ISO/IEC 27000 serisi - ISO/IEC 27000-series
ISO / IEC 27000 serisi (aynı zamanda kısaca 'Standartlar BGYS Aile' veya 'ISO27K' olarak da bilinir) içerir bilgi güvenliği tarafından ortaklaşa yayınlanan standartlar Uluslararası Standardizasyon Örgütü (ISO) ve Uluslararası Elektroteknik Komisyonu (IEC).
Bu seri, tasarım olarak kalite güvencesi için yönetim sistemlerine (ISO 9000 serisi) benzer şekilde, genel bir Bilgi güvenliği yönetim sistemi (BGYS) bağlamında bilgi güvenliği yönetimi (bilgi güvenliği kontrolleri yoluyla bilgi risklerinin yönetimi) hakkında en iyi uygulama önerilerini sunar. , çevre koruma (ISO 14000 serisi) ve diğer yönetim sistemleri.
Serinin kapsamı kasıtlı olarak geniştir ve yalnızca gizlilik, gizlilik ve BT/teknik/siber güvenlik sorunlarından fazlasını kapsar. Her şekil ve büyüklükteki organizasyonlar için geçerlidir. Tüm kuruluşlar, bilgi risklerini değerlendirmeye ve daha sonra, ilgili olduğunda rehberlik ve önerileri kullanarak, ihtiyaçlarına göre (tipik olarak bilgi güvenliği kontrollerini kullanarak) tedavi etmeye teşvik edilir. Bilgi riskinin ve güvenliğinin dinamik doğası göz önüne alındığında, BGYS konsepti, olayların tehditlerindeki, güvenlik açıklarındaki veya etkilerindeki değişikliklere yanıt vermek için sürekli geri bildirim ve iyileştirme faaliyetlerini içerir.
Standartlar, yılda iki kez yüz yüze toplanan uluslararası bir kuruluş olan ISO/IEC JTC1 (Ortak Teknik Komite 1) SC27 (Alt Komite 27)'nin ürünüdür .
ISO/IEC standartları, çoğunlukla İngilizce, Fransızca ve Çince olmak üzere doğrudan ISO tarafından satılmaktadır. Çeşitli ulusal standart kuruluşlarıyla ilişkili satış noktaları, diğer dillere doğrudan çevrilmiş sürümleri de satmaktadır.
Erken tarih
ISO27K standartlarının geliştirilmesi ve sürdürülmesinde birçok kişi ve kuruluş yer almaktadır. Bu serideki ilk standart ISO/IEC 17799:2000 idi; Bu bir varolan İngiliz standart hızlı izleme oldu 7799 BS 1999 ilk sürüm: bölüm 1 BS 7799 1980'lerin sonu ve 1990'ların başında Royal Dutch / Shell Group tarafından geliştirilen bir bilgi güvenliği politikası kılavuzunda üzerinde kısmen dayanıyordu . 1993 yılında, o zamanki Ticaret ve Sanayi Bakanlığı (Birleşik Krallık) , bir standartlar belgesi üretmek amacıyla bilgi güvenliğindeki mevcut uygulamaları gözden geçirmek için bir ekip topladı. 1995 yılında BSI Grubu , BS 7799'un ilk versiyonunu yayınladı . BS 7799'un başlıca yazarlarından biri, 1993'ün başında, "DTI, yedi farklı sektörden bir grup endüstri temsilcisini hızla bir araya getirmeye karar verdi: Shell ([David Lacey] ve Les Riley), BOC Group (Neil Twist). ), BT (Dennis Willets), Marks & Spencer (Steve Jones), Midland Bank (Richard Hackworth), Nationwide (John Bowles) ve Unilever (Rolf Moulton)." David Lacey, Donn B. Parker'ın "bir dizi bilgi güvenliği denetimi oluşturma orijinal fikrine" sahip olduğunu ve 1980'lerin sonunda "I-4 Bilgi Sistemi" için "yaklaşık yüz temel denetimden oluşan bir koleksiyon" içeren bir belge ürettiğini belirtir. Tasarladığı ve kurduğu güvenlik çemberi.
Yayınlanmış standartlar
"Bilgi teknolojisi - güvenlik teknikleri" ile ilgili yayınlanan ISO27K standartları şunlardır:
- ISO/IEC 27000 — Bilgi güvenliği yönetim sistemleri — Genel bakış ve sözlük
- ISO/IEC 27001 — Bilgi teknolojisi — Güvenlik Teknikleri — Bilgi güvenliği yönetim sistemleri — Gereksinimler. Standardın 2013 sürümü, diğer ISO standartlarının diğer yönetim sistemlerini belirttiği gibi aynı resmileştirilmiş, yapılandırılmış ve özlü bir şekilde bir bilgi güvenliği yönetim sistemini belirtir.
- ISO/IEC 27002 — Bilgi güvenliği kontrolleri için uygulama kuralları (esas olarak, BGYS aracılığıyla yönetilebilecek bilgi güvenliği kontrollerinin ayrıntılı bir kataloğu)
- ISO/IEC 27003 — Bilgi güvenliği yönetim sistemi uygulama kılavuzu
- ISO/IEC 27004 — Bilgi güvenliği yönetimi — İzleme, ölçme, analiz ve değerlendirme
- ISO/IEC 27005 — Bilgi güvenliği risk yönetimi
- ISO/IEC 27006 — Bilgi güvenliği yönetim sistemlerinin denetimini ve belgelendirmesini sağlayan kuruluşlar için gereklilikler
- ISO/IEC 27007 — Bilgi güvenliği yönetim sistemleri denetimi için yönergeler ( yönetim sisteminin denetimine odaklanmıştır)
- ISO/IEC TR 27008 — BGYS kontrolleri hakkında denetçiler için rehber (bilgi güvenliği kontrollerini denetlemeye odaklı)
- ISO/IEC 27009 — Esasen, ISO27K standartları için sektöre/endüstriye özel varyantlar veya uygulama yönergeleri geliştiren komite için dahili bir belge
- ISO/IEC 27010 — Sektörler arası ve kuruluşlar arası iletişim için bilgi güvenliği yönetimi
- ISO/IEC 27011 — Telekomünikasyon kuruluşları için ISO/IEC 27002'ye dayalı bilgi güvenliği yönetimi yönergeleri
- ISO/IEC 27013 — ISO/IEC 27001 ve ISO/IEC 20000-1'in entegre uygulanmasına ilişkin kılavuz
- ISO/IEC 27014 — Bilgi güvenliği yönetişimi. (Mahncke, bu standardı Avustralya e-sağlık bağlamında değerlendirmiştir.)
- ISO/IEC TR 27015 — Finansal hizmetler için bilgi güvenliği yönetimi yönergeleri (artık geri çekilmiştir)
- ISO/IEC TR 27016 — bilgi güvenliği ekonomisi
- ISO/IEC 27017 — Bulut hizmetleri için ISO/IEC 27002'ye dayalı bilgi güvenliği kontrolleri için uygulama kuralları
- ISO/IEC 27018 — Kişisel olarak tanımlanabilen bilgilerin (PII) genel bulutlarda PII işlemcileri olarak işlev görmesine yönelik uygulama kodu
- ISO/IEC 27019 — Enerji endüstrisinde proses kontrolü için bilgi güvenliği
- ISO/IEC 27021 — Bilgi güvenliği yönetim sistemleri uzmanları için yeterlilik gereksinimleri
- ISO/IEC TS 27022 — Bilgi güvenliği yönetim sistemi süreçleri hakkında kılavuz - Geliştirme aşamasında
- ISO/IEC TR 27023 — ISO/IEC 27001 ve ISO/IEC 27002'nin gözden geçirilmiş sürümlerinin eşlenmesi
- ISO/IEC 27031 — İş sürekliliği için bilgi ve iletişim teknolojisine hazır olma yönergeleri
- ISO/IEC 27032 — Siber güvenlik kılavuzu
- ISO/IEC 27033 — BT ağ güvenliği
- ISO/IEC 27033-1 — Ağ güvenliği — Bölüm 1: Genel bakış ve kavramlar
- ISO/IEC 27033-2 — Ağ güvenliği — Bölüm 2: Ağ güvenliğinin tasarımı ve uygulanması için yönergeler
- ISO/IEC 27033-3 — Ağ güvenliği — Bölüm 3: Referans ağ oluşturma senaryoları — Tehditler, tasarım teknikleri ve kontrol sorunları
- ISO/IEC 27033-4 — Ağ güvenliği — Bölüm 4: Güvenlik ağ geçitlerini kullanarak ağlar arasındaki iletişimin güvenliğini sağlama
- ISO/IEC 27033-5 — Ağ güvenliği — Bölüm 5: Sanal Özel Ağlar (VPN'ler) kullanarak ağlar arasında iletişimin güvenliğini sağlama
- ISO/IEC 27033-6 — Ağ güvenliği — Bölüm 6: Kablosuz IP ağ erişiminin güvenliğini sağlama
- ISO/IEC 27034-1 — Uygulama güvenliği — Bölüm 1: Uygulama güvenliği kılavuzu
- ISO/IEC 27034-2 — Uygulama güvenliği — Bölüm 2: Organizasyon normatif çerçevesi
- ISO/IEC 27034-3 — Uygulama güvenliği — Bölüm 3: Uygulama güvenliği yönetim süreci
- ISO/IEC 27034-4 — Uygulama güvenliği — Bölüm 4: Doğrulama ve doğrulama (geliştirme aşamasında)
- ISO/IEC 27034-5 — Uygulama güvenliği — Bölüm 5: Protokoller ve uygulama güvenliği kontrolleri veri yapısı
- ISO/IEC 27034-5-1 — Uygulama güvenliği — Bölüm 5-1: Protokoller ve uygulama güvenliği kontrolleri veri yapısı, XML şemaları
- ISO/IEC 27034-6 — Uygulama güvenliği - Bölüm 6: Vaka çalışmaları
- ISO/IEC 27034-7 — Uygulama güvenliği — Bölüm 7: Güvence tahmin çerçevesi
- ISO/IEC 27035-1 — Bilgi güvenliği olay yönetimi - Bölüm 1: Olay yönetiminin ilkeleri
- ISO/IEC 27035-2 — Bilgi güvenliği olay yönetimi - Bölüm 2: Olay müdahalesini planlamak ve hazırlamak için yönergeler
- ISO/IEC 27035-3 — Bilgi güvenliği olay yönetimi — Bölüm 3: BİT olay müdahale işlemleri için yönergeler
- ISO/IEC 27035-4 — Bilgi güvenliği olay yönetimi — Bölüm 4: Koordinasyon (geliştirme aşamasında)
- ISO/IEC 27036-1 - Tedarikçi ilişkileri için bilgi güvenliği - Bölüm 1: Genel bakış ve kavramlar
- ISO/IEC 27036-2 - Tedarikçi ilişkileri için bilgi güvenliği - Bölüm 2: Gereksinimler
- ISO/IEC 27036-3 - Tedarikçi ilişkileri için bilgi güvenliği - Bölüm 3: Bilgi ve iletişim teknolojisi tedarik zinciri güvenliği için yönergeler
- ISO/IEC 27036-4 — Tedarikçi ilişkileri için bilgi güvenliği — Bölüm 4: Bulut hizmetlerinin güvenliği için yönergeler
- ISO/IEC 27037 — Dijital kanıtların tanımlanması, toplanması, elde edilmesi ve korunması için yönergeler
- ISO/IEC 27038 — Dijital Belgelerde Dijital redaksiyon için Spesifikasyon
- ISO/IEC 27039 — İzinsiz giriş önleme
- ISO/IEC 27040 — Depolama güvenliği
- ISO/IEC 27041 — Soruşturma güvencesi
- ISO/IEC 27042 — Dijital kanıtları analiz etme
- ISO/IEC 27043 — Olay araştırması
- ISO/IEC 27050-1 — Elektronik keşif — Bölüm 1: Genel bakış ve kavramlar
- ISO/IEC 27050-2 — Elektronik keşif — Bölüm 2: Elektronik keşfin idaresi ve yönetimi için kılavuz
- ISO/IEC 27050-3 — Elektronik keşif — Bölüm 3: Elektronik keşif için uygulama kuralları
- ISO/IEC TS 27110 — Bilgi teknolojisi, siber güvenlik ve gizlilik koruması — Siber güvenlik çerçevesi geliştirme yönergeleri
- ISO/IEC 27701 — Bilgi teknolojisi — Güvenlik Teknikleri — Bilgi güvenliği yönetim sistemleri — Gizlilik Bilgi Yönetim Sistemi (PIMS).
- ISO 27799 — ISO/IEC 27002 kullanarak sağlıkta bilgi güvenliği yönetimi (ISO/IEC 27002 kullanarak kişisel sağlık bilgilerinin nasıl korunacağı konusunda sağlık sektörü kuruluşlarına rehberlik eder)
hazırlık aşamasında
- Dijital adli tıp ve siber güvenlik gibi konuları kapsayan diğer ISO27K standartları hazırlık aşamasındayken , yayınlanan ISO27K standartları yaklaşık beş yıllık bir döngüde rutin olarak gözden geçirilir ve güncellenir.
Ayrıca bakınız
- ISO/IEC JTC 1/SC 27 - BT Güvenlik teknikleri
- BS 7799 , ISO/IEC 17799, ISO/IEC 27002 ve ISO/IEC 27001'in türetildiği orijinal İngiliz Standardı
- Belge yönetim sistemi
- Sarbanes-Oxley Kanunu
- Bilgi Güvenliği Forumu tarafından yayınlanan İyi Uygulama Standardı