Bilgi teknolojilerine yönelik hazırlanmış onlarca ana ve bunlara bağlı yüzlerce kılavuz mevcuttur. Ancak bu standarlar iki kategoride değerlendirilebilirler:
a. Bağımsız belgelendirme kuruluşları ile belgelendirilenler
b. Referans olarak kullanılanlar.
Ayrıca bir framework olarak çalışan ancak belgelendirme süreçleri olmayan yapılaşmalar da mevcuttur. Örneğin ITIL, GRC bu tür frameworklere örnek gösterilebilirler.
Ülkemizde genel olarak belgelendirme amaçlı kullanılan belli başlı BT standartları
ISO 27000 Bilgi Güvenliği Yönetim Sistemi.
ISO 27001 belgelendirme için gerekli şartları içermektedir. Türkiye’de genel olarak ISO 27001, ISO 27002 temel alınan standartlardır. Alt standartları ise;
* ISO/IEC 27000 — Information security management systems — Overview and vocabulary
* ISO/IEC 27001 — Information security management systems — Requirements
* ISO/IEC 27002 — Code of practice for information security management
* ISO/IEC 27003 — Information security management system implementation guidance
* ISO/IEC 27004 — Information security management — Measurement
* ISO/IEC 27005 — Information security risk management
* ISO/IEC 27006 — Requirements for bodies providing audit and certification of information security management systems
* ISO/IEC 27011 — Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
* ISO/IEC 27033-1 - Network security overview and concepts
* ISO 27799 - Information security management in health using ISO/IEC 27002 [standard produced by the Health Infomatics group within ISO, independently of ISO/IEC JTC1/SC27]
Hazırlığı yapılan standartlar da;
ISO/IEC 27007 - Guidelines for information security management systems auditing (focused on the management system)
ISO/IEC 27008 - Guidance for auditors on ISMS controls (focused on the information security controls)
ISO/IEC 27013 - Guideline on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001
ISO/IEC 27014 - Information security governance framework
ISO/IEC 27015 - Information security management guidelines for the finance and insurance sectors
ISO/IEC 27031 - Guideline for ICT readiness for business continuity (essentially the ICT continuity component within business continuity management)
ISO/IEC 27032 - Guideline for cybersecurity (essentially, 'being a good neighbor' on the Internet)
ISO/IEC 27033 - IT network security, a multi-part standard based on ISO/IEC 18028:2006 (part 1 is published already)
ISO/IEC 27034 - Guideline for application security
ISO/IEC 27035 - Security incident management
ISO/IEC 27036 - Guidelines for security of outsourcing
ISO/IEC 27037 - Guidelines for identification, collection and/or acquisition and preservation of digital evidence
ISO 20000
ISO 20000 BT Servis Yönetim Sistemi ITIL’ın v2, BS 15000’den esinlenilmiş bir standart olup Belgelendirme şartlarını 20000-1 verir. Sistem kurulumunda kılavuz doküman olarak 20000-2 kullanılmaktadır.
BS 25999 ise İş sürekliliği Yönetim sistemi olarak kullanılabilecek bir standarttır. Ancak BS 25999 denetimleri BS denetçileri tarafından yapılmaktadır.
Türkiye’deki bankalar özellikle BDDK’nın istediği COBIT kriterlerine göre bağımsız kuruluşlarca denetlenmektedir. COBIT ISACA tarafından geliştirilmiş kriterler kümesidir. İçinde ISO 27001 Ek A da yer alan 133 kriterin çoğunluğunu barındırmaktadır. COBIT yüksek seviyede 34 süreçten ve 318 kontrol kriterinden oluşmaktadır. Türkiye’deki bankalar bu bağlamda ayrıca bir ISO 27001 belgesine ihtiyaç göstermemektedir.
ISO/IEC 15504 SPICE
ISO/IEC 15504 SPICE ise “Software Process Improvement and Capability Determination- Yazılım Süreçleri İyileştirme ve Yetenek Belirleme” anlamına gelen ISO standardıdır. Avrupa`da çok yaygın olan bu standarttan belgelendirmeyi Türkiye adına TSE üstlenmiştir.
Yazılım ürünleri proseslerinin iyileştirilmesi ve yazılımda kalitenin amaçlandığı SPICE Belgelendirmesi ile daha iyi prosesler ile daha iyi ürün kalitesi, daha kesin planlar, daha önce dağıtımlar, daha ucuz maliyet sağlanmaktadır. Kısacası ürün maliyeti düşerken, kalite yükselir, problemler çözülür.
ISO 15504 (SPICE), yazılım süreçlerinin değerlendirilmesi için bir altyapı standartıdır. Bu standart, kurumların sahip oldukları ve şu an itibariyle uyguladıkları yöntemleri iyileştirmek, belirli ihtiyaçlar doğrultusunda kurumun değerlendirilmesini sağlamak ve belirli bir sözleşme doğrultusunda tedarikçi firmanın gereksinimlere uygunluğunu değerlendirmek için kullanılmaktadır. SPICE, gerçekleştirilen değerlendirmelerin tekrarlanabilir, kendi içerisinde tutarlı ve yeterli olduğunu garanti altına almak için değerlendirme modeli, yöntemi ve değerlendiricilerin uyması gereken kriterleri tanımlar, böylece ayrı bir denetim organizasyonu tarafından denetlenme gerekliliği kalmamıştır.
ISO/IEC 12207
ISO/IEC 12207 standardı, “Standard for Information Technology - Software Life Cycle Processes” olarak adlandırılan, sistem ve yazılım mühendisliği konusunda, yazılım yaşam döngüsü süreçleri olarak bilinen ve buna yönelik çerçeve çizen bir standarttır. 1995’den bu yana sektörde yaygın olarak kullanılmaktadır. 2008 revizyonu, 1995 tarihli standart ile standardın 2002 ve 2004 yıllarında yayınlanan iki ekininin birleşimi ile oluşmuştur. Kurumun veya projenin ihtiyaçlarına göre uyarlanabilir. Standartta tanımlanan kuralları ve önerileri dikkate alınarak uygulanan bir standarttır. ISO/IEC 15288 standardı ile yapı, terimler ilişkili süreçler açılarından tam olarak uyumludur. ISO/IEC 12207:1995/Amd 1:2002: standarda ek olarak çıkmıştır. Bu ek ile ISO 12207, ISO 15504’ün yayımlanacak olan versiyonu (ISO 15504:2003) ile değerlendirilebilecek bir süreç referans modeli haline getirilmiştir. Genel olarak ISO 12207 proje fikri; ortaya atılışından, yani başlangıcından, projenin işletimden kaldırılışına kadar, yani bitimine kadar geçerli olacak yazılım yaşam döngüleri için bir süreç önerir. Alım ve sağlayıcı rollerini dikkate aldığından özellikle alımlar için uygun bir yapıdadır. Aslında, bu standart bir anlaşma ya da sözleşmenin geliştirme, bakım veya bir yazılım sisteminin işletilişini tanımladığı durumda her iki tarafın kullanımı için tasarlanmıştır.
ITIL
Bilindiği gibi, kurumsal Bilgi İşlem süreçlerinin yönetimi açısından önem taşıyan 4 önemli yönetim metodolojisi bulunmaktadır.
COBIT (Control Objectives for Information and Related Technology): Bilgi teknolojileri kontrol ve ölçümleme metodolojisi.
CMM (Capability Maturity Model for Software): Yazılım ve sistem geliştirme için kontrol ve yapılandırma metodolojisi.
ITIL (Information Tehnologies Infrastructure Library): Operasyonel bilgi işlem hizmetlerinin verimli ve etkin bir şekilde yürütülmesi için geliştirilmiş kalite yönetim metodolojisi. ITIL operasyonel hizmetlerin, uçtan uca bütünleşik süreçler olarak yürtülmesinde esas alınacak ilkelere açıklık kazandırır.
IT Governance: Kurumsal Bilgi Teknolojileri’nin stratejik ve teknik açılardan yönlendirilmesi.
ITIL; 1980’li yılların sonlarında, İngiltere Ticaret Bakanlığı tarafından başlatılan, Bilgi Teknolojileri altyapı ve hizmet süreçlerinin standartlaştırılması çalışmaları ile ortaya çıkan bir kütüphanedir. Standartların belirlenmesi aşamasında oluşturulan yordamlar zamanla bir kütüphaneye dönüşmüştür. 1990’lı yılların başlarında, özellikle Avrupa ülkelerinde, pek çok büyük şirketin ve kamu kuruluşunun ITIL standartlarını benimsemesi ve kendi bünyelerinde uygulamaya başlaması ile ITIL, tüm dünyada kabul edilen bir endüstri standardı durumuna gelmiştir.
ITIL, IT altyapı ve hizmet süreçlerinin nasıl olması gerektiğinin anlatıldığı ve gerçekleştirilmiş en iyi örneklerden yola çıkılarak standartların tanımlandığı bir süreç ve yordam kütüphanesidir.
ITIL yordamlarında; IT hizmetlerinin, bir bütün olarak, maksimum kalitede, düzende, ve süreklilikte yürütülmesi, kurumların iş hedefleri ile maksimum seviyede uyumlu hale getirilmesi ve müşteri beklentilerinin en iyi biçimde karşılanması için hizmetlerin nasıl bir yapıda yürütülmesi gerektiği konularına yönelik süreçler ve yordamlar tanımlanmaktadır.
İşletme faaliyetlerinde her geçen gün bilgi işlem teknolojilerinden daha fazla yararlanılması bilgi işlem hizmet yönetiminin belli bir düzen ve disiplin altında yürütülmesi zorunluluğunu da beraberinde getiriyor. Yönetim kontrolünün kaybedildiği bilgisayar ağlarında performans ve son kullanıcı verimliliği düşmekte, süreklilik azalmakta, toplam sahip olma maliyetleri yükselmekte ve tüm bunlara bağlı olarak işletme verimliliği olumsuz yönde etkilenmektedir.
Bu bağlamda yapılan araştırmalara göre bilgi işlem yöneticilerinin günümüzde karşı karşıya oldukları yeni meseleler öncelik sıralarına göre aşağıdaki gibi sıralanmaktadır;
Bilgi işlem stratejilerini şirketin iş stratejileri ile örtüştürmek
İş gereksinimlerini ve son kullanıcı ihtiyaçlarını zamanında karşılamak
Değişen iş görme biçimlerine uyum sağlamak
Üst yönetimin beklentilerini karşılamak
Kaynakları, bütçeleri ve maliyetleri yönetmek
Güncel teknolojilerden yararlanmayı sağlamak
Bilgi işlem kadrosunu korumak
Zaman ve kaynak yönetimi yapmak
Bilgi işlem altyapılarını yönetmek
Teknik bilgi ve becerileri korumak
Son sıralarda yer almakla birlikte teknik bilginin ve teknolojinin hala listede olduğu görülmekte, ancak, bilgi işlem yapısının iş hedefleri doğrultusunda, verimli çalışmasına yönelik öncelikli operasyonlar listenin başını çekmektedir.
Doğru yönetildikleri zaman bilgi işlem hizmetlerinin işletme verimliliğine çok olumlu katkılarda bulunduğu bir gerçektir. Bilgi işlem hizmetlerini iyi yönetmek için ise teknik bilgi ve teknoloji tek başına yeterli olmamakta, sistematik bir şekilde uygulanacak yönetim süreçlerine ihtiyaç duyulmaktadır. Yukarıdaki listenin ilk beş sırasını işgal eden konularda hedeflere ancak iyi tasarlanmış bir hizmet yönetim yaklaşımı ile ulaşılabileceği görülmektedir.
ITIL (Information Technology Infrastructure Library), giderek büyüdüğü ve büyüdükçe karmaşıklaştığı için kontrolün kaybedilmesine çok müsait olan bilgi işlem hizmetlerinde sistematik yönetim süreçlerinin oluşturulmasına ilişkin temel standartların belirlenmesi amacı ile geliştirilmiş bir rehber yordamlar kütüphanesidir. Gerçekleştirilen en iyi süreç yönetim uygulamaları esas alınarak hazırlanan ITIL süreçleri; entegre ve süreç odaklı bir bilgi işlem hizmet organizasyonu kurmak için gerekli standartları tanımlamaktadır. Birbirleriyle etkileşimli çalışan ITIL süreçlerinde, bir süreçte tamamlanan bir aktivite başka bir süreçte aktivite başlangıcının tetiklenmesine neden olur.
ITIL süreçleri, işletmelerin bilgi işlem altyapı ve hizmetlerinden mümkün olan en verimli düzeyde yararlanmasını hedeflemektedir. Bilgi işlem hizmetlerini ITIL standartlarına dayalı olarak yürüten işletmeler, ölçülebilir performans kriterleri aracılığıyla, bilgi işlem kaynaklarını daha verimli kullanmaya, daha az hata üretmeye ve öğrenen bir organizasyon oluşturmaya başlarlar.
GRC
Kurumsal ilkelerin yönetişim, çevre, iş, sağlık, süreklilik ile ilişkili ve düzenleyici mevzuatın uygulanması sırasında karşılaşılan zorlukları asabileceğiniz ve riskleri tanımlayıp teknik ve yönetsel standartlara ve kurallara göre strateji tabanlı kontroller ile yönetebileceğiniz entegre bir yaklaşımdır.
GRC'yi oluşturan kavramlar birbiri ile etkileşim içindedir. Kurumsal Yönetimin bulunmaması halinde, Risk Yönetimi ve Uyumluluk bir anlam ifade etmez.
Kurumsal Yönetim, Risk Yönetimi ve Uyumluluk bir kuruluşun farklı bileşen takımlarının farklı sorunlarını çözen, birbiriyle son derece ilintili ancak birbirinden ayrı faaliyetleri birleştiren, tekrarları ortadan kaldıran bir çerçeve olarak algılanmalıdır.
Governance (Kurumsal Yönetim)
Kurumsal yönetim, bir kurumun yönetim kurulu, ortakları ve diğer menfaat sahipleri arasındaki ilişkiler bütünü olarak tanımlanabilir.
Tarafların kurum üzerindeki haklarının ve sorumluluklarının dağılımını belirler.
Kurumla ilgili konularda karar almanın kural ve prosedürlerini tanımlar.
*Kurum hedeflerinin, bu hedeflerin gerçekleştirilme yollarının ve performans gözetiminin oluşturulmasını disiplin, adillik, şeffaflık, bağımsızlık, hesap verebilirlik, sorumluluk, eşitlik, sosyal sorumluluk gibi iyi kurumsal yönetimin unsurlarını uygulayarak temin eder.
Risk Management (Risk Yönetimi)
Bir kuruluşun potansiyel riskleri tanımladığı ve iş hedefleri temelinde riskli konuları önem sırasına koyduğu süreci anlatır.
Risk Yönetimi sürecinde, kuruluş çapında riski yönetmek ve etkilerini azaltmak üzere kurum risk unsurları ölçülür, raporlanır ve karar mekanizmalarında kullanılır ve kurum yapısına entegre edilir.
Compliance (Uyumluluk)
Çalışma alanların gereklerinin yanı sıra, mevzuat, yasa ve yönetmeliklere uyumluluğu sağlamak üzere gereksinim duyulan politika, yöntem ve kontrollerin kaydedilip takip edildiği süreci tanımlar.
Yukarıdaki bilgiler incelendiği taktirde öncelik sırasını aşağıdaki gibi verebiliriz:
1. GRC - Personel belgelendirmesi var. Kurumsal belgelendirme yok.(**)
2. ITIL - Personel belgelendirmesi var.Kurumsal belgelendirme yok.(**)
3. CMMI - Uluslarası belgelendirme (*)
4. ISO 15504 - TSE tarafından belgelendirilebiliyor.(*)
5. ISO 12207 - Belgelendirme yok.
6. ISO 20000 - ITSMF, ??? tarafından belgelendirme yapılıyor.(*)
7. ISO 27001 - IAF tarafından belgelendirme var.(*)
8. BS 25999 - British Standarts belgelendiriyor.(*)
9. Diğer referans standartlar
1. ISO 31000 - Risk Management
2. ISO 13335 - Risk Management
3. etc.
(*) olan standartların belgelendirilmeleri kendi özelliklerine göre farklılık gösterse de öncelikle sistemlerin kurulması, işletilmesi ve belirli bir olgun seviyesine gelince bağımsız denetimden geçirilmesi esasına dayanır.
(**) İlgili kurumlar tarafından personel belgelendirmesi var. Kurumlar belgelendirilmiyor.
http://www.grcg.com/storage/brochures/Gov-Risk-Compl-Certification-Training.swh.pdf
http://www.exin.org/
a. Bağımsız belgelendirme kuruluşları ile belgelendirilenler
b. Referans olarak kullanılanlar.
Ayrıca bir framework olarak çalışan ancak belgelendirme süreçleri olmayan yapılaşmalar da mevcuttur. Örneğin ITIL, GRC bu tür frameworklere örnek gösterilebilirler.
Ülkemizde genel olarak belgelendirme amaçlı kullanılan belli başlı BT standartları
ISO 27000 Bilgi Güvenliği Yönetim Sistemi.
ISO 27001 belgelendirme için gerekli şartları içermektedir. Türkiye’de genel olarak ISO 27001, ISO 27002 temel alınan standartlardır. Alt standartları ise;
* ISO/IEC 27000 — Information security management systems — Overview and vocabulary
* ISO/IEC 27001 — Information security management systems — Requirements
* ISO/IEC 27002 — Code of practice for information security management
* ISO/IEC 27003 — Information security management system implementation guidance
* ISO/IEC 27004 — Information security management — Measurement
* ISO/IEC 27005 — Information security risk management
* ISO/IEC 27006 — Requirements for bodies providing audit and certification of information security management systems
* ISO/IEC 27011 — Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
* ISO/IEC 27033-1 - Network security overview and concepts
* ISO 27799 - Information security management in health using ISO/IEC 27002 [standard produced by the Health Infomatics group within ISO, independently of ISO/IEC JTC1/SC27]
Hazırlığı yapılan standartlar da;
ISO/IEC 27007 - Guidelines for information security management systems auditing (focused on the management system)
ISO/IEC 27008 - Guidance for auditors on ISMS controls (focused on the information security controls)
ISO/IEC 27013 - Guideline on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001
ISO/IEC 27014 - Information security governance framework
ISO/IEC 27015 - Information security management guidelines for the finance and insurance sectors
ISO/IEC 27031 - Guideline for ICT readiness for business continuity (essentially the ICT continuity component within business continuity management)
ISO/IEC 27032 - Guideline for cybersecurity (essentially, 'being a good neighbor' on the Internet)
ISO/IEC 27033 - IT network security, a multi-part standard based on ISO/IEC 18028:2006 (part 1 is published already)
ISO/IEC 27034 - Guideline for application security
ISO/IEC 27035 - Security incident management
ISO/IEC 27036 - Guidelines for security of outsourcing
ISO/IEC 27037 - Guidelines for identification, collection and/or acquisition and preservation of digital evidence
ISO 20000
ISO 20000 BT Servis Yönetim Sistemi ITIL’ın v2, BS 15000’den esinlenilmiş bir standart olup Belgelendirme şartlarını 20000-1 verir. Sistem kurulumunda kılavuz doküman olarak 20000-2 kullanılmaktadır.
BS 25999 ise İş sürekliliği Yönetim sistemi olarak kullanılabilecek bir standarttır. Ancak BS 25999 denetimleri BS denetçileri tarafından yapılmaktadır.
Türkiye’deki bankalar özellikle BDDK’nın istediği COBIT kriterlerine göre bağımsız kuruluşlarca denetlenmektedir. COBIT ISACA tarafından geliştirilmiş kriterler kümesidir. İçinde ISO 27001 Ek A da yer alan 133 kriterin çoğunluğunu barındırmaktadır. COBIT yüksek seviyede 34 süreçten ve 318 kontrol kriterinden oluşmaktadır. Türkiye’deki bankalar bu bağlamda ayrıca bir ISO 27001 belgesine ihtiyaç göstermemektedir.
ISO/IEC 15504 SPICE
ISO/IEC 15504 SPICE ise “Software Process Improvement and Capability Determination- Yazılım Süreçleri İyileştirme ve Yetenek Belirleme” anlamına gelen ISO standardıdır. Avrupa`da çok yaygın olan bu standarttan belgelendirmeyi Türkiye adına TSE üstlenmiştir.
Yazılım ürünleri proseslerinin iyileştirilmesi ve yazılımda kalitenin amaçlandığı SPICE Belgelendirmesi ile daha iyi prosesler ile daha iyi ürün kalitesi, daha kesin planlar, daha önce dağıtımlar, daha ucuz maliyet sağlanmaktadır. Kısacası ürün maliyeti düşerken, kalite yükselir, problemler çözülür.
ISO 15504 (SPICE), yazılım süreçlerinin değerlendirilmesi için bir altyapı standartıdır. Bu standart, kurumların sahip oldukları ve şu an itibariyle uyguladıkları yöntemleri iyileştirmek, belirli ihtiyaçlar doğrultusunda kurumun değerlendirilmesini sağlamak ve belirli bir sözleşme doğrultusunda tedarikçi firmanın gereksinimlere uygunluğunu değerlendirmek için kullanılmaktadır. SPICE, gerçekleştirilen değerlendirmelerin tekrarlanabilir, kendi içerisinde tutarlı ve yeterli olduğunu garanti altına almak için değerlendirme modeli, yöntemi ve değerlendiricilerin uyması gereken kriterleri tanımlar, böylece ayrı bir denetim organizasyonu tarafından denetlenme gerekliliği kalmamıştır.
ISO/IEC 12207
ISO/IEC 12207 standardı, “Standard for Information Technology - Software Life Cycle Processes” olarak adlandırılan, sistem ve yazılım mühendisliği konusunda, yazılım yaşam döngüsü süreçleri olarak bilinen ve buna yönelik çerçeve çizen bir standarttır. 1995’den bu yana sektörde yaygın olarak kullanılmaktadır. 2008 revizyonu, 1995 tarihli standart ile standardın 2002 ve 2004 yıllarında yayınlanan iki ekininin birleşimi ile oluşmuştur. Kurumun veya projenin ihtiyaçlarına göre uyarlanabilir. Standartta tanımlanan kuralları ve önerileri dikkate alınarak uygulanan bir standarttır. ISO/IEC 15288 standardı ile yapı, terimler ilişkili süreçler açılarından tam olarak uyumludur. ISO/IEC 12207:1995/Amd 1:2002: standarda ek olarak çıkmıştır. Bu ek ile ISO 12207, ISO 15504’ün yayımlanacak olan versiyonu (ISO 15504:2003) ile değerlendirilebilecek bir süreç referans modeli haline getirilmiştir. Genel olarak ISO 12207 proje fikri; ortaya atılışından, yani başlangıcından, projenin işletimden kaldırılışına kadar, yani bitimine kadar geçerli olacak yazılım yaşam döngüleri için bir süreç önerir. Alım ve sağlayıcı rollerini dikkate aldığından özellikle alımlar için uygun bir yapıdadır. Aslında, bu standart bir anlaşma ya da sözleşmenin geliştirme, bakım veya bir yazılım sisteminin işletilişini tanımladığı durumda her iki tarafın kullanımı için tasarlanmıştır.
ITIL
Bilindiği gibi, kurumsal Bilgi İşlem süreçlerinin yönetimi açısından önem taşıyan 4 önemli yönetim metodolojisi bulunmaktadır.
COBIT (Control Objectives for Information and Related Technology): Bilgi teknolojileri kontrol ve ölçümleme metodolojisi.
CMM (Capability Maturity Model for Software): Yazılım ve sistem geliştirme için kontrol ve yapılandırma metodolojisi.
ITIL (Information Tehnologies Infrastructure Library): Operasyonel bilgi işlem hizmetlerinin verimli ve etkin bir şekilde yürütülmesi için geliştirilmiş kalite yönetim metodolojisi. ITIL operasyonel hizmetlerin, uçtan uca bütünleşik süreçler olarak yürtülmesinde esas alınacak ilkelere açıklık kazandırır.
IT Governance: Kurumsal Bilgi Teknolojileri’nin stratejik ve teknik açılardan yönlendirilmesi.
ITIL; 1980’li yılların sonlarında, İngiltere Ticaret Bakanlığı tarafından başlatılan, Bilgi Teknolojileri altyapı ve hizmet süreçlerinin standartlaştırılması çalışmaları ile ortaya çıkan bir kütüphanedir. Standartların belirlenmesi aşamasında oluşturulan yordamlar zamanla bir kütüphaneye dönüşmüştür. 1990’lı yılların başlarında, özellikle Avrupa ülkelerinde, pek çok büyük şirketin ve kamu kuruluşunun ITIL standartlarını benimsemesi ve kendi bünyelerinde uygulamaya başlaması ile ITIL, tüm dünyada kabul edilen bir endüstri standardı durumuna gelmiştir.
ITIL, IT altyapı ve hizmet süreçlerinin nasıl olması gerektiğinin anlatıldığı ve gerçekleştirilmiş en iyi örneklerden yola çıkılarak standartların tanımlandığı bir süreç ve yordam kütüphanesidir.
ITIL yordamlarında; IT hizmetlerinin, bir bütün olarak, maksimum kalitede, düzende, ve süreklilikte yürütülmesi, kurumların iş hedefleri ile maksimum seviyede uyumlu hale getirilmesi ve müşteri beklentilerinin en iyi biçimde karşılanması için hizmetlerin nasıl bir yapıda yürütülmesi gerektiği konularına yönelik süreçler ve yordamlar tanımlanmaktadır.
İşletme faaliyetlerinde her geçen gün bilgi işlem teknolojilerinden daha fazla yararlanılması bilgi işlem hizmet yönetiminin belli bir düzen ve disiplin altında yürütülmesi zorunluluğunu da beraberinde getiriyor. Yönetim kontrolünün kaybedildiği bilgisayar ağlarında performans ve son kullanıcı verimliliği düşmekte, süreklilik azalmakta, toplam sahip olma maliyetleri yükselmekte ve tüm bunlara bağlı olarak işletme verimliliği olumsuz yönde etkilenmektedir.
Bu bağlamda yapılan araştırmalara göre bilgi işlem yöneticilerinin günümüzde karşı karşıya oldukları yeni meseleler öncelik sıralarına göre aşağıdaki gibi sıralanmaktadır;
Bilgi işlem stratejilerini şirketin iş stratejileri ile örtüştürmek
İş gereksinimlerini ve son kullanıcı ihtiyaçlarını zamanında karşılamak
Değişen iş görme biçimlerine uyum sağlamak
Üst yönetimin beklentilerini karşılamak
Kaynakları, bütçeleri ve maliyetleri yönetmek
Güncel teknolojilerden yararlanmayı sağlamak
Bilgi işlem kadrosunu korumak
Zaman ve kaynak yönetimi yapmak
Bilgi işlem altyapılarını yönetmek
Teknik bilgi ve becerileri korumak
Son sıralarda yer almakla birlikte teknik bilginin ve teknolojinin hala listede olduğu görülmekte, ancak, bilgi işlem yapısının iş hedefleri doğrultusunda, verimli çalışmasına yönelik öncelikli operasyonlar listenin başını çekmektedir.
Doğru yönetildikleri zaman bilgi işlem hizmetlerinin işletme verimliliğine çok olumlu katkılarda bulunduğu bir gerçektir. Bilgi işlem hizmetlerini iyi yönetmek için ise teknik bilgi ve teknoloji tek başına yeterli olmamakta, sistematik bir şekilde uygulanacak yönetim süreçlerine ihtiyaç duyulmaktadır. Yukarıdaki listenin ilk beş sırasını işgal eden konularda hedeflere ancak iyi tasarlanmış bir hizmet yönetim yaklaşımı ile ulaşılabileceği görülmektedir.
ITIL (Information Technology Infrastructure Library), giderek büyüdüğü ve büyüdükçe karmaşıklaştığı için kontrolün kaybedilmesine çok müsait olan bilgi işlem hizmetlerinde sistematik yönetim süreçlerinin oluşturulmasına ilişkin temel standartların belirlenmesi amacı ile geliştirilmiş bir rehber yordamlar kütüphanesidir. Gerçekleştirilen en iyi süreç yönetim uygulamaları esas alınarak hazırlanan ITIL süreçleri; entegre ve süreç odaklı bir bilgi işlem hizmet organizasyonu kurmak için gerekli standartları tanımlamaktadır. Birbirleriyle etkileşimli çalışan ITIL süreçlerinde, bir süreçte tamamlanan bir aktivite başka bir süreçte aktivite başlangıcının tetiklenmesine neden olur.
ITIL süreçleri, işletmelerin bilgi işlem altyapı ve hizmetlerinden mümkün olan en verimli düzeyde yararlanmasını hedeflemektedir. Bilgi işlem hizmetlerini ITIL standartlarına dayalı olarak yürüten işletmeler, ölçülebilir performans kriterleri aracılığıyla, bilgi işlem kaynaklarını daha verimli kullanmaya, daha az hata üretmeye ve öğrenen bir organizasyon oluşturmaya başlarlar.
GRC
Kurumsal ilkelerin yönetişim, çevre, iş, sağlık, süreklilik ile ilişkili ve düzenleyici mevzuatın uygulanması sırasında karşılaşılan zorlukları asabileceğiniz ve riskleri tanımlayıp teknik ve yönetsel standartlara ve kurallara göre strateji tabanlı kontroller ile yönetebileceğiniz entegre bir yaklaşımdır.
GRC'yi oluşturan kavramlar birbiri ile etkileşim içindedir. Kurumsal Yönetimin bulunmaması halinde, Risk Yönetimi ve Uyumluluk bir anlam ifade etmez.
Kurumsal Yönetim, Risk Yönetimi ve Uyumluluk bir kuruluşun farklı bileşen takımlarının farklı sorunlarını çözen, birbiriyle son derece ilintili ancak birbirinden ayrı faaliyetleri birleştiren, tekrarları ortadan kaldıran bir çerçeve olarak algılanmalıdır.
Governance (Kurumsal Yönetim)
Kurumsal yönetim, bir kurumun yönetim kurulu, ortakları ve diğer menfaat sahipleri arasındaki ilişkiler bütünü olarak tanımlanabilir.
Tarafların kurum üzerindeki haklarının ve sorumluluklarının dağılımını belirler.
Kurumla ilgili konularda karar almanın kural ve prosedürlerini tanımlar.
*Kurum hedeflerinin, bu hedeflerin gerçekleştirilme yollarının ve performans gözetiminin oluşturulmasını disiplin, adillik, şeffaflık, bağımsızlık, hesap verebilirlik, sorumluluk, eşitlik, sosyal sorumluluk gibi iyi kurumsal yönetimin unsurlarını uygulayarak temin eder.
Risk Management (Risk Yönetimi)
Bir kuruluşun potansiyel riskleri tanımladığı ve iş hedefleri temelinde riskli konuları önem sırasına koyduğu süreci anlatır.
Risk Yönetimi sürecinde, kuruluş çapında riski yönetmek ve etkilerini azaltmak üzere kurum risk unsurları ölçülür, raporlanır ve karar mekanizmalarında kullanılır ve kurum yapısına entegre edilir.
Compliance (Uyumluluk)
Çalışma alanların gereklerinin yanı sıra, mevzuat, yasa ve yönetmeliklere uyumluluğu sağlamak üzere gereksinim duyulan politika, yöntem ve kontrollerin kaydedilip takip edildiği süreci tanımlar.
Yukarıdaki bilgiler incelendiği taktirde öncelik sırasını aşağıdaki gibi verebiliriz:
1. GRC - Personel belgelendirmesi var. Kurumsal belgelendirme yok.(**)
2. ITIL - Personel belgelendirmesi var.Kurumsal belgelendirme yok.(**)
3. CMMI - Uluslarası belgelendirme (*)
4. ISO 15504 - TSE tarafından belgelendirilebiliyor.(*)
5. ISO 12207 - Belgelendirme yok.
6. ISO 20000 - ITSMF, ??? tarafından belgelendirme yapılıyor.(*)
7. ISO 27001 - IAF tarafından belgelendirme var.(*)
8. BS 25999 - British Standarts belgelendiriyor.(*)
9. Diğer referans standartlar
1. ISO 31000 - Risk Management
2. ISO 13335 - Risk Management
3. etc.
(*) olan standartların belgelendirilmeleri kendi özelliklerine göre farklılık gösterse de öncelikle sistemlerin kurulması, işletilmesi ve belirli bir olgun seviyesine gelince bağımsız denetimden geçirilmesi esasına dayanır.
(**) İlgili kurumlar tarafından personel belgelendirmesi var. Kurumlar belgelendirilmiyor.
http://www.grcg.com/storage/brochures/Gov-Risk-Compl-Certification-Training.swh.pdf
http://www.exin.org/
