olan organizasyon olanaklarıyla uyum
sağlamaktır.
3.1.2 Altı Ana Sistem Tipi
Yönetici Destek Sistemi (YDS)
Yönetim Bileşim Sistemleri (YBS)
Karar Destek Sistemleri (KDS)
Bilgi Çalışma Sistemleri (BGS) ve Ofis Otomasyon Sistemi (OOS)
Muamele İşlem Sistemleri (Atomik İş İşleme Sistemleri (AİS)) [15].
22. Her seviyedeki sistemler ana fonksiyon alanlarına servis için düzenlenmiştir. Böylece
organizasyonlarda bulunan tipik sistemler işçilere veya yöneticilere her seviyede ve satış,
üretim, pazarlama, finans, insan kaynakları fonksiyonlarında yardım amacı ile oluşturulmuştur.
3.1.2.1 Muamele İşlem Sistemleri (Atomik İş İşleme Sistemi-AİS (TPS)):
Atomik iş işleme sistemi (AİS) organizasyonun işlemsel seviyesine servis veren en basit
sistemdir. Bir AİS işlerin yönetilmesi için günlük olarak işlemlerin kayıtlarını tutan
bilgisayarlarla donatılmış sistemdir. Atomik iş işleme sistemleri, bir organizasyonun işlemsel
seviyesine hizmet verir. AİS diğer sistemler için ana bilgi üreticileridir [7].
3.1.2.2 Bilgi Çalışma Sistemleri ve Ofis Otomasyon Sistemleri:
Bilgi çalışma sistemleri ve otomasyon sistemleri, bilgi seviyesinde hizmet verirler.
Uzman bilgi iş sistemleri (UBİS) ve Ofis otomasyon sistemleri (OOS) organizasyonun bilgiye
ihtiyaç duyduğu andaki bilgiyi sağlar [7].
3.1.2.3 Yönetim Bilişim Sistemleri-YBS (MIS):
Yönetim bilişim sistemleri organizasyonun yönetim seviyesinde hizmet verir,
yöneticilere raporlar sunarak ve bazı durumlarda organizasyonun en son performansına ve
tarihsel kayıtlarına on-line yetki verirler [7].
YBS öncelikle planlama, kontrol ve karar alma hizmetleri verir, yönetim düzeyinde
genellikle verilerin atomik iş işleme sisteminde işlenmesine dayanır. YBS genellikle
yöneticilere haftalık, aylık, yıllık sonuçlar sunar, bunlar günlük aktiviteler değillerdir. YBS
ileride oluşabilecek sorunları şimdiden yapısallaştırır. Bu sistemler genellikle çok esnek
sistemler değillerdir ve az bir analitik kapasiteye sahiptir [7].
3.1.2.4 Karar Destek Sistemleri-KDS (DSS):
YBS ve KDS organizasyonun yönetim kademesine destek verir. Bilgi sistemleri
kararları çok değişik yollardan desteklerler. KDS yöneticilere yarı yapılanmış, eşsiz veya hızla
değişen, kolayca belirlenemeyen kararlar belirlerler. KDS, AİS ve YBS’ ten dahili bilgilerini
kullanırken dıştaki kaynaklardan da bilgileri alır [7].
23. KDS diğer sistemlerden daha fazla analitik güce sahiptir. Bu sistemler kullanıcıya dost
(user-friendly) yazılımlar içerir.
3.1.2.5 Yönetici Destek Sistemleri-YDS (ESS):
YDS organizasyonun stratejik kademesindeki yapılandırılmamış karar vermeyi
gelişmiş grafikler ve iletişim sayesinde belirlemeyi amaçlayan bilgi istemleridir. Tepe
yöneticiler karar vermek için YDS ‘ler olarak adlandırılan bilgi sistemlerini kullanırlar.
YDS organizasyonun stratejik kademesine hizmet verir. YDS en gelişmiş grafik
yazılımları kullanır ve grafikleri ve verileri birçok kaynaktan hızlı bir şekilde kıdemli
yöneticilerin ofislerine ve yönetim odalarına dağıtabilir. [11]
Bilişim Sistemlerinin Zorlukları:
Stratejik İş Zorluğu: Firmalar rekabetçi ve etkin organizasyonlar kurmak için bilişim
teknolojisini nasıl kullanabilir?
Küreselleşme Zorluğu: Firmalar küresel ekonomik çevrenin iş ve sistem gereklerini nasıl
anlayabilirler?
Bilişim Mimarisi Zorluğu: Organizasyonlar iş amaçlarını destekleyecek bir bilişim mimarisini
nasıl geliştirebilirler?
Bilişim Sistemlerine Yatırım Yapma Zorluğu: Organizasyonlar bilişim sistemlerinin iş değerini
nasıl belirleyebilirler?
Sorumluluk ve Denetim Zorluğu: Organizasyonlar, insanların denetleyip anlayabildiği
sistemleri nasıl tasarlayabilirler?
Bilişim sistemleri yapısı; Yönetim alt sistemi, karar girdileri, işlemler alt sistemi, bilgi
alt sistemi ve çıktılarından oluşmaktadır. Yapı şekil 3.3 de gösterilmiştir [8].
24. Şekil 3.3 Bilişim Sistemi Yapısına Bir Örnek
Toplam Kalite Yönetimi
https://www.adem.bartin.edu.tr/ TKY
Erişim Tarihi:29.08.2015
3.2 Lojistik Bilgi Teknolojileri
Bilgisayar sistemlerini, bilgisayar ağlarını, bulut sistemlerini ve otomatik tanıma ve veri
toplama sistemlerini içerir. Bu dört gruptaki teknolojiler ve onların altında sınıflandırılabilecek
teknolojilerin sınıflandırılması bir zihin haritası olarak Şekil 3.4’de verilmiş olup bu bölümde
anlatılacaktır.
25. Şekil 3.4 Lojistik Bilişim Teknolojilerinin Haritası
Lojistik Bilişim Teknolojileri
http://www.slideshare.net/ertekg/ertek-uluslararasi-lojistikunite6
Erişim Tarihi:12.09.2015
İstemciler (Clients), tekil olarak veya bilgisayar ağlarındaki diğer kaynaklara
bağlanarak istenilen işlemlerin yapılmasını sağlayan uç birimlerdir. Sunucu (Server),
bilgisayar ağlarında, erişim imkanı olan tüm istemcilerin kullanımına ve/veya
paylaşımına açık kaynakları (yazılım kodları, veri tabanı vb.) barındıran bilgisayar
birimidir [12].
26. Bilgisayar Ağları (Computer Networks), bir yerden başka bir yere veri aktarımını
sağlayan mümkün olduğu yapılardır. Tanım itibariyle en az iki bilgisayarın birbirine
bağlanması ile bir ağ oluşturulurlar. Ağlar, küçük bir çalışma alanı (ofis, fabrika, depo
vb.) içerisindeki veya uzak mesafelerdeki bilgisayarların iletişim hatları aracılığıyla
birbirine bağlanması ile oluşturulur. Bilgi ve sistem kaynaklarının farklı kullanıcılar
tarafından paylaşılmasına olanak tanıyarak aynı kaynaklardan daha verimli bir biçimde
faydalanmayı mümkün kılar karakterize olur. [13
PAN (Kişisel Alan Ağı / Personal Area Network), çok kısıtlı bir coğrafi (örneğin bir
ev)alandaki bilgisayar aygıtları arasındaki iletişimi kurmak için kullanılan ağdır.
LAN (Yerel Alan Ağı / Local Area Network), ofis, fabrika, depo, okul binaları gibi
sınırlı bir coğrafi alandaki bilgisayarları ve diğer donanım aygıtlarını birbirine bağlayan
ağdır.
WAN (Geniş Alan Ağı / Wide Area Network), birden fazla farklı coğrafik
konumdaki bilgisayar ve donanım aygıtının birbiri ile iletişim kurmasını veya
birden fazla yerel alan ağlarının birbirine bağlanmasını sağlayan çok geniş ağlardır.
En yaygın kullanılan WAN, yani geniş alan ağı ise İnternet’tir. Ve tüm dünyayı
biribirine bağlamaktadır.
VPN (Virtual Private Network / Sanal Özel Ağ), İnternet gibi açık telekomünikasyon
altyapılarını kullanarak kullanıcıları veya uzak ofisleri organizasyonun bilgisayar ağına
güvenli bir şekilde eriştirmeyi sağlamak için geliştirilmiş sanal bilgisayar ağı yapısıdır.
[14]
Bulut bilişim (cloud computing), bulut sistemlerin kullanımı gün geçtikçe artmaktadır
ve artacaktır. Bunun önemli bir sebebi düşük yönetim çabası veya servis sağlayıcı
etkileşimi hızlı alınıp salıverilebilen ayarlanabilir bilişim kaynaklarının paylaşılır
havuzuna, istendiğinde ve uygun bir şekilde ağ erişimi sağlayan bir modeldir.
Kullanıcılar bulutun içinde birbirine bağlanmış birçok sunucu ve veri depolama
ünitesinden hangisine bağlandığından haberdar değildir [5].
27. Otomatik Tanıma ve Veri Toplama (OT/VT) Sistemleri (Auto Identification / Data
Capturing (AI/DC) Systems), bir verinin klavye üzerinden tuşlanarak girilmesi yerine
verinin elektronik ve otomatik olarak algılanarak doğrudan ve yine otomatik olarak
bilgisayarlara kaydedilmesi işlemine denir. Bu teknolojilerin amacı, veri girişinin doğru
ve hızlı olarak yapılmasıdır. Bu teknolojiler arasında barkod, optik karakter Tanıma [5].
(Optical Character Recognition - OCR), akıllı kartlar, ses tanıma (voice recognition),
biyometrik teknolojiler
(parmak izi ve retina taraması) ve RFID (Radyo Frekans tanımlama) sayılabilir.
Barkod, OT/VT teknolojileri içinde ilk ve en yaygın kullanılan teknolojidir.
Barkod; değişik kalınlıktaki dik çizgi ve boşluklardan oluşan kodların optik olarak
taranması ve medya üzerine kodlanarak kaydedilmiş olan verinin otomatik olarak
ve hatasız bir biçimde bilgisayar ortamına aktarılması için kullanılan bir yöntemdir.
Barkod, değişik kalınlıktaki çizgilerden ve bu çizgiler arasındaki boşluklardan
oluşur. 2D barkodlar daha fazla bilginin sığdırılabilmesi için çizgiler yerine kare
hücreleri içeren iki boyutlu matris yapısını kullanır [5].
RFID (Radio Frequency Identification) teknolojisi, bir cihazdan doğrudan (aktif
RFID) veya gönderilen bir dalganın yansıması (pasif RFID) ile temassız olarak
gelen elektromanyetik dalganın bir anten vasıtası ile alınıp, bir yonga üzerinde
işlenerek sayısal veriye dönüştürülmesi ve istenilen ortama aktarılmasını
sağlar.RFID sistemi anten bağlanmış bir yongadan yapılan etiket (RFID tag) ve
antenli bir RFID okuyucudan (reader) oluşur. Okuyucu donanım elektromanyetik
dalgalar yayar. Pasif RFID etiketi, okuyucudan yayılan dalgaları algılar ve bunu
RFID yonganın devrelerini harekete geçirmek için kullanır. RFID yonga bu
dalgalara üzerindeki sayısal bilgiyi ekler ve okuyucuya geri gönderir. Aktif RFID
etiketi üzerinde pil bulunmaktadır. Bir okuyucunun etki alanına girdiğinde bilgiyi
bizzat doğrudan gönderir [5].
28. Şekil 3.5 Biyometrik Teknolojiler
http://www.slideshare.net/ertekg/ertek-uluslararasi-lojistikunite6
Erişim Tarihi:18.09.2015
3.3 Lojistik Bilişim Sistemleri
Lojistik Bilgi Sistemleri, tedarik zinciri üzerinde yer alan şirketlerin her birinin kendi
planlama veya operasyonel ihtiyaçlarını karşılayan, şirket içinde ve/veya dışındaki diğer
ilişkili sistemler ile entegrasyon içinde çalışabilen yazılım sistemleridir (şekil 3.5). Burada
entegrasyon olarak tanımlanan ilişki, bilgi sistemleri arasındaki bilgi ve belge akışını
belrtmektedir. Şirketler, çoğu kez bu yazılım sistemlerini ayrı ayrı satın alıp kullanmak yerine
hepsini ya da çoğunu modüller olarak içeren entegre Kurumsal Kaynak Planlama (KKP),
Enterprise Resource Planning, (ERP) yazılımları kullanırlar [10].
30. Lojistik Bilgi Sistemleri, temel olarak Stratejik Planlama Sistemleri ve Operasyonel
Bilgi Sistemleri’ni, ve bunların dışında diğer sistemleri kapsar[9].
Stratejik Planlama Sistemleri, Faaliyetlerin modellenmesi ve tasarımı için kullanılan
sistemlerdir. Bu sistemler, yeni bir sistemin oluşturulması için bir kereye mahsus
kullanıldığı gibi (Optimum Ağ Tasarımı), meydana gelen değişikliklerde sistemin
revizyonu (Optimum Dağıtım Planlama, Talep Planlama) veya periyodik olarak gözden
geçirme (Talep Planlama, Stok Optimizasyonu) amaçları ile de kullanılıyor olabilirler.
Operasyonel Bilgi Sistemleri, yürütülen faaliyetlerin stratejik seviyede yönetimi,
denetimi ve raporlanması için kullanılan sistemlerdir. Genel olarak operasyonel
fonksiyonlar; Satınalma süreçlerinin yönetildiği Tedarik Yönetimi, ( elde bulunan tüm
stokların konsolide olarak yönetimi (Stok Yönetimi), Satış faaliyetleri sonrasında alınan
satış siparişleri ve bunların dağıtımı faaliyetleri için Satış/Dağıtım Yönetimi,
Depolardaki tüm elleçleme faaliyetleri ve stok hareketlerinin yönetildiği Depo
Yönetimi, Sevkiyat planlarına uygun araçların temin ve atama işlemleri için Nakliye
Yönetimi, ve Depolarda işlem gören siparişlerin sevkiyatının planlanması için
Yük/Araç Planlama olarak tanımlanır.
Yukarıda belirtilen stratejik ve operasyonel seviyedeki yazılımlar ayrı paketler halinde,
hatta farklı yazılım firmalarından satın alınıp kullanılabilir. Ancak, çok daha yaygın bir
yaklaşım, yukarıda belirtilen yazılımları ya da bir kısmını modüller olarak içinde barındıran
entegre yazılım çözümleridir. Kurumsal Kaynak Planlama – KKP (Enterprise Resource
Planning - ERP) yazılımları bu tarz entegre yazılımlardır. Firmaların pek çoğu yukarıda tek tek
anlatılan yazılımları farklı yazılımlar olarak satın almak yerine, tek bir KKP yazılımını
modülleriyle birlikte satın almayı tercih etmektedir.
Türkiye’de geliştirilen yazılımların en büyük iki avantajı düşük maliyet ve yerel
destektir. Yurtdışında geliştirilen yazılımların en büyük iki avantajı ise holding düzeyindeki
operasyonları yönetebilecek yapıda kapsamlı tasarlanmış olmaları ve dünya çapında tanınıyor
olmalarıdır. Açık kaynak kodlu (open source) yazılımların en büyük avantajı satın alım
maliyetlerinin bulunmaması, en önemli dezavantajları ise kurmak ve sürekli olarak
yönetebilmek için son derece uzman yazılım mühendislerine ihtiyaç yaratmasıdır [9].
31. Coğrafi Bilgi Sistemleri – CBS (Geographic Information Systems - GIS), coğrafi
özelliği olan her tür verinin kullanıcılara kolay planlama yapacakları şekilde
sunulmasını sağlayan yazılım sistemleridir.
Boyutlu Tasarım Yazılımları (3-D Design Software), lojistikte depoların kavramsal
tasarımı için kullanılır. Bu yazılımlar bir deponun üç boyutlu gösterimini ve depodaki
operasyonların animasyonunu sunmakla beraber, benzetim (simulation) yapıp depoyla
ilgili performans ölçütlerini hesaplayamaz [11].
Benzetim (Simulation) yazılımları, tasarlanacak bir tedarik zincirinin fabrika ya da bir
deponun işlemsel (computational) bir modelini yazılım ortamında geliştirmeye ve mevcut
sistemin ve alternatiflerinin performansını hesaplamaya yarar.
Süreç Haritası Yazılımları (Flowchart Software), süreçlerdeki iş akışını (workflow)
tanımlamayı kolaylaştırarak son derece önemli faydalar sağlar. Etkin süreç yönetimi,
kurumsal firmaları kurumsal olmayanlardan ayıran önemli bir yetkinliktir ve süreçlerin
tanımlanması ve iyileştirilmesi, süreç haritası yazılımları ile son derece kolay bir
biçimde yürütülebilir [9].
32. 3.3.1 Lojistik Bilişim İlkeleri
Lojistik bilişim ilkeleri altı parçadan oluşmaktadır. Bunlar; Erişilebilirlik, Doğruluk,
Zamanlılık, İstisna Tabanlılık, Esneklik, Uygun Biçimliliktir. Bu ilkelere etki eden analiz
çalışması Şekil 3.7 de verilmiştir [11].
Şekil 3.7 LBS kullanım, Karar Düzeyleri
Kaynak: Bilgi Güvenliği Yönetim Sistemi Dokümanı, KPMG
33. 4. BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ
Bu bölümde organizasyonların ISO/IEC 27001 standartlarına uygun bir BGYS
kurulmasını sağlamaya yönelik bilgi ve deneyimlerin aktarılması ve ISO/IEC 27001 bilgi
güvenliği yönetim sistemi standartlarının tanıtılması sağlanmaktadır. Bu standartların lojistik
alanında kullanılması ve lojistik sistemlerindeki bilişim sistemlerine bilgi güvenliğinin
uygulanmasını sağlamak için öncelikle bilgi güvenliği yönetim sistemini anlamak
gerekmektedir.
ISO/IEC 27001, Bilgi güvenliği yönetim sistemi (BGYS) gereksinimlerini tanımlayan
tek denetlenebilir uluslararası standarttır. Bu standart, işletmeler içerisinde bilgi güvenliğinin
planlanması, uygulanması ve sürekliliğini sağlaması için, bilgi güvenliği yönetimi ile ilgili
kural ve kontrol hedeflerini içermektedir. Bu kuralları oluşturan ve uygulanmasını sağlayan
yöntemlerin bütünü ‘Bilgi Güvenliği Yönetim Sistemi (BGYS)’ olarak tanımlanmaktadır. Bilgi
güvenliği yönetim sistemi (BGYS), kurumsal bilgilerinin güvenli kalmasına yönelik bir
yaklaşım olup, olası risklerin ve tehditlerin belirlenmesi, güvenlik politikalarının oluşturulması,
denetimlerin ve uygulamaların kontrolü, uygun yöntemlerin geliştirilmesi, yönetimsel yapıları
kurulması ve yazılım/donanım fonksiyonlarının sağlanması gibi bir dizi denetim eyleminin
birbirini tamamlayacak şekilde gerçekleşmektedir. [14]
Küresel rekabet ortamında işletmelerin gerek hizmet çeşitliliğinin gerek kalitesinin
artmasına bağlı olarak, ölçeklerinde ve büyüklüklerinde de artışlar olmakta, işletmelerin sahip
oldukları sahip oldukları bilgi güvenliğinin sağlanması ve yönetilmesi konusunda standart bir
yönetim yaklaşımının oluşturulmasına ihtiyaç duyulmaktadır.
Şekil 4.1 PUKÖ Döngüsü ya da Shewhart Çevrimi
PUKÖ Döngüsü ya da Shewhart Çevrimi
http://www.adem.bartin.edu.tr/ TKY
Erişim Tarihi:01.10.2015
34. PLANLA
PUKÖ çevriminin ilk safhası PLANLA safhasıdır. Planlama safhasında amaç;
müşterinin kalite ihtiyacı, başka bir deyişle müşterinin isteği şeklinde tanımlanır. KYK (Kalite
Yürütme Kurulu) müşteri ihtiyaçlarını işlemsel tanımlara çevirir. İşlemsel tanımlar kalite
karakteristiklerini ölçülebilen büyüklüklerle ifade eder. Daha sonra yönetim bu kalite
karakteristikleri içinde ne tür gelişmiş amaçların arzulandığı üzerinde durmalıdır. Planlamada
bir sonraki adım ürünlerdeki ve hizmetlerdeki çeşitliliğe neden olan faktörleri bulmak için bir
yöntem belirlemektir. Konu hakkında bilgisi olan ve ekip elemanı gibi çalışan personel
başlangıç analizlerine katılırlar. Genellikle planlama safhası, tüm safhaların içinde en çok
zaman alanıdır. Her ne kadar PUKÖ eşit parçalıymış gibi gösterilse de PLANLA safhası aslında
çevrimin %75’idir.
UYGULA
PUKÖ çevriminin ikinci safhası Uygula safhasıdır. Bu safhada genellikle bir deney
düzeneğiyle ya da küçük ölçeklerle bir test gerçekleştirilir. Bu testi yapmak için önce süreç
kalitesine engel olan olası sebepleri tanımlamak gerekir. Bu, kalite karakteristikleri anlamında
sürecin nasıl gittiğini görmek ve ölçmek için temel bilgi ve ölçümlerle ilgilidir. Bir sonraki
aşama, ufak bir değişiklik yapmaktır ki, bu kalite performans göstergeleri ile değiştirilen
değişken arasında bir korelasyon olup olmadığını anlamak içindir (süreç arasında kalite ölçümü
).
KONTROL ET
PUKÖ’ nün üçüncü safhası olan “Kontrol Et” aşamasında testlerle sebebin meydana
çıkartılıp çıkartılamayacağını belirlemek için veri analizi yapılır. Bu analizler sonuçların (iyi ya
da kötü ) sebebini işaret eder ve proje sorumlusu kimselerin hareketlerinin temelidir. Bu aşama,
sık sık sistemdeki geliştirmeler için bilgi yönlendirmesi şeklindedir.
ÖNLEM AL
Önlem Al safhası dördüncü adımdır. Eğer UYGULA safhasında icra edilen test, kontrol
safhasında bir gelişmeye işaret ettiyse, süreçler değişiklikleri standardize edecek şekilde yapılır.
Değişikliklerin etkisi, değişiklikten önce toplanan verilerle sonra toplanan veriler
karşılaştırılarak belirlenir. Eğer bir düzelme görülmüyorsa, yapılması gereken süreç daha çok
35. veri toplamak ve yeniden başlamaktır. Süreç, arzulanan etkiyi sağlamak için ve değişimde
(gelişme) yeni tanımlamalar için devamlı gözlemlenmelidir. Gözlemler istatistiksel araçlar
kullanılarak yürütülür. Çevrim “Önlem Al” aşaması ile bitmez PUKÖ öğrenmek ve düzeltmek
için sürekli bir çevrimdir [11].
4.1 Bilgi Güvenliği Yönetim Sistemi Kapsamının Belirlenmesi
Kapsam belirleme aşamasında öncelikle BGYS’ in kurum içerisindeki geçerlik alanının
tanımlanması yapılmaktadır. Kapsam kurumun güvenlik gereksinimlerini, kurumun sahip
olduğu müşteriler ve verdiği hizmetler, ek olarak uyulması gereken yasal düzenlemelerin
değerlendirilmesi ile belirlenmektedir.
Bu kapsamın temel olarak ele alınması sayesinde, gerekli olan yönetim sistemi
değişiklikleri değerlendirilebilir olacaktır. Kapsam belirlemede yasal gereksinimlerin
karşılanması kritik bir bileşen olarak ele alınmaktadır. Tüm süreçler ilgili düzenlemelerin
gerekliliklerini yerine getirecek şekilde analiz edilerek kapsama dahil olup olmayacağı
belirlenmelidir.
Kapsamı belirlemek için;
İş ihtiyaçları ve karakteristiği
Organizasyonel karakteristik
Lokasyon Bilgisi
Varlık Bilgisi ve
Teknoloji Bilgisi belirlenmelidir [11].
36. 4.2 Varlık Yönetimi
Varlık, en genel tanımıyla değeri olan ve uygun olarak korunması gereken tüm
unsurlardır. Varlık kavramı için örnekler aşağıda sıralanmaktadır [11].
Bilgi varlıkları,
Yazılım varlıkları,
Fiziksel varlıklar,
Hizmetler,
İnsandır.
Varlık yaşam döngüsünde, varlıkların etkin yönetimini sağlamak adına varlık sahibi ve
sorumlusu belirlenmelidir. Varlık sahipleri ve sorumluları kişiler ya da bölümler/birimler olarak
tanımlanabilir. Varlık sahiplerinin ilgili varlığın mülkiyet haklarına sahip olma zorunluluğu
yoktur. Varlık sahibi kısmi olarak varlığa ilişkin sorumlulukları kurum içi organizasyonda yer
alan kişiler ile paylaşabilir ancak ana sorumluluk sahibinde olmalıdır.
Sahiplik (Owner), varlık yaşam döngüsü süresince varlığın yönetiminden sorumlu
birim/bölüm veya kişidir. Bir varlık sahibi aşağıdakileri sağlamalıdır:
Varlık türüne göre uygun bir biçimde sınıflandırılması ve korunmasını sağlamak; uygun
varlıklara erişim gereksinimleri tanımlamak ve erişim kontrolünü periyodik olarak
gözden geçirmek ve gerekli durumlarda önlem almak,
Varlıkların imhası ile ilgili gereksinimlerini tanımlamalı ve uygun bir biçimde
işletildiğini sağlamak,
Sorumluluğu altında olan varlıkların etkin bir şekilde envantere işlenmesini sağlamak
[11].
İş sahibi, varlığın değerini ve risklerini en iyi bilen ve risk analizi süresinde bu kararları
veren, korunma gereksinimini belirleyen birim veya kişidir.
Teknik sahibi, varlığı belirlenen gereksinime uygun olarak korunmasından sorumlu olan
birim veya kişidir.
Bilgi güvenliği yönetim sistemi, kurumdaki tüm bilgi varlıklarının değerlendirilmesi ve
bu varlıkların sahip oldukları zayıflıkları ve karşı karşıya oldukları tehditleri göz önüne alarak
37. bir risk analizi yapılmasını gerektirir. Kurum kendine bir risk yönetimi metodu seçmeli ve risk
işleme için plan hazırlamalıdır [11].
BGYS kapsamında varlıkların sahip oldukları zafiyet/zayıflıkları belirlemek için
varlıkların sınıflandırılması gerekmektedir. Varlık sınıfları için örnekler aşağıda
sıralanmaktadır (Tablo 4.1):
Doküman (Hard Copy)
Elektronik Dosya
Taşınabilir Medya
Yazılım
Donanım
Personel
Dosya Sunucuları
Kritik Fiziksel Alanlar
Uygulama/Arayüz ve Veritabanıdır [11].
Tablo 4.1 Varlıkların Sınıflandırılması ve Sahiplerinin Belirlenmesi
Kaynak:Bilgi Güvenliği Yönetim Sistemi Dokümanı, KPMG
Varlığın Adı Varlık Sınıfı Varlığın İş
Sahibi
Varlığın
Teknik Sahibi
İlgili Süreç Süreç
Sahibi
Uygulama
Veritabanı
Veritabanı
(Database)
Yazılım
Geliştirme
Yazılım
Kaynak Kod
Versiyon
Yönetimi
Ortamı
Yazılım
(Software)
Yazılım
Geliştirme
Network
Topology
Basılı
Doküman
(Hardcopy)
System
Network
38. 4.3 Risk Yönetim Metodolojisi
Risk, bir bilgi varlığının üzerinde taşıdığı zafiyetten yararlanılarak ortaya çıkabilecek
ve kurumu olumsuz yönde etkileyecek bir tehdidin gerçekleşme olasılığı olarak tanımlanır
risk yönetim metodolojisi Şekil 4.2 de gösterilmiştir.
Şekil 4.2 Risk Yönetim Metodolojisi
Kaynak: Bilgi Güvenliği Yönetim Sistemi Dokümanı, KPMG
Notebook Donanım
(Hardware)
System
Network
Disiplin
Prosedürü
Elektronik
Dosya
(Elektronic
File)
İnsan
Kaynakları
Arşiv Odası Güvenli Alan
(Secure/Critical
Area)
İdari İşler
Fatura Basılı
Doküman
(Hardcopy)
İthalat/İhracat
Web Sitesi Yazılım
(Software)
Yazılım
Geliştirme
39. Tehdit(Threat), en genel tanımıyla bir varlığa zarar verme olasılığı olan olayların her
biri olarak tanımlanır. Varlıkları tehdit edebilecek olaylar arasında hırsızlık, su baskını, kötü
niyetli girişimler, donanım/yazılım arızaları, insan hataları vb. sayılabilir.
Zafiyet(Vulnerability), en genel anlamıyla bir varlığın bir tehditten zarar görmesine
yol açacak zayıflıklar, varlığın korunmasız olma hali olarak tanımlanır. Varlıklar üzerindeki
zafiyetler arasında zayıf şifreler, hatalı konfigure edilen kurulan cihazlar, kilitsiz kapılar,
yetkisiz erişebilen sistemler, odalar vb. örnekler sayılabilir.
Etki(Impact), en genel anlamıyla bir riskin gerçekleştiği durumda söz konusu durumun
organizasyona/sürece etkisini ifade etmektedir.
Olasılık(Probability), en genel anlamıyla bir riskin gerçekleşme olasılığı olarak
tanımlanır [11].
Şekil 4.3 Tehdit ve Zafiyetlerin Belirlenmesi
Kaynak: Bilgi Güvenliği Yönetim Sistemi Dokümanı, KPMG
40. Bir bilgi varlığının korunabilmesi için öncelikle değerinin bilinmesi ve hangi risklere
maruz olduğunun tespiti gerekmektedir (Şekil 4.4). Risk analizleri ile hedeflenen:
Bilgi güvenliği yönetiminin geliştirilmesi,
Kurumun kritik varlıkları izlemesini ve etkin bir şekilde korunmasını
sağlaması,
Varlıkların korunmasına yönelik ek kontrollerin belirlenmesinin sağlanması,
Karar vermede etkin bilgi güvenliği politikalarının desteklenmesini
sağlamaktır [11].
Şekil 4.4 Risk Yönetim Süreci
Kaynak: Bilgi Güvenliği Yönetim Sistemi Dokümanı, KPMG
41. Risk değerinin hesaplanması için varlıkların tanımlanması ve sınıflandırılması, her
varlık üzerinde güvenilirlik, bütünlük ve uygulanabilirliğin değerlendirmelerinin yapılması,
risk azaltıcı aksiyonların belirtilmesi, varlıklar ile eşleştirilen risklerin değerlendirilmesi başlıca
gereksinim duyulacak tanımlardır [11].
Şekil 4.5 Risk Değerinin Hesaplanması
Kaynak: Bilgi Güvenliği Yönetim Sistemi Dokümanı, KPMG
42. 4.3.1 Varlık Listesinin Tanımlanması
Varlık listelerinin tanımlanması için; varlığın adı, varlıkların sınıfı, varlığın iş sahibi,
varlığın teknik sahibi, ilgili süreç ve süreç sahiplerinin olması gerekir. Bu listeler, varlıkların
sınıflandırılması ve sahiplerinin belirlenmesinde önemli rol oynamaktadır.
Tablo 4.2 Varlıkların Sınıflandırılması ve Sahiplerinin Belirlenmesi
Kaynak: Bilgi Güvenliği Yönetim Sistemi Dokümanı, KPMG
4.3.2 Varlıklar Bazında Kriterlerin Belirlenmesi
Varlığın Adı Varlık Sınıfı Varlığın İş
Sahibi
Varlığın
Teknik Sahibi
İlgili Süreç Süreç
Sahibi
Uygulama
Veritabanı
Veritabanı
(Database)
Yazılım
Geliştirme
Yazılım
Kaynak Kod
Versiyon
Yönetimi
Ortamı
Yazılım
(Software)
Yazılım
Geliştirme
Network
Topology
Basılı
Doküman
(Hardcopy)
System
Network
Notebook Donanım
(Hardware)
System
Network
Disiplin
Prosedürü
Elektronik
Dosya
(Elektronic
File)
İnsan
Kaynakları
Arşiv Odası Güvenli Alan
(Secure/Critical
Area)
İdari İşler
Fatura Basılı
Doküman
(Hardcopy)
İthalat/İhracat
Web Sitesi Yazılım
(Software)
Yazılım
Geliştirme
43. Veri bütünlüğü kavramı, bilgi sistemlerinin ve bilginin sadece yetkili kişilerce veya
sistemlerce değiştirilebilmesi temeline dayanmaktadır ve kurumların faaliyet alanlarına göre
özelleşmektedir. Varlıklar bazında kriterlerin belirlenmesi gizlilik, bütünlük ve erişilebilirlik
kriterlerinden oluşmaktadır.
Gizlilik (Confidentiality/C),
Bilginin sadece yetkili kişiler tarafından erişilebilir durumda olması,
Yetkisiz kişilerin erişiminim kısıtlanması,
Bilgi sistem ve verilerine sadece yetkisiz kişilerin erişimlerinin kısıtlanması değil, söz
konusu veriye yetkisiz sistem erişimlerinin de kısıtlanması
anlamına gelmektedir.
Veri gizliliği kavramı kurumların faaliyet alanlarına göre özelleşmektedir, örneğin bir
lojistik şirketinde en gizli varlıklar barkodun üzerindeki 32 rakamdan oluşan barkod bilgisi
iken bir banka bünyesinde müşterilerin sır niteliğindeki bilgiler olabilmektedir.
Bütünlük (Integrity/I),
İçeriğinin doğru,
Güncel ve geçerli olduğu,
Yetkisiz kişiler tarafından değiştirilmediği anlamına gelmektedir.
Veri bütünlüğü kavramı, bilgi sistemlerinin ve bilginin sadece yetkili kişilerce veya
sistemlerce değiştirilebilmesi temeline dayanmaktadır.
Örnek değerlendirme sınıfları aşağıda verilmektedir.
Yüksek,
Orta,
Düşük,
Erişilebilirlik (Availability/A),
Yetkili kişilerin ve işlemlerin ihtiyaç duyulan zaman içerisinde,
Bilişim sistemlerine ve bilgiye erişebilmesi anlamına gelmektedir.
44. Verinin erişilebilirliği kavramı, bilginin olması gereken yerde ve gerektiğinde kullanıma
hazır olduğunun güvence altına alınmasını temel almaktadır [11].
Şekil 4.6 CIA Kriterleri
Kaynak: Bilgi Güvenliği Yönetim Sistemi Dokümanı, KPMG
Varlık belirlenmesi için CIA kriterlerinin belirlenmesi gereklidir. varlığın adı,
varlıkların sınıfı, gizlilik, bütünlük, erişilebilirlik, varlığın iş sahibi, varlığın teknik sahibi,
ilgili süreç ve süreç sahiplerinin olması gerekir Bu listeler, varlıkların sınıflandırılması ve
sahiplerinin belirlenmesinde önemli rol oynamaktadır. CIA kriterlerinin örneği, Tablo 4.3
gösterilmiştir.
45. Tablo 4.3 CIA Kriterlerinin Belirlenmesi
Kaynak: Bilgi Güvenliği Yönetim Sistemi Dokümanı, KPMG
Varlığın Adı Varlık
Sınıfı
Gizlilik Bütünlük Erişilebili
rlik
Varlığın
İş Sahibi
Varlığın
Teknik
Sahibi
İlgili Süreç Süreç
Sahibi
Veritabanı Veritabanı
(Database)
Gizli Yüksek Orta Yazılım
Geliştirme
Yazılım
Kaynak Kod
Versiyon
Yönetimi
Ortamı
Yazılım
(Software)
Gizli Yüksek Düşük Yazılım
Geliştirme
Network
Topology
Basılı
Doküman
(Hardcopy)
Gizli Yüksek Orta System
Network
Notebook Donanım
(Hardware)
Gizli Orta Orta System
Network
Disiplin
Prosedürü
Elektronik
Dosya
(Elektronic
File)
Gizli Düşük Orta İnsan
Kaynakları
Arşiv Odası Güvenli
Alan
(Secure
Critical
Area)
Gizli Yüksek Yüksek İdari İşler
Fatura Basılı
Doküman
(Hardcopy)
Dahili
Kullanı
m
Düşük Düşük İthalat/
İhracat
Web Sitesi Yazılım
(Software)
Halka
Açık
Orta Orta Yazılım
Geliştirme
46. 4.3.3 CIA Değerlerinin Hesaplanması
Varlık adı, gizlilik, bütünlük, erişilebilirlik, CIA değerlerinin hesaplanması için gizlilik,
bütünlük ve erişilebilirlik değerlerine 1 ile 3 arası bir numara verilir ve hesaplamaları buna göre
yapılır.
Tablo 4.4 CIA Değerlerinin Hesaplanması
Kaynak: Bilgi Güvenliği Yönetim Sistemi Dokümanı, KPMG
Gizlilik Bütünlük Erişilebilirlik
3-Gizli 3-Yüksek 3-Yüksek
2-Dahili
Kullanım
2-Orta 2-Orta
1-Halka Açık 1-Düşük 1-Düşük
Varlık Adı Gizlilik Bütünlük Erişilebilirlik CIA Değeri
Veritabanı 3 3 2 8
Yazılım Kaynak
Kod Versiyon
Yönetimi
Ortamı
3 3 1 7
Network
Topology
3 3 2 8
Notebook 3 2 2 7
Disiplin
Prosedürü
3 1 2 6
Arşiv Odası 3 3 3 9
Fatura 2 1 1 4
Web Sitesi 1 2 2 5
47. 4.3.4 Varlıklara İlişkin Tehdit ve Risklerin Değerlendirilmesi
Varlıklara İlişkin Tehdit ve Risklerin Değerlendirilmesi. varlığın adı, varlıkların sınıfı,
tehdit/zafiyet tanımı, risk etkisi ve riskin ortaya çıkma olasılığı belirlenerek yapılır. Tablo 4.5
de ilgili değerlendirmeler gösterilmiştir.
Tablo 4.5 Varlıklara İlişkin Tehdit ve Risklerin Değerlendirilmesi
Kaynak: Bilgi Güvenliği Yönetim Sistemi Dokümanı, KPMG
4.3.5 Risklerin Etkilerinin ve Olma Olasılıklarının Hesaplanması
Varlığın
Adı
Varlık Sınıfı Tehdit/Zafiyet
Tanımı
Risk Tanımı Risk Etkisi Riskin
Ortaya
Çıkma
Olasılığı
Lojistik
Uygulama
Veritabanı
Veritabanı
(Database)
Yetkisiz Erişim İrsaliye
Bilgilerinin
Değiştirilmesi
Yazılım
Kaynak Kod
Versiyon
Yönetimi
Ortamı
Yazılım
(Software)
Yazılım
Açıklıkları
Kritik Veriye
Yetkisiz
Erişimler
Network
Topology
Basılı
Doküman
(Hardcopy)
Etiketlenmemiş
Doküman
Gizli Verilerin
Açığa Çıkması
Notebook Donanım
(Hardware)
Hırsızlık Bilginin veya
Cihazın Kaybı
Disiplin
Prosedürü
Elektronik
Dosya
(Elektronic
File)
Yetkisiz Erişim Kritik
Verilerin
Silinmesi
Arşiv Odası Güvenli Alan
(Secure/Critical
Area)
Fiziksel Erişim
Açıklıkları
Hırsızlık
Fatura Basılı
Doküman
(Hardcopy)
Gözetimsiz
Bırakılmış
Doküman
Gizli Bilgini
Açığa Çıkması
48. Risk etkilerinin ve olma olasılıklarının hesaplanması için etki ve olasılık değerlerine 1
den 3 e kadar numara verilerek, risk etkisi ve riskin ortaya çıkma olasılığı çarpılarak ortaya
çıkar. Etki ve olasılıkların gösterimi tablo 4.6 da verilmiştir.
Tablo 4.6 Risklerin Etkilerinin ve Olma Olasılıklarının Hesaplanması
Kaynak: Bilgi Güvenliği Yönetim Sistemi Dokümanı, KPMG
Etki(Impact) Olasılık (Probability)
3-Yüksek 3-Yüksek
2-Orta 2-Orta
1-Düşük 1-Düşük
Varlık Adı Risk Tanımı Risk Etkisi Riskin Ortaya
Çıkma Olasılığı
Etki*Olasılık
Lojistik
Uygulama
Veritabanı
İrsaliye
bilgilerinin
değiştirilmesi
3 2 6
Yazılım Kaynak
Kod Versiyon
Yönetimi
Ortamı
Kritik veriye
yetkisiz
erişimler
3 2 6
Network
Topology
Gizli verinin
açığa çıkması
3 3 9
Notebook Bilginin ve
cihazın kaybı
2 1 2
Disiplin
Prosedürü
Kritik verilerin
silinmesi
3 2 6
Arşiv Odası Hırsızlık 3 1 3
Fatura Gizli bilginin
açığa çıkması
2 1 2
Web Sitesi İtibar kaybı 2 2 4
4.4 Uygulanabilirlik Bildirgesi
49. Uygulanabilirlik bildirgesi (SOA (Statement of Applicability), ISO/IEC 27001
standardı içerisinde yer alan kontrol hedeflerinin arasından kurum bünyesinde uygulanan
kontrollerin seçilmesi ile oluşturulan kapsam dahilinde yer almayan kontrollerin neden dahil
edilmediğinin açıklandığı ve sertifikasyonu için oluşturulması zorunludur.
SOA oluşturulurken kritik varlıklar ve risk değerlendirmeleri değerlendirilmeye
alınmalıdır. Risk analizleri göz önünde bulundurularak gerektiği durumda ek kontrollerin
devreye alınması ve uygulanabilirlik bildirgesi’ne eklenmesi gerekmektedir. Uygulanabilirlik
bildirgesi aşağıdaki başlıkları içermelidir [11].
Kontrol Hedefi,
Politika/Kontrol Alanı,
Kontrol Tanımı,
Kontrol Uygulama Tarihi,
Kontrol Gözden Geçirme Tarihi,
Kontrol kapsam dahilinde mi? (Evet-Hayır-U/D),
Açıklama.
4.5 Kontrol Alanları ve EK-A Kontrol Hedefleri
ISO/IEC 27001 standardında; kuruluşun tüm iş riskleri kapsamında yazılı bir BGYS’in
oluşturulması, gerçekleştirilmesi, işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve
geliştirilmesi için kontrol alanları aşağıda listelenmektedir:
Bilgi güvenliği politikası, üst yönetim tarafından onaylanmalı, yayınlanmalı ve tüm
çalışanlar ve ilgili taraflara bildirilmelidir. Bilgi güvenliği politikası, belirli aralıklarla
veya önemli değişiklikler ortaya çıktığında sürekli uygunluğunu, doğruluğunu ve
etkinliğini sağlamak için gözden geçirilmelidir.
Varlık yönetimi, kurumun varlıklarının tümü açıkça tanımlanmalı ve önemli varlıkların
bir envanteri hazırlanmalı ve tutulmalıdır. Bilgi işleme olanakları ve ilişkili tüm bilgi ve
varlıklar atanan bir bölüm tarafından sahiplenilmelidir. Bilgi, değeri, yasal
gereksinimleri, hassaslığı ve kuruluş için kritikliğine göre sınıflandırılmalıdır.
İnsan kaynakları güvenliği, çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların
güvenlik rolleri ve sorumlulukları kuruluşun bilgi güvenliği politikasına uygun olarak
tanımlanmalı ve dokümante edilmelidir. Tüm işe alınacak adaylar, yükleniciler ve
50. üçüncü taraf kullanıcıları ilgili yasa, düzenleme ve etik ilkelere göre çalışmaları için
uygun doğrulama kontrolleri gerçekleştirilmelidir.
Fiziksel çevre güvenliği, bilgi ve bilgi işleme olanaklarını içeren alanları korumak için
güvenlik önlemleri (duvarlar gibi engeller, kart kontrollü giriş kapıları, görevli bulunan
resepsiyon masaları) alınmalıdır. Veri taşıyan ya da bilgi hizmetlerini destekleyen
iletişim ortamları ve araçları, kesilme ya da hasarlardan korunmalıdır.
İletişim ve işletim yönetimi, işletim prosedürleri dokümante edilmeli, sürdürülmeli ve
ihtiyacı olan tüm kullanıcıların kullanımına sunulmalıdır. Bilgi ve yazılımlara ait
yedekleme kopyaları alınmalı ve yedekleme politikasına uygun şekilde düzenli olarak
test edilmelidir.
Erişim kontrolü, erişim için iş ve güvenlik gereksinimlerini temel alan bir erişim
kontrol politikası kurulmalı, dokümante edilmeli ve gözden geçirilmelidir.
Kullanıcılardan parolaların seçiminde ve kullanımında güvenlik uygulamalarını
izlemeleri istenmelidir. Etkin olmayan oturumlar tanımlanmış belirli bir hareketsizlik
süresinden sonra kapatılmalıdır.
Bilgi sistemleri edinim, geliştirme ve bakım, uygulama sistem yazılım güvenliğini
sağlamak için gerekli kontrol prosedürleri belirlenmeli ve uygulanmalıdır. Dış kaynaklı
(outsource) edilen yazılımlar kuruluş tarafından denetlenmeli ve izlenmelidir.
Kullanılan bilgi sisteminin teknik açıklıkları hakkında zamanında bilgi elde edinmeli,
kuruluşun bu tür açıklıklara maruz kalması değerlendirilmeli ve riskleri hedef alan
uygun önemler alınmalıdır.
İhlal olayları yönetme, bilgi güvenliği olayları uygun yönetim kanalları aracılığıyla
mümkün olduğu kadar hızlı biçimde rapor edilmelidir. Bilgi sistemleri ve hizmetlerinin
tüm çalışanları, yüklenicileri ve üçüncü taraf kullanıcılarından, sistemler ve
hizmetlerdeki gözlenen ve şüphelenilen herhangi bir güvenlik zayıflığını dikkat etmeleri
ve rapor etmeleri istenmelidir. Bilgi güvenliği ihlal olaylarının türleri, miktarları ve
maliyetlerinin ölçülüp izlenilebilmesini sağlayan mekanizmalar bulunmalıdır [11].
İş sürekliliği, kuruluş genelinde iş sürekliliğini sağlamak için bir iş sürekliliği yönetim
çerçevesi tanımlanmalıdır. İş sürekliliği planlarının, güncel ve etkili olmalarını
sağlamak için düzenli olarak test edilmeli ve güncellenmelidir.
Uyum, ilgili tüm yasal düzenleme ve sözleşmeden doğan gereksinimler tanımlanmalı,
dokümante edilmeli ve güncel tutulmalıdır.
4.5.1 ISO/IEC 27001:2013
51. Test edilecek kontrol hedeflerinin tanımlandığı bölümdür. Bu kontrol hedefleri bilgi
güvenliğine etki eden fonksiyonel gereksinimleri ortaya koymakta ve on dört kısımdan
oluşmaktadır.
Bilgi güvenliği politikaları
Bilgi güvenliği organizasyonu
İnsan kaynakları güvenliği
Varlık yönetimi
Erişim kontrolleri
Şifreleme
Fiziksel ve çevresel güvenlik
Operasyon güvenliği
İletişim güvenliği
Sistem edinme, uygulama ve sistem bakımı
Tedarikçi ilişkileri
Bilgi güvenliği olay yönetimi
İş sürekliliği yönetimi
Uyum [11]
Verilen bu on dört madde bilgi güvenliğinin kontrol hedeflerinin ve rollerinin
belirlenmesindeki temel taşları ortaya koyar ve bilgi güvenliği yönetim sisteminin
uygulanabilirliğini artırmaktadır.
52. 4.5.2 İç Denetim
Bir kurumdaki bilgi güvenliği yönetim sisteminin (BGYS) etkin, güncel, izlenebilir ve
yeni gelişmelere açık bir yapıda olmasını sağlamak için önemli bir bileşendir, BGYS’nin
işletilmesinde iç denetim kritik bir rol oynamaktadır. ISO/IEC 27001 denetimi öncesinde
BGYS’nin tüm bileşenleri tasarlandıktan ve işletilmeye başlandıktan sonra 27001 konusunda
eğitimli ve deneyimli kaynaklarca denetime tabi tutulmalıdır.
İç denetim aşamaları aşağıdaki gibidir;
Denetim planlama
Denetim hazırlıkları
Uygulama (Denetim)
Denetim raporları ve denetim sonrası izlenebilirlik [11].
Şekil 4.7 İç Denetim Aşamaları
Kaynak: Bilgi Güvenliği Yönetim Sistemi Dokümanı, KPMG
Denetim Planlama:
Denetim hedefleri ve kriterleri belirlenir
Denetlenecek firmanın analizi yapılır
Denetimin kapsamı belirlenir
Denetim ekibi kurulur
Denetimin dönemi ve yeri belirlenir
Denetim Hazırlıkları;
Denetim politikası
Denetlenecek birimlerin envanteri
Politikalar ve prosedürler listesi
SOA
Güvenlik organizasyon şeması
53. Uygulama (Denetim);
Süreç sahipleriyle görüşerek kontrol hedeflerinin test edilmesi
Test kanıtlarının toplanması
Denetim sonuçlarının değerlendirilmesi
Raporlama ve İzleme;
Belirlenen denetim kapsamının uygunluk durumuna bakılması
Uyumsuzluklar eksikliklerin raporlanması
4.5.3 Dış Denetim
Bağımsız bir denetçi tarafından bir kurumdaki bilgi güvenliği yönetim sisteminin etkin,
güncel, izlenebilir ve yeni gelişmelere açık bir yapıda olup olmadığını, uygun bağımsız denetim
kanıtlarının elde edilmesi amacıyla, kurumdaki bilgi güvenliği yönetim sisteminin genel kabul
görmüş bağımsız denetim standartlarında öngörülen gerekli tüm bağımsız denetim tekniklerinin
uygulanarak denetlenmesi ve değerlendirilerek rapora bağlanmasını ifade eder.
Dış denetim aşamaları aşağıdaki gibidir;
Denetim planlama,
Denetim hazırlıkları,
Uygulama (Denetim),
Denetim raporları ve denetim sonrası izlenebilirlik [11].
54. Şekil 4.8 ISO 27001 Süreç Akışı
Kaynak: Bilgi Güvenliği Yönetim Sistemi Dokümanı, KPMG
4.6 Temel BT Ortamı ve BT Bileşenleri
Bilgi sistemleri kaynaklarını kontrol eden ve uygulama programlarının çalıştırılmasını
sağlayan sistem yazılımlarıdır. İşletim sistemlerinin başlıca fonksiyonları:
Dosya yönetimi
Uygulama yönetimi
Diğer sistem yazılımlarının desteklenmesi
Donanımların kontrol edilmesi
İşletim sistemi tüm BT bileşenleri ile direk ilişkide olması sebebiyle erişim ve konfigürasyon
değişiklikleri temelinde uygun kontrollerin uygulanması gerekmektedir [11].
Veritabanı:
Bilgi sistemleri bileşenleri arasında erişim imkanı ve ihtiyacı olan, yönetilebilir,
güncellenebilir, taşınabilir, birbirleri arasında tanımlı ilişkiler bulunabilen verilerin tutulduğu
ortamdır.
Veritabanı üzerinde veriler bir sistem ve mantık dahilinde tek bir depolama alanı
üzerinde tutulur. Uygulamalar aracılığı ile işlenebilecek ve iş süreçlerine ait verilerin yanı sıra
sistemsel verilerde veritabanları üzerinde saklanmaktadır.
55. Veritabanı Yönetim Sistemi:
Veritabanlarının ortak veri depolama mantığı tablolar ve bu tablolar arasındaki ilişkilere
dayanmaktadır. Veritabanı yönetim sistemi uygulamasının başlıca;
Oluştur, güncelle ve seç
Organize et
Maintain
Query
Index
Veri hesaplamaları işlemlerini gerçekleştirir.
Uygulama Yazılımları:
Kullanıcıların iş süreçleri kapsamında ve kendilerine atanan yetki sınırları dahilinde
gerekli işlemleri yapmalarına ortam sağlayan yazılımlardır. Uygulama yazılımları belirli bir
işletim sistemi altına çalıştırılmak üzere hazırlanabildiği gibi kurumsal uygulamalar genellikle
işletim sistemi bağımsız hazırlanmaktadır.
Uygulamalara ait erişim hakları ve yetkiler gerçekleştirilen işlemlerin doğruluğu ile
doğrudan ilgili olmaktadır.
Sunucu:
Bir ağ(network) üzerinde bir programı veya bir bilgiyi farklı kullanıcılara/sistemlere
paylaştıran/dağıtan donanım(fiziksel sunucu) veya yazılım(sanal sunucu) formunda çalışan
ortamlardır.
Donanımsal olarak sunucuların, sorunsuz çalışmak üzere inşa edilmiş, güvenilir, çoklu
kullanıcıya hizmet eden bilgisayar sistemleridir. Sunucuların bulunduğu ortamın fiziksel
güvenliği, erişim kısıtlandırılması ve yedekli yapıda sunucu sistemleri bulundurulması öne
çıkan kontrol türleri arasında yer almaktadır [11].
Network:
Bilgisayar ağlarının amacı sistem kaynaklarının paylaşımını sağlamak ve kanalize
iletişim yoluyla verimliliği artırmaktır. Yaygın bilgisayar ağ hizmetleri;
56. Dosya ve yazıcı paylaşımı,
E-posta hizmetleri,
Internet erişimi,
Uzaktan erişim,
Satış sistemlerinin noktası,
İstemci/Sunucu bağlantısı,
Dizin hizmetleri.
Network-Altyapı Bileşenleri:
Bridges; İki bilgisayar ağını birine bağlayan ağ öğeleridir.
Hubs; Tek bir network segmenti üzerinde birden fazla cihazın bağlanmasını sağlayan
öğelerdir. Pasif veya aktif özellikte olabilir.
Switches; Farklı ağ segmentlerinin oluşturulmasını sağlayan öğelerdir.
Router; Ayrı networkler arasında çevrim ve mesaj rotalarını ulaşması gereken adrese
yönelendirmek için kullanılan yazılımı barındıran öğelerdir.
Firewall; Güvenlik amaçlı özel trafik yönlendirme ilkelerinin uygulanabildiği ‘akıllı
router’lardır [11].
57. 5. BİLGİ GÜVENLİĞİNİN BİR LOJİSTİK FİRMASINA UYGULANMASI
Bu bölümde, bir lojistik firmasının bilişim sistemlerine bilgi güvenliğinin uyguladığı
dokümanlar, bilgi güvenliğinin uygulanması için hangi dokümantasyonların gerektiği
belgeleridir. Bir lojistik firmasında kullanılan bilişim sistemlerinde bilgi güvenliğinin ilk
uygulaması; “Bilgi teknolojileri anketi” ve “İncelenecek ve İstenecek belgelerdir”.
5.1 “Bilgi Teknolojileri Anketi” ve “İncelenecek ve İstenecek Belgeler”
ISO 27001 ve COBIT bazında müşterilerden talep edilen dosyalardır. Buradaki kontrol
noktalarına göre istenilen bilgileri temin edip yeterli uyumlulukta olup olmadığına dair bir
güvenilir bir rapor oluşturup yorumlar ve öneriler halinde cevaplar verilir.
5.2 “İş Süreçleri Kontrol Listesi”
Denetim sürecinde kullanılması gereken üçüncü dosya da “iş süreçleri kontrol listesi”
dir. Bu dosyada ise müşterilere sistemle alakalı sorulan sorular bulunmaktadır. Bu sorularla
sistemin nasıl korunduğu, nasıl ilerlediği vs. gibi konulara cevap aranmaktadır.
“İncelenecek ve istenecek belgeler”, “bilgi teknolojileri anketi” ve “iş süreçleri kontrol
listesi” belgeleri Ek-1 de verilmiştir.
Bir lojistik firmasında uygulanan bilgi güvenliği kapsamında kullanılan dokümanlar ise
Ek-2. Bilgi Güvenliği Açısından Yetki Sınırlandırmaları, Ek-3. Gönderici Bilgileri Detay
İzleme, Ek-4. Alıcı Bilgileri Detay İzleme, Ek-5. Gelen Kargo Arama Alıcı Detay Görme,
Ek-6. Gelen Kargo Arama Gönderici Detay Görme kısımlarında yer verilmiştir.
58. SONUÇ VE ÖNERİLER
Lojistik Bilişim Sistemlerinde, lojistik operasyon süreçlerinin tümünde firmaların iç
veya dış diğer sistemleri ile bütünleşik çalışabilen, yani bilgi akışının sağlandığı ve bu bilgi
akışının sağlıklı yürütülebilmesi için ve lojistik firmaları müşterilerinin gün geçtikçe artan
isteklerini karşılamak ve gerçek zamanlı tedarik zincir yönetimini yönetebilmek için ciddi
bilişim yatırımları yapmak zorundadırlar. Gün geçtikçe, lojistik firmalarının müşterileri ile
uzun soluklu işbirlikleri arttıkça Türkiye’deki lojistik sektörünün bilişim altyapısı
güçlenmektedir. Bilişim sistemlerindeki gelişim, diğer birçok sektöre göre
değerlendirildiğinde, lojistik sektöründe çok daha yoğun olduğu görülmektedir. Malların
hareketinin planlamasında, evrakların hazırlanmasında, sevkiyat, teslimat, mal bedellerin
tahsili, iade mallar gibi lojistikle ilgili bütün lojistik süreçlerde bilişim sistemlerinin
kullanımının yaygınlaştığı görülmektedir. Bu nedenle, bilişim sistemlerinin lojistik stratejik
planlama olarak kullanımı hayati rol oynamakla birlikte ürünlerin, doğru zamanda, doğru yerde,
doğru bilgi ile sunulmasına imkan verecek olan, anında nitelikli bilgi transferi sağlayan bilgi
teknolojileri sayesinde gerçekleştirilmektedir. Lojistik süreçlerde taşıma operasyonlarından,
siparişin alınmasına, sevkiyat bilgilerine, teslimat yerleri, dönüş yükü gibi filo yönetiminin
temelini oluşturan bilişim sistemlerine dayalı alt yapısına kadar tüm süreçler, bilişim sistemleri
ile yönetilebilmektedir.
Teknolojinin baş döndürücü bir hızla değiştiği ve geliştiği günümüzde Lojistik Bilişim
Sistemleri’nin etkin kullanımı, firmalar pazarda rekabetçi avantaj sağladığı gibi, firmanın kendi
içinde de çalışanların işlerini daha kolay yürütmelerine ve yönetmelerine katkıda
bulunmaktadır. Lojistik bilişim sistemlerinde kullanılacak ve uygulanacak bilgi güvenliği
yönetimiyle bilişim konularında ve sistemlerinde bir güven ortamı sağlamak ve sistemlere
erişimlerin yetkilere göre ayrılması, yetkisiz erişimlerin olmaması akabinde bilişim
sistemlerinin lojistik firmalarında kullanılan birçok işleyişin temelini oluşturması bilgi
güvenliğinin son derece önem kazanmasına neden olmuştur.
Bu proje çalışması aynı zamanda sonuç olarak bir lojistik firmasındaki bilişim
sistemlerini temel alarak ve bilgi güvenliği yönetim sistemini uygulayarak birçok firmaya bilgi
güvenliğinin uygulanmasına temel teşkil etmektedir.
59. KAYNAKLAR
[1] A taxonomy of supply chain innovations, African Journal of Business Management.
Başar, A., Özşamlı, N., Akçay, A.E., Kahvecioğlu, Ertek, G.,Sabanci University.
http://research.sabanciuniv.edu/18114/3/basar_revised_FINAL.pdf
Erişim Tarihi: 28.08.2015
[2] A taxonomy for supply chain management Literature.
Çapar I, Ülengin F., ve Reisman A. (2004).,Social Science Research Network
http://ssrn.com/abstract=531902,Erişim Tarihi: 30.08.2015
[3] Supply chain systems taxonomy: A Framework and Methodology.
Chandra, C., ve Tumanyan.,Chandra, C., ve Tumanyan, A. (2005)
http://www.experts.umich.edu/pubDetail.asp?t=&id=28844438048&
Erişim Tarihi: 01.09.2015
[4] A taxonomy of channel structures, determinants of outcome, and determinants of strategy.
Clemons, E.K., ve Aron, R.
Clemons, E.K., ve Aron, R. (2002) Online Distribution:. Proc. of the 35th Hawaii Int.
Conf. on Sys. Sci.
http://ieeexplore.ieee.org/xpl/login.jsp?tp=&arnumber=994169&url=http%3A%2F%2Fieeexp
lore.ieee.org%2Fiel5%2F7798%2F21442%2F00994169.pdf%3Farnumber%3D994169
Erişim Tarihi: 01.09.2015
[5] Towards a standard taxonomy of tactical distribution techniques.
Hamber, B.,Spring 2000 Simul. Interoperability Workshop Papers.
http://www.academia.edu/2468825/Towards_a_Standard_Taxonomy_of_Tactical_Distributio
n_Techniques,Erişim Tarihi: 01.09.2015
[6] Lojistik Bilişim Sistemleri.
Dr. Gürdal ERTEK
Uluslararası Lojistik, Anadolu Üniversitesi Yayınları,Fakültesi Yayını No: 1593. Eds. Bülent
Çatay and Gürkan Öztürk
http://research.sabanciuniv.edu/20428/2/ertek_Uluslararasi_Lojistik_Unite6.pdf
Erişim Tarihi: 05.09.2015
[7] a taxonomy for manufacturing organizations, Integr. Manuf. Sys
Dr.Gürdal ERTEK,Sabanci University
http://research.sabanciuniv.edu/18114/3/basar_revised_FINAL.pdf
Erişim Tarihi:06.09.2015
[8] A taxonomy of information technology Services
Stern, A., ve Davis, J. (2003).,web services as IT services. 1st Int. Conf. on Serv. Oriented
Comput.
http://icsoc2003.servtech.info/convegni/download/icsoc03/forum/FORUM_238.pdf
Erişim Tarihi:10.09.2015
60. [9] Lojistik bilgi sistemleri
http://lojistikmakaleleri.blogspot.com.tr/2014/05/lojistik-bilgi-sistemleri-nelerdir.html
Erişim Tarihi:10.09.2015
[10] Lojistik Bilişim Sistemleri için bir sınıflandırma
Dr.Gürdal ERTEK,Sabancı Üniversitesi
http://www.academia.edu/2201135/Lojistik_Bili%C5%9Fim_Sistemleri_%C4%B0%C3%A7i
n_Bir_S%C4%B1n%C4%B1fland%C4%B1rma_Taksonomi_
Erişim Tarihi:12.09.2015
[11] ISO27001 Bilgi Güvenliği Yönetim Sistemi Dokümanı
Sezgin TOPÇU.,KPMG.
http://www.kpmg.com/tr/tr/sayfalar/default.aspx
[12] Management Information Systems
Kenneth C. Laudon, Jane P. Laudon,Newyork University
http://www.pearsonmiddleeastawe.com/pdfs/SAMPLE-MIS.pdf
Erişim Tarihi:14.09.2015
[13] Management Information Systems
Ahmed ELRAGAL,GERMAN University
http://www.pearsonmiddleeastawe.com/pdfs/SAMPLE-MIS.pdf
Erişim Tarihi:14.09.2015
[14] Lojistik Bilişim Sistemleri
http://www.lojistikci.com/?page_id=61
Erişim Tarihi:14.09.2015
[15] Bilgi Güvenliği Yönetim Sistemi Nedir?
Gelişim Yönetim Sistemleri A.Ş.,http://www.gelisim.org/index.php?bolum=iso27001
Erişim Tarihi:26.09.2015
61. EKLER
Ek 1: İncelenecek ve İstenecek Belgeler, Bilgi Teknolojileri Anketi ve İş Süreçleri Kontrol
Listesi
Ek 2: Gönderici Bilgileri Detay İzleme
Ek 3: Alıcı Bilgileri Detay İzleme
Ek 4: Gelen Kargo Arama Alıcı Detay Görme
Ek 5: Gelen Kargo Arama Gönderici Detay Görme
62. Ek-1: “İncelenecek ve İstenecek Belgeler”,“Bilgi Teknolojileri Anketi” ve “İş Süreçleri
Kontrol Listesi”
“İncelenecek ve İstenecek Belgeler”, “Bilgi Teknolojileri Anketi” ve “İş Süreçleri
Kontrol Listesi dosyaları”; ISO 27001 ve COBIT bazında müşterilerden talep edilen
dosyalardır. Buradaki kontrol noktalarına göre istenilen bilgileri temin edip yeterli uyumlulukta
olup olmadığına dair bir güvenilir rapor oluşturup yorumlar ve öneriler halinde cevaplar verilir.
Tablo Ek 1.1 İncelenecek ve İstenecek Belgeler
63. Tablo Ek 1.1 İncelenecek ve İstenecek Belgeler(Devamı)
64. Tablo Ek 1.1 İncelenecek ve İstenecek Belgeler(Devamı)
65. Tablo Ek 1.2 Bilgi Teknolojileri Anketi
IT Security Policy – IT güvenlik politikası
IT Security Plan, Strategic Plan – IT güvenlik ve stratejik planı
Transaction procedures – işlem prosedürleri (iş süreçleri)
Authentication mechanism procedures – doğrulama mekanizması prosedürleri (onaylı yazılı
belgeler)
Periodically Access right controls – periyodik giriş (login) kontrolleri
Firewall, intrusion, detection, configurations – güvenlik duvarı ihlal denetleme ayarlama
Security logs security reports – güvenlik girişleri ve raporları
Role based system Access documents – sisteme giriş belgeleri
Authorized personel list of each facilities – her bölümün yetkili kişileri
All system user list – tüm sistemdeki kullanıcı listesi
User group list – kullanıcı grupları
Password standart documents – şifre standartları
SDLC policies and procedures – yazılım geliştirme süreçleri ve prosedürleri
Software change management procedures – yönetim açısından yazılım değişikliği
prosedürleri
Change control documents – sistem değişikliği doküman
Sample test documents – test dokümanları
Training policies and procedures for data preperation and input – veri hazırlanması ve
girişlerindeki politika ve prosedürler
Error handling procedures – hata işleme prosedürleri
HR employee list – insan kaynakları listesi
Job Schedule list – iş planlama listesi
İnterface list – arayüz listesi
Prior internal audit report – önceki iç denetim raporları
Prior external audit report – önceki denetim raporları
Computer platforms – bilgisayar düzeni
Software applications – yazılım uygulamaları
Company HR organization schema – firmanın organizasyon şeması
IT HR organization schema – IT organizasyon şeması
IS/IT maintenance contracts – IS/IT bakım kontratları
IT annuel plan – IT yıllık planı
IT budget – IT bütçesi
Project priorization process – proje önceliklendirme süreçleri
Operations manuel – operasyon el kitabı (kullanma kılavuzu)
Network topology schema – network çalışma şeması
Help desk reports – danışma (yardım) raporları
SLA documents – hizmet servisleri doküman
IT employees training strategy – IT çalışanları eğitim stratejisi
Scheduled job list – programlanmış çalışma listesi
SLA performance indicator reports – hizmet servisleri performans belirleme raporları
SLA monitoring reports – hizmet servisleme gözlemleme raporları
Vendor management policy – tedarikçi firma anlaşması
Third parties vendor selection criterias – tedarikçi(outsource) firma seçme ölçütleri
Contract with vendors – tedarikçi firmalarla kontratlar
SLA and contract review documents – hizmet servisleri kontrat dokümanları
Performance and capacity monitoring processes – performans ve kapasite izleme süreçleri
Performance and capacity planning processes – performans ve kapasite planlama süreçleri
66. Bilgi Teknolojileri Anketi; ISO 27001 ve COBIT bazında müşterilerden talep edilen
dosyadır. Buradaki kontrol noktalarına göre istenilen bilgileri temin edip yeterli uyumlulukta
olup olmadığına dair bir güvenilir rapor oluşturup yorumlar ve öneriler halinde cevaplar verilir
(Tablo Ek 1.2).
User training programs and documents – kullanıcı eğitimi ve programlama
dokümantasyonu
Employees used software list – çalışanların kullandığı yazılımlar listesi
System infrastructure configuration parameters documents – system kırılganlığı denetleme
dokümanları
Application software and data storage systems configuration documents – yazılım ve
depolama birimi düzenleme dokümanları
Antivirus protection procedures – antivirus koruması prosedürleri
Periodic testing and assesment of the software and network infrastructure configuration
documents – sistem yazılımı ve ağ sisteminin periyodik test ve değerlendirme dokümanları
Problem management procedures and records for IT operational systems – IT sistemleri
için problem çözme yöntemleri, prosedürleri ve kayıtları
Problem management systems tracing documents – sistem izlemede problem çözme
dokümanları
İncident management procedures – kaza yönetim prosedürleri
IT security policy – IT güvenlik politikası
IT operation procedures – IT operasyonları prosedürleri
System logs – sistem girişleri
BCDR Plan – afet önleme planlama
Back-up procedures – yedekleme prosedürleri
Policies and procedures relating to information architecture – ağ mimarisi politikası ve
prosedürleri
İnformation architecture model – ağ mimari modeli
Documents supporting the information architecture model, including the data corporate
model – kurumsal verilerle birlikte ağ mimari modelleri
Corporate data dictionary – kurumsal veri sözlüğü
Data ownership policy – veri sahipliği politikası
Senior management steering roles and responsabilities – kıdemli yönetim yükümlülükleri
ve idaredeki rolleri
IT objectives and long-and-short range plans – IT konularında kısa ve uzun dönemli planlar
Status reports and minutes of planning/steering committee meetings – durum raporları ve
idari yönetim toplantıları
IT data center operating policies and procedures – IT veri merkezi çalışma politikası ve
prosedürleri
Fire instructions – yangın hakkında bilgilendirme
Contingency plans – beklenmedik durum planları
IT organization and responsabilities – IT yapılanması ve sorumlulukları
Emergency incident response plan/procedure – ilk yardım olaylarına müdahale plan ve
prosedürleri
Past audit comments – geçmiş denetimçi yorumları
67. İş süreçleri kontrol listesi dosyasında ise müşterilere sistemle alakalı sorulan sorular bulunmaktadır. Bu sorularla sistemin nasıl korunduğu,
nasıl ilerlediği vs gibi konulara cevap aranmaktadır (Tablo Ek 1.3).
Tablo Ek 1.3 İş Süreçleri Kontrol Listesi
68. Ek-2: Bilgi Güvenliği Açısından Yetki Sınırlandırmaları
Lojistik firmasında kullanılmak üzere taşıma irsaliyelerindeki gönderici bilgileri detay
izleme, alıcı bilgileri detay izleme, gelen kargo arama alıcı detay görme, gelen kargo gönderici
bilgileri detay görme ekranlarındaki yetki tanımlamalarının bilgi güvenliği yönetimine uygun
olarak sınırlandırılması kapsamında bir çalışmaya ihtiyaç duyulmuştur. Bu kapsamdaki
çalışma, lojistik firmasının genel bilgi güvenliği yönetiminin uygulanmasındaki dokümanlar
dışında kullandığı form ise Tablo Ek 2.1 de gösterilmiştir.
Tablo Ek 2.1 Bilgi Güvenliği Açısından Yetki Sınırlandırmaları
69. Ek-3: Gönderici Bilgileri Detay İzleme
Gönderici bilgiler detay izleme formunda, taşıma irsaliyelerinde bulunan gönderici
müşterilerin iletişim bilgilerini görüntüleme yetkilerinin genel müdürlük, bölge müdürlük
operasyon ve şube yetkilisine verilmesi ile ilgili olarak lojistik firmasının bilgi güvenliği
yönetimi kapsamında hazırlamış olduğu form Tablo Ek 3.1 de gösterilmektedir.
Tablo Ek 3.1 Gönderici Bilgileri Detay İzleme
70. Ek-4: Alıcı Bilgileri Detay İzleme
Alıcı bilgiler detay izleme formunda, taşıma irsaliyelerinde bulunan alıcı müşterilerin
iletişim bilgilerini görüntüleme yetkilerinin genel müdürlük, bölge müdürlük operasyon ve şube
yetkilisine verilmesi ile ilgili olarak lojistik firmasının bilgi güvenliği yönetimi kapsamında
hazırlamış olduğu form Tablo 4.1 de gösterilmektedir.
Tablo 4.1 Alıcı Bilgileri Detay İzleme
71. Ek-5: Gelen Kargo Arama Alıcı Detay Görme
Gelen kargo arama alıcı detay görme formunda, taşıma irsaliyelerinde bulunan alıcı
müşterilerin iletişim bilgilerini görüntüleme yetkilerinin genel müdürlük, bölge müdürlük
operasyon ve şube yetkilisine verilmesi ile ilgili olarak lojistik firmasının bilgi güvenliği
yönetimi kapsamında hazırlamış olduğu form Tablo Ek 5 .1 de gösterilmektedir.
Tablo Ek 5.1 Gelen Kargo Arama Alıcı Detay Görme
72. Ek-6: Gelen Kargo Arama Gönderici Detay Görme
Gelen kargo arama gönderici detay görme formunda, taşıma irsaliyelerinde bulunan
gönderici müşterilerin iletişim bilgilerini görüntüleme yetkilerinin genel müdürlük, bölge
müdürlük operasyon ve şube yetkilisine verilmesi ile ilgili olarak lojistik firmasının bilgi
güvenliği yönetimi kapsamında hazırlamış olduğu form Tablo 6.1 de gösterilmektedir.
73. Tablo Ek 6.1 Gelen Kargo Arama Gönderici Detay Görme