Quantitive management of information security in organizations

Abstract

Different methodology implementation to define quantitive management of information security in organizations including defining information risks quantitive approach using Lenstra and Voss [1] suggestion, annual loss expectancies like model to meet the expectations of the real world applications like cost management, finance management etc. We made some improvements on approach using ISO/IEC 27005:2011 framework. It was chosen because of a global standard and included in ISO 31000:2009, also my real life experiences deal with ISO/IEC 27001 implementation and certification.

Gerçek dünyadaki maliyet yönetimi, finans yönetimi vb. konulardaki gerçeklikleri ve beklentileri karşılayacak nitel olarak ölçülebilir bilgi risklerinin tanımlanması ve ölçülebilir yönetilen bilgi güvenliği altyapısı için Lenstra ve Voss [1] tarafından önerilen yıllık kayıp beklentileri ne benzeyen metodolojide, ISO/IEC 27005:2011 çerçevesi dâhilinde iyileştirme yapılarak, uygulanması işlenmektedir. Dünya çapında geçerliliği olan ve ISO 31000:2009 içine dâhil edilmiş olmasının yanında ISO/IEC 27001 uygulama ve sertifikasyon konusundaki gerçek hayat uygulamaları tecrübelerimin ağır basmasından dolayı ISO/IEC 27005 de belirlenen Risk Yönetim çerçevesi dâhilinde uygulama için seçmiş bulunmaktayız.