ISO/IEC 27000 serisi - ISO/IEC 27000-series

ISO / IEC 27000 serisi (aynı zamanda kısaca 'Standartlar BGYS Aile' veya 'ISO27K' olarak da bilinir) içerir bilgi güvenliği tarafından ortaklaşa yayınlanan standartlar Uluslararası Standardizasyon Örgütü (ISO) ve Uluslararası Elektroteknik Komisyonu (IEC).

Bu seri, tasarım olarak kalite güvencesi için yönetim sistemlerine (ISO 9000 serisi) benzer şekilde, genel bir Bilgi güvenliği yönetim sistemi (BGYS) bağlamında bilgi güvenliği yönetimi (bilgi güvenliği kontrolleri yoluyla bilgi risklerinin yönetimi) hakkında en iyi uygulama önerilerini sunar. , çevre koruma (ISO 14000 serisi) ve diğer yönetim sistemleri.

Serinin kapsamı kasıtlı olarak geniştir ve yalnızca gizlilik, gizlilik ve BT/teknik/siber güvenlik sorunlarından fazlasını kapsar. Her şekil ve büyüklükteki organizasyonlar için geçerlidir. Tüm kuruluşlar, bilgi risklerini değerlendirmeye ve daha sonra, ilgili olduğunda rehberlik ve önerileri kullanarak, ihtiyaçlarına göre (tipik olarak bilgi güvenliği kontrollerini kullanarak) tedavi etmeye teşvik edilir. Bilgi riskinin ve güvenliğinin dinamik doğası göz önüne alındığında, BGYS konsepti, olayların tehditlerindeki, güvenlik açıklarındaki veya etkilerindeki değişikliklere yanıt vermek için sürekli geri bildirim ve iyileştirme faaliyetlerini içerir.

Standartlar, yılda iki kez yüz yüze toplanan uluslararası bir kuruluş olan ISO/IEC JTC1 (Ortak Teknik Komite 1) SC27 (Alt Komite 27)'nin ürünüdür .

ISO/IEC standartları, çoğunlukla İngilizce, Fransızca ve Çince olmak üzere doğrudan ISO tarafından satılmaktadır. Çeşitli ulusal standart kuruluşlarıyla ilişkili satış noktaları, diğer dillere doğrudan çevrilmiş sürümleri de satmaktadır.

Erken tarih

ISO27K standartlarının geliştirilmesi ve sürdürülmesinde birçok kişi ve kuruluş yer almaktadır. Bu serideki ilk standart ISO/IEC 17799:2000 idi; Bu bir varolan İngiliz standart hızlı izleme oldu 7799 BS 1999 ilk sürüm: bölüm 1 BS 7799 1980'lerin sonu ve 1990'ların başında Royal Dutch / Shell Group tarafından geliştirilen bir bilgi güvenliği politikası kılavuzunda üzerinde kısmen dayanıyordu . 1993 yılında, o zamanki Ticaret ve Sanayi Bakanlığı (Birleşik Krallık) , bir standartlar belgesi üretmek amacıyla bilgi güvenliğindeki mevcut uygulamaları gözden geçirmek için bir ekip topladı. 1995 yılında BSI Grubu , BS 7799'un ilk versiyonunu yayınladı . BS 7799'un başlıca yazarlarından biri, 1993'ün başında, "DTI, yedi farklı sektörden bir grup endüstri temsilcisini hızla bir araya getirmeye karar verdi: Shell ([David Lacey] ve Les Riley), BOC Group (Neil Twist). ), BT (Dennis Willets), Marks & Spencer (Steve Jones), Midland Bank (Richard Hackworth), Nationwide (John Bowles) ve Unilever (Rolf Moulton)." David Lacey, Donn B. Parker'ın "bir dizi bilgi güvenliği denetimi oluşturma orijinal fikrine" sahip olduğunu ve 1980'lerin sonunda "I-4 Bilgi Sistemi" için "yaklaşık yüz temel denetimden oluşan bir koleksiyon" içeren bir belge ürettiğini belirtir. Tasarladığı ve kurduğu güvenlik çemberi.

Yayınlanmış standartlar

"Bilgi teknolojisi - güvenlik teknikleri" ile ilgili yayınlanan ISO27K standartları şunlardır:

  1. ISO/IEC 27000 — Bilgi güvenliği yönetim sistemleri — Genel bakış ve sözlük
  2. ISO/IEC 27001 — Bilgi teknolojisi — Güvenlik Teknikleri — Bilgi güvenliği yönetim sistemleri — Gereksinimler. Standardın 2013 sürümü, diğer ISO standartlarının diğer yönetim sistemlerini belirttiği gibi aynı resmileştirilmiş, yapılandırılmış ve özlü bir şekilde bir bilgi güvenliği yönetim sistemini belirtir.
  3. ISO/IEC 27002 — Bilgi güvenliği kontrolleri için uygulama kuralları (esas olarak, BGYS aracılığıyla yönetilebilecek bilgi güvenliği kontrollerinin ayrıntılı bir kataloğu)
  4. ISO/IEC 27003 — Bilgi güvenliği yönetim sistemi uygulama kılavuzu
  5. ISO/IEC 27004 — Bilgi güvenliği yönetimi — İzleme, ölçme, analiz ve değerlendirme
  6. ISO/IEC 27005 — Bilgi güvenliği risk yönetimi
  7. ISO/IEC 27006 — Bilgi güvenliği yönetim sistemlerinin denetimini ve belgelendirmesini sağlayan kuruluşlar için gereklilikler
  8. ISO/IEC 27007 — Bilgi güvenliği yönetim sistemleri denetimi için yönergeler ( yönetim sisteminin denetimine odaklanmıştır)
  9. ISO/IEC TR 27008 — BGYS kontrolleri hakkında denetçiler için rehber (bilgi güvenliği kontrollerini denetlemeye odaklı)
  10. ISO/IEC 27009 — Esasen, ISO27K standartları için sektöre/endüstriye özel varyantlar veya uygulama yönergeleri geliştiren komite için dahili bir belge
  11. ISO/IEC 27010 — Sektörler arası ve kuruluşlar arası iletişim için bilgi güvenliği yönetimi
  12. ISO/IEC 27011 — Telekomünikasyon kuruluşları için ISO/IEC 27002'ye dayalı bilgi güvenliği yönetimi yönergeleri
  13. ISO/IEC 27013 — ISO/IEC 27001 ve ISO/IEC 20000-1'in entegre uygulanmasına ilişkin kılavuz
  14. ISO/IEC 27014 — Bilgi güvenliği yönetişimi. (Mahncke, bu standardı Avustralya e-sağlık bağlamında değerlendirmiştir.)
  15. ISO/IEC TR 27015 — Finansal hizmetler için bilgi güvenliği yönetimi yönergeleri (artık geri çekilmiştir)
  16. ISO/IEC TR 27016 — bilgi güvenliği ekonomisi
  17. ISO/IEC 27017 — Bulut hizmetleri için ISO/IEC 27002'ye dayalı bilgi güvenliği kontrolleri için uygulama kuralları
  18. ISO/IEC 27018 — Kişisel olarak tanımlanabilen bilgilerin (PII) genel bulutlarda PII işlemcileri olarak işlev görmesine yönelik uygulama kodu
  19. ISO/IEC 27019 — Enerji endüstrisinde proses kontrolü için bilgi güvenliği
  20. ISO/IEC 27021 — Bilgi güvenliği yönetim sistemleri uzmanları için yeterlilik gereksinimleri
  21. ISO/IEC TS 27022 — Bilgi güvenliği yönetim sistemi süreçleri hakkında kılavuz - Geliştirme aşamasında
  22. ISO/IEC TR 27023 — ISO/IEC 27001 ve ISO/IEC 27002'nin gözden geçirilmiş sürümlerinin eşlenmesi
  23. ISO/IEC 27031 — İş sürekliliği için bilgi ve iletişim teknolojisine hazır olma yönergeleri
  24. ISO/IEC 27032 — Siber güvenlik kılavuzu
  25. ISO/IEC 27033 — BT ağ güvenliği
  26. ISO/IEC 27033-1 — Ağ güvenliği — Bölüm 1: Genel bakış ve kavramlar
  27. ISO/IEC 27033-2 — Ağ güvenliği — Bölüm 2: Ağ güvenliğinin tasarımı ve uygulanması için yönergeler
  28. ISO/IEC 27033-3 — Ağ güvenliği — Bölüm 3: Referans ağ oluşturma senaryoları — Tehditler, tasarım teknikleri ve kontrol sorunları
  29. ISO/IEC 27033-4 — Ağ güvenliği — Bölüm 4: Güvenlik ağ geçitlerini kullanarak ağlar arasındaki iletişimin güvenliğini sağlama
  30. ISO/IEC 27033-5 — Ağ güvenliği — Bölüm 5: Sanal Özel Ağlar (VPN'ler) kullanarak ağlar arasında iletişimin güvenliğini sağlama
  31. ISO/IEC 27033-6 — Ağ güvenliği — Bölüm 6: Kablosuz IP ağ erişiminin güvenliğini sağlama
  32. ISO/IEC 27034-1 — Uygulama güvenliği — Bölüm 1: Uygulama güvenliği kılavuzu
  33. ISO/IEC 27034-2 — Uygulama güvenliği — Bölüm 2: Organizasyon normatif çerçevesi
  34. ISO/IEC 27034-3 — Uygulama güvenliği — Bölüm 3: Uygulama güvenliği yönetim süreci
  35. ISO/IEC 27034-4 — Uygulama güvenliği — Bölüm 4: Doğrulama ve doğrulama (geliştirme aşamasında)
  36. ISO/IEC 27034-5 — Uygulama güvenliği — Bölüm 5: Protokoller ve uygulama güvenliği kontrolleri veri yapısı
  37. ISO/IEC 27034-5-1 — Uygulama güvenliği — Bölüm 5-1: Protokoller ve uygulama güvenliği kontrolleri veri yapısı, XML şemaları
  38. ISO/IEC 27034-6 — Uygulama güvenliği - Bölüm 6: Vaka çalışmaları
  39. ISO/IEC 27034-7 — Uygulama güvenliği — Bölüm 7: Güvence tahmin çerçevesi
  40. ISO/IEC 27035-1 — Bilgi güvenliği olay yönetimi - Bölüm 1: Olay yönetiminin ilkeleri
  41. ISO/IEC 27035-2 — Bilgi güvenliği olay yönetimi - Bölüm 2: Olay müdahalesini planlamak ve hazırlamak için yönergeler
  42. ISO/IEC 27035-3 — Bilgi güvenliği olay yönetimi — Bölüm 3: BİT olay müdahale işlemleri için yönergeler
  43. ISO/IEC 27035-4 — Bilgi güvenliği olay yönetimi — Bölüm 4: Koordinasyon (geliştirme aşamasında)
  44. ISO/IEC 27036-1 - Tedarikçi ilişkileri için bilgi güvenliği - Bölüm 1: Genel bakış ve kavramlar
  45. ISO/IEC 27036-2 - Tedarikçi ilişkileri için bilgi güvenliği - Bölüm 2: Gereksinimler
  46. ISO/IEC 27036-3 - Tedarikçi ilişkileri için bilgi güvenliği - Bölüm 3: Bilgi ve iletişim teknolojisi tedarik zinciri güvenliği için yönergeler
  47. ISO/IEC 27036-4 — Tedarikçi ilişkileri için bilgi güvenliği — Bölüm 4: Bulut hizmetlerinin güvenliği için yönergeler
  48. ISO/IEC 27037 — Dijital kanıtların tanımlanması, toplanması, elde edilmesi ve korunması için yönergeler
  49. ISO/IEC 27038 — Dijital Belgelerde Dijital redaksiyon için Spesifikasyon
  50. ISO/IEC 27039 — İzinsiz giriş önleme
  51. ISO/IEC 27040 — Depolama güvenliği
  52. ISO/IEC 27041 — Soruşturma güvencesi
  53. ISO/IEC 27042 — Dijital kanıtları analiz etme
  54. ISO/IEC 27043 — Olay araştırması
  55. ISO/IEC 27050-1 — Elektronik keşif — Bölüm 1: Genel bakış ve kavramlar
  56. ISO/IEC 27050-2 — Elektronik keşif — Bölüm 2: Elektronik keşfin idaresi ve yönetimi için kılavuz
  57. ISO/IEC 27050-3 — Elektronik keşif — Bölüm 3: Elektronik keşif için uygulama kuralları
  58. ISO/IEC TS 27110 — Bilgi teknolojisi, siber güvenlik ve gizlilik koruması — Siber güvenlik çerçevesi geliştirme yönergeleri
  59. ISO/IEC 27701 — Bilgi teknolojisi — Güvenlik Teknikleri — Bilgi güvenliği yönetim sistemleri — Gizlilik Bilgi Yönetim Sistemi (PIMS).
  60. ISO 27799 — ISO/IEC 27002 kullanarak sağlıkta bilgi güvenliği yönetimi (ISO/IEC 27002 kullanarak kişisel sağlık bilgilerinin nasıl korunacağı konusunda sağlık sektörü kuruluşlarına rehberlik eder)

hazırlık aşamasında

  • Dijital adli tıp ve siber güvenlik gibi konuları kapsayan diğer ISO27K standartları hazırlık aşamasındayken , yayınlanan ISO27K standartları yaklaşık beş yıllık bir döngüde rutin olarak gözden geçirilir ve güncellenir.

Ayrıca bakınız

Referanslar