Merhaba Değerli TurkHackTeam Üyeleri,
Bu konumuzda dünyadaki en önemli standartları oluşturan ve çatısı altında toplayan ISO'nun tarihçesi ve en ön plana çıkan iki standartı hakkında bilgileri sizler için derledik. İyi okumalar...
İçindekilerBu konumuzda dünyadaki en önemli standartları oluşturan ve çatısı altında toplayan ISO'nun tarihçesi ve en ön plana çıkan iki standartı hakkında bilgileri sizler için derledik. İyi okumalar...
1. ISO nedir?
2. ISO'nun kaç adet standarttı bulunmaktadır?
3. ISO 27001 nedir?
4. ISO 27002 nedir?
5. ISO 27001 ve ISO 27002 ile arasındaki fark nedir?
ISO nedir?
Uluslararası Standardizasyon Örgütü (ISO), 1946'da yirmi beş yurtta delegelerin İngiltere'nin başkenti olan Londra'daki inşaat Mühendisleri Enstitüsünde buluştuğu ve uluslararası eş güdüm ve endüstriyel standartların birleştirilmesini kolaylaştırılması adına yeni uluslararası ekip oluşturulmaya karar kılınması ile 1947 yılının 23 Şubat'ın da kurulmuştur. Bir sivil toplum kuruluşu olan Uluslararası Standardizasyon Örgütü (ISO)'nun merkezi İsviçre'nin Cenevre kentinde bulunmaktadır. ISO, ülkeler arası eşit standart sağlayarak dünyada ki genel ticareti kolaylaştırma da önemli rol oynamaktadırlar. ISO yüz otuz beş ülkeden ulusal standart kuruşların destekleri ile kurulmuştur. Şu anda 179'un üzerinde bir üye kitlesi ile yönetilmektedir. ISO,IEC,IAF,ILAC ve DTÖ/WTC gibi organizasyonlarında ortak kabul edilen ilkeleri, ticarete yönelik çeşitli teknik engellerin kaldırılması yönünde ticareti kolaylaştırmayı ön planda tutarlar. Birinci standartlarını 1987 yılında yayınlamışlardır. Kuruldukları tarihten itibaren günümüze kadar teknoloji ve üretimin neredeyse tamamı tüm alanlarını kapsayan bir çok uluslararası standardın da yayınlanması muvaffakiyetine de sahiptirler. Günümüzde şu an yüz almış dört ülkeden üyeleri ve yedi yüz altı tane teknik kurul üyesi ve alt kurul üyesi bulunmaktadır. ISO standartlarının kapsadığı alanlar sağlıktan teknolojiye, üretimden güvenliğe ve çevreye kadar tüm alanlar mevcuttur.
ISO'nun amacı nedir?
ISO, ürünlerin ve hizmetlerin tüketicilerin ve kullanıcıların refahını korumayı hedefler. Ayrıca tüketicilerin bu hizmet ve ürünlerden tereddüt etmeden başvurmasını amaçlar. Bu amaç her kuruluşta amaçlanmaktadır. Lakin ISO buna daha objektif bakarak farklı bir bakış açısı ile yaklaşımda bulunmuştur. Buna ek olarak ISO, hükümetlere sağlık, emniyet için teknik destek sağlar. Aynı zamanda ISO, gelişmekte olan ülkelere teknoloji transferi konusunda destek olur. Aynı zamanda ürün ve hizmetlerin güvenli aynı zamanda elle tutulabilir bir kalite de olmasını amaçlar. En önemli hedefleri ise farklılıkları gidermektir.
ISO'nun Kaç Adet Standarttı Bulunmaktadır?
ISO'nun şu ana kadar iletişimi ve işbirliğini geliştirmenin yanı sıra uluslararası ticaret büyümesini kolaylaştıran 24.208'den fazla uluslararası standartı bulunmaktadır. ISO standartları, tüm kuruluş için prosedürleri ve ürünleri belirler. Ayrıca ISO bununla sınırlı kalmayarak teknik raporlar, norm, birçok ulusal standardizasyon programı ,özellikler, kılavuzlar ve kamuya açık özelliklerde yayımlar.
İlgili kişiler tarafından kontrol edilip ve bunların sonucunda uluslararası kabul edilen , dünya ticaretini kolaylaştırma da büyük ve önemli bir rol oynayan ISO'nun en çok ön plana çıkan iki standarttı bulunmaktadır. Bunlar ISO 27001 ve ISO 27002'dir.
ISO 27001 Nedir?
Ön planda olan standartlardan ilki olan ISO 27001 standarttı; sektörlerin kendilerini ve sahip oldukları müşterilerinin gizli bilgilerinin güvende tutmalarında büyük rol oynayan bir standarttır. Uluslararası bir çerçeve olan ISO 27001 sayesinde kuruluşlar gizlilik konusundaki riskleri göz önünde bulundurarak, bu riskleri yöneterek azaltabilir. Akabinde gerekli güvenlik önlemlerini yerine getirmektedirler. Bu sadece günümüz için değil, gelecek adına da uygulanacak olan yöntemleri devamlı olarak incelenmesine yardımcı olmaktadır.
ISO 27001, bir Bilgi Güvenliği Yönetim Sisteminin (BGYS) benimsenmesi yoluyla, her büyüklükteki veya herhangi bir sektördeki kuruluşların bilgilerini sistematik ve uygun maliyetli bir şekilde korumalarına yardımcı olacak bir çerçeve sağlamaktadır. Spesifikasyon, dokümantasyon, yönetim sorumluluğu, iç denetimler, sürekli iyileştirme ve düzeltici ve önleyici faaliyetler için ayrıntıları içermektedir. Standart, bir organizasyonun tüm bölümleri arasında işbirliğini gerektirmektedir. ISO 27001 standardı, belirli bilgi güvenliği kontrollerini zorunlu kılmaz, ancak beraberindeki ISO/IEC 27002:2005 uygulama kurallarında dikkate alınması gereken kontrollerin bir kontrol listesini sağlamaktadır. Bu ikinci standart, kapsamlı bir bilgi güvenliği kontrol hedefleri kümesini ve bir dizi genel kabul görmüş iyi uygulama güvenlik kontrollerini açıklamaktadır.
ISO 27002 Nedir?
Konu başlığımızın öncelikli adı olan ve ISO'nun en önemli iki isminden olan ISO 27002'inin ilk ismi ISO/IEC 1779'tür. Bu adı ile 2000 yılında yayımlanmıştır. Ondan daha sonra yayınlanan ISO 27001 ile birlikte tamamen revize edilerek ve yeni baştan isimlendirilerek günümüzde kullanılan ISO 27002 olmuştur. Bu iki standart bir puzzle misali birbirlerini tamamlamak üzere tasarlanmıştır. ISO 27002, ISO 27001 kapsamında sağlanmış olan rehberlikle birlikte uygulamak üzerine tasarlanmış olup, yüzlerce potansiyel kontrol ve kontrol mekanizması sağlamaktadır. Standartta listelenen ve önerilmekte olan kontroller, resmi bir risk değerlendirilmesi sırasında belirlenen belirli sorunları ele almayı amaçlamaktadır. Bu standart ayrıca, güvenlik standartlarının ve etkin güvenlik yönetimi uygulamalarının geliştirilmesi adına bir kılavuz sağlamayı da amaçlamaktadır. Bunlar, önceki yayınlardan bu yana ortaya çıkmış olan en iyi bilgi güvenliği uygulamalarına ilaveten, ISO/IEC 27000 ve ISO/IEC 27005 gibi ISO/IEC tarafından yayınlanmış olan diğer güvenlik standartlarına yapılan referansları dâhil etmek adına düzenli olarak güncellenmektedir. Bunlar bir kuruluşun benzersiz bilgi güvenliği risk ortamına dayalı kontrol seçimini, uygulanmasını ve yöntemini içerir. ISO 27002'nin 2013 yılında yayınlanmış olan yayını içerisinde toplam 114 kontrol barındırmaktadır. Bu kontrollere örnek vermek gerekirse; yapı, güvenlik politikaları, bilgi güvenliğinin organizasyonu, insan kaynakları güvenliği, BT varlık yönetimi, giriş kontrolü, kriptografi, fiziksel ve çevresel güvenlik, operasyon güvenliği, iletişim güvenliği, bilgi sistemleri edinme, geliştirme ve bakımı, tedarikçi ilişkileri, bilgi güvenliği yönleri ve belirlenmiş yönergelere veya şartnamelere uygunluk durumu gibi kontroller başlıca misaller olarak verilebilir.
ISO 27001 ve ISO 27002 ile Aralarındaki Fark Nedir?
Birbirlerini tamamlayan puzzle'larda her zaman birbirinden farklıdır. ISO 27001ve ISO 27002 oldukça benzer görünebilir. Her iki standart da BT güvenliği ve sağlamlığı, güçlü bir Bilgi Güvenliği Risk yönetim Sistemi (BGYS) oluşturma ile ilgilidir. ISO 27001, bilgi güvenliği kontrolleri ile ilgili bir bilgi güvenli yönetimi standardıdır. Bir Bilgi Güvenliği Risk Yönetim sistemini (BGYS) yönetirken veya uygulanırken kullanılmak üzere tasarlanmıştır. Kısaca özet geçmek gerekirse, bir BGYS, önemli dosyalar, web siteleri, sunucular ve e-postalar gibi kurumsal verilerinizin güvenliğini sağlamak için tasarlanmış bir planın sistemleri, teknolojisi, insanları ve diğer öğelerini ifade eder. Verilerinizi kazara kayıp, veri sızıntıları, ihlaller, hack'ler ve bu tür diğer tehditler ve güvenlik açıklarından korumak için yürürlükte olan tüm farklı kontrolleri birleştirmek için tasarlanmış bütünsel bir kavramdır. Örnek verecek olursak, ISO 27001 Ek A bilgi güvenliği politikaları, insan kaynaklarının güvenle korunması, BT varlık yönetimi, veri kriptografi ve şifreleme, operasyonel güvenlik ve Bilgi Güvenlik Risk Yönetim Sistemi (BGYS)'nizin bu tür diğer önemli alanları hakkında gereksinimleri ortaya çıkarmaktadır. ISO 27001 standartlarının karşılanması sistematik bir izleme, ölçüm, analiz ve değerlendirme süreci gerektirir ve genellikle değerlendirme yapılmadan önce zayıf tarafları ve alanları belirlemek için iç denetimleri içerir.
ISO 27001 ve ISO 27002 aralarındaki en önemli fark ise sertifika alımıdır. ISO 27001 sertifikası alabilirken ISO 27002'de sertifika alamamaktasınız. ISO 27002 standartlarına göre sertifika almanız mümkün değildir. Temel olarak, ISO 27001'de sertifika almak adına gereken uyumluluk gereksinimlerini ortaya koymanız gerekmektedir. Lakin , ISO 27002, Bilgi Güvenliği Risk Yönetim Sistemi(BGYS) en iyi uygulamalarını tanıtmanız da ve uygulamanızda yardımcı olmak için oluşturulmuş bir dizi yönergeden ibarettir. Benzetme yapmak gerekirse, ISO 27002 bir rehber kitap veya deneme testi gibidir. ISO 27001 ise test hazırlamanız da yardımcı olabilecek kurallar, yönergeler ve ipuçlarıyla doludur.
Değerli Üyeler,
Bir konumuzun daha sonuna gelmiş bulunmaktasınız.
Peki siz ISO'nun bu iki standartının farkının ne olduğunu daha önce biliyor muydunuz?
Bir sonraki konuda görüşmek üzere...
Moderatör tarafında düzenlendi:
