Bilgi teknolojisi- güvenlik teknikleri başlığı altında ISO/IEC 27000 serisine ait bulunan standartlar hakkında kısa ve öz sadece başlıklarını içerecek bilgilendirme amaçlı olarak yazmış olduğum bu yazıda. Standart ilesinde bulunan www.iso.org sitesi üzerinden yayınlanan standartlar aşağıdaki gibidir.
ISO/IEC 27000:2018 – ISO 27000 Ailesi standartlar için sözlük içerir, genel bakış v
e tanıtım sağlar. (Yayında, revizyon çalışmaları devam ediyor.)
Terimler ve Tarifleri içerir.
ISO/IEC 27001:2013 – Bilgi Güvenliği Yönetim Sistemi organizasyonlar içi
n gereklilikleri tanımlar, bağımsız denetim ve belgelendirme uygulanabilmesini sağlar.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı denetimlerinde kullanılır.
ISO/IEC 27002:2013 – Güvenlik Teknikleri-Bilgi güvenliği için uygulama kodu. Bir dizi bilgi güvenliği kontrol hedefleri ve genel olarak kabul görmüş güvenlik kontrolü için iyi uygulamalar hakkında bilgi içerir.
Firmalar da sistem kurulumu içerisinde kılavuz rolünde bulu
nan standarttır. Ek A içerisinde ki 114 Madde için en iyi uygulamalar hakkında bilgi verir.
ISO/IEC 27003:2017 – Bilgi teknolojisi – Güvenlik teknikleri – ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Uygulama Rehberidir.
ISO/IEC 27004:2016 – Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği yönetimi ölçüm tekniklerini içerir.
ISO/IEC 27005:2011 – Bilgi Teknolojileri – Bilgi güvenliği risk yönetimi standardıdır. Riskin ne şekilde ele alınacağı ile ilgili bilgiler içerir.
ISO/IEC 27006:2015 – Bilgi teknolojisi – Güvenlik teknikleri – Akredite olarak BGYS bağımsız denetim ve belgelendirme hizmetleri veren kuruluşlar için rehberlik sağlar.
Akredite olmak isteyen kurumların uymakla yükümlü oldukları standarttır. Akreditasyon denetimlerinde standart şartlarının karşılanmasında ISO/IEC 17021’in yanında bu standarda göre de denetlenirler.
ISO/IEC 27007:2017 – Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği yönetim sistemleri denetim Kurallarını içerir.
ISO/IEC 27008:2011 – Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği kontrollerine ilişkin denetçiler için yönergeleri içermektedir.
ISO/IEC 27009:2016 – Bilgi teknolojisi – Güvenlik teknikleri – ISO / IEC 27001’in sektöre özel uygulaması – gereksinimleri içerir..
ISO/IEC 27010:2015 – Bilgi teknolojisi – Güvenlik teknikleri – Sektörler arası ve kurumlar arası iletişim için bilgi güvenliği yönetimine dair bilgileri içerir.
ISO/IEC 27011:2016 – Bilgi teknolojisi – Güvenlik teknikleri – ISO / IEC 27002 dayalı telekomünikasyon kuruluşlar için bilgi güvenliği yönetim kuralları içerir.
ISO/IEC 27013:2015 – Bilgi teknolojisi – Güvenlik teknikleri – ISO/IEC 27001 ve ISO/IEC 20000-1 entegre uygulanması konusunda rehberlik bilgilerini içerir.
ISO/IEC 27014:2013 – Bilgi teknolojisi – Güvenlik teknikleri – Bilgi Güvenliği Yönetişimi hakkında bilgileri içerir.
ISO/IEC 27015:2012 – Bilgi teknolojisi – Güvenlik teknikleri – Finansal hizmetler için bilgi güvenliği yönetim kurallarını içerir.
ISO/IEC 27016:2014 – Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği yönetimi – Örgütsel ekonomi ile ilgili bilgileri içermektedir.
ISO/IEC 27017:2015 – Bilgi teknolojisi – Güvenlik teknikleri – ISO/IEC 27002’ye dayalı Bulut bilişiminin bilgi güvenliği boyutları hakkında bilgiler içerir.
ISO/IEC 27018:2014 – Bilgi teknolojisi – Güvenlik teknikleri – Bulut bilişiminin kişisel olarak tanımlanan bilgiler ile ilgili gizlilik boyutlarını kapsamaktadır.
ISO/IEC 27019:2017 – Bilgi teknolojisi – Güvenlik teknikleri – Enerji sektöründe özel proses kontrol sistemleri için ISO/IEC 27002 dayalı güvenlik yönetimi kurallarına ait bilgileri içerir.
ISO/IEC 27021:2017 – Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği yönetimi uzmanları için yeterlilik gereksinimlerini içerir.
ISO/IEC 27023:2015 – Bilgi teknolojisi – Güvenlik teknikleri – ISO / IEC 27001 ve ISO / IEC 27002’nin gözden geçirilmiş sürümlerini haritalama bilgilerini içerir.
ISO/IEC 27030 – DRAFT
ISO/IEC 27031:2011 – Bilgi teknolojisi – Güvenlik teknikleri – İş sürekliliği için bilgi ve iletişim teknolojisi hazırlığı için yönergeleri içerir.
ISO/IEC 27032:2012 – Bilgi teknolojisi – Güvenlik teknikleri – Siber güvenlik için kılavuzluk bilgilerini içerir.
ISO/IEC 27033-1:2015 – Bilgi teknolojisi – Güvenlik teknikleri – Ağ Güvenliği – Bölüm 1 : Genel bakış ve kavramlar.
ISO/IEC 27033-2:2012 – Bilgi teknolojisi – Güvenlik teknikleri – Ağ Güvenliği Bölüm 2 : Ağ güvenliği tasarım ve uygulama ilkeleri.
ISO/IEC 27033-3:2010 – Bilgi teknolojisi – Güvenlik teknikleri – Ağ Güvenliği – Bölüm 3: Referans ağ senaryoları – Tehditler, tasarım teknikleri ve kontrol sorunları.
ISO/IEC 27033-4:2014 Bilgi teknolojisi – Güvenlik teknikleri – Ağ Güvenliği – Bölüm 4 : Güvenlik ağ geçitleri kullanarak ağlar arasında güvenli iletişim.
ISO/IEC 27033-5:2013 – Bilgi teknolojisi – Güvenlik teknikleri – Ağ Güvenliği – Bölüm 5: Sanal Özel Ağ kullanarak ağlar arasında güvenli iletişim (VPN) .
ISO/IEC 27033-6:2016 – Bilgi teknolojisi – Güvenlik teknikleri – Ağ Güvenliği – Bölüm 6: Kablosuz IP ağ erişimi güvence altına alınması.
ISO/IEC 27034-1:2011 – Bilgi teknolojisi – Uygulama Güvenliği – Bölüm 1 : Genel bakış ve kavramlar.
ISO/IEC 27034-2:2015 – Bilgi teknolojisi – Uygulama Güvenliği – Bölüm 2 : Organizasyon normatif çerçeve
ISO/IEC 27034-3 -Bilgi teknolojisi – Uygulama Güvenliği – Bölüm 3 : Uygulama güvenliği yönetimi prosesi. – DRAFT
ISO/IEC 27034-4 – Bilgi teknolojisi – Uygulama Güvenliği – Bölüm 4 : Uygulama güvenliği onaylama. DRAFT
ISO/IEC 27034-5:2017 – Bilgi teknolojisi – Uygulama Güvenliği – Bölüm 5 : Protokoller ve uygulama güvenliği veri yapısı kontrol.
ISO/IEC 27034-6:2016 – Bilgi teknolojisi – Uygulama Güvenliği – Bölüm 6 : Özel uygulamalar için güvenlik rehberi.
ISO/IEC 27035:2011 – Bilgi teknolojisi – Güvenlik teknikleri – Bilgi Güvenliği Olay Yönetimi. 3 serilik standart 1 ve 2 yayınlandı 3 DRAFT
ISO/IEC 27036-1:2014 – Bilgi teknolojisi – Güvenlik teknikleri – Tedarikçiler İlişkileri için Bilgi Güvenliği – Bölüm 1: Genel bakış ve kavramlar.
ISO/IEC 27036-2:2014 – Bilgi teknolojisi – Güvenlik teknikleri – Tedarikçiler İlişkileri için Bilgi Güvenliği – Bölüm 2: Gereklilikler.
ISO/IEC 27036-3:2013 – Bilgi teknolojisi – Güvenlik teknikleri – Tedarikçiler İlişkileri için Bilgi Güvenliği – Bölüm 3: Bilgi ve İletişim Teknolojileri tedarik zinciri güvenliği için ilkeler.
ISO/IEC 27037:2012 – Bilgi teknolojisi – Güvenlik teknikleri – Dijital delil belirlenmesi, toplanması, elde edilmesi ve korunması için ilkeleri içerir.
ISO/IEC 27038 – Bilgi teknolojisi – Güvenlik teknikleri – Dijital redaksiyon için özellikleri içerir.
ISO/IEC 27040:2015 – Bilgi teknolojisi – Güvenlik teknikleri – Depolama güvenliği
ISO 27799:2008 – ISO/IEC 27002 Kullanılarak Sağlık Sektöründe Bilgi Güvenliğinin Sağlanması ile ilgili bilgileri içerir.
Yukarıda saymış olduğumuz bu standartlara istinaden henüz draft olarak yayınlanmış ama resmi olarak yayınlanmamış ISO 27000 Ailesine ait standartlar da bulunmaktadır. Bu standartlarla ilgili güncellemeler standartlar yayınlandıkça bu sayfayı güncellemeye devam edeceğim. Toplamda 47 adet standarttan oluşan bir ailedir.
Tüm standartların en güncek hallerini yayınladığınız için teşekkür ederim. ISO 27001:2017 versiyonu diye bir söylem var doğruluğu nedir acaba?
Ahmet Bey merhaba;
Şuanda ISO’nun yayınlamış olduğu son versiyon ISO/IEC 27001:2013 versiyonudur. Yalnız şöyle bir durum var; BS EN ISO IEC 27001:2017 BSI tarafından yayınlanmıştır. Ülkemizde belgelendirmesi hala 2013 olarak gerçekleştirilmektedir.