ISO 27000 Standartları Nelerdir?

Günümüzde ISO 27000 önemli bir yere sahiptir. Kullanıcıların genel olarak Bilgi Güvenliği olarak bildiği ISO 27001‘dir. Ancak 27000 ailesi bütün konuları içerisinde barındıran geniş bir ailedir.

Aslında ISO 27000 ailesinin adı tam olarak ISO/IEC 27000 olarak geçmektedir. International Organization for Standardization tarafından yayımlanmaktadır. ISO ailesi içerisinde bilgi güvenliği olarak iki kontrol bulunmaktadır. Bunlar sırası ile ISO/IEC 27001 ve 27002’dir. Buna benzer birçok standart bulunur ama en çok bilinen standart ISO 27001‘dir. Bunun da sebebi ISO 27001 sertifikalanabilir ancak 27002 ve diğer standartlar sertifikalanamamasıdır. ISO 27001 ilk olarak 2005 yılında yayımlanmıştır.

Buna istinaden ISO 27002‘nin bilgi güvenliği için önemli bir yeri olmasına rağmen sertifikalanmamasının sebebi bir yönetim sistemi oluşudur. ISO 27001 ise bir bilgi güvenliği yönetim standardı ve aynı zamanda sertifikasıdır. Dolayısıyla ISO 27001, bilgi güvenliği yönetim sistemini tanımlamaktadır. Yönetim sisteminin anlamı, bilgi güvenliği planlanan, uygulanan, monitör edilen, geliştirilen ve gözden geçirilen bir sistemdir. Kısacası çok ciddi bir sorumluluk demektir. Sıkı denetimler ile yapılarak uygulanması gerekmektedir. Bu maddelerin tümü ISO 27001 üzerinde açıklanmıştır. Ancak aynı maddeleri ISO 27002 üzerinde bulamazsınız.

Eğer ISO 27001 ve ISO 27002 arasındaki farklara gelecek olursak, ISO 27002 size hangi kontrollerin hangi organizasyonlara uygun olduğu hakkında bilgi vermemektedir. Buna karşılık ISO 27001 içerisinde risk yönetimi kısmında, hangi kontrollerin uygulanıp uygulanmaması gerektiğini belirtmektedir. ISO 27001 ve 27002 olarak ayrı ayrı gruplandırılmalarının sebebi ise, tüm denetim ve kontrollerin aynı anda uygulanmasının zor olacağından dolayıdır.

Şunu bilmekte fayda olduğunu düşünüyoruz. ISO 27000 üzerindeki her bir üyenin odaklanmış olduğu farklı bir konu bulunmaktadır. Örnek verecek olursak, sizler eğer şirketinizde bilgi güvenliği için bir altyapı oluşturmak ve güvenli bir sistem yönetimi oluşturmak istiyorsanız ISO 27001 kullanmanız gerekmektedir. Eğer bilgi güvenliği kontrollerini uygulamak isterseniz ISO 27002 kullanmanız gerekmektedir. Eğer ki ISO 27001 üzerinde tanımlanmış olan risk yönetimini uygulamak isterseniz ISO 27005 kullanmanız gerekmektedir.

Kısacası şunu söylemek mümkün olacaktır. ISO 27001 bilgi güvenliği içerisindeki büyük anlamı ifade eder. Eğer içerisindeki konuları uygulamaya geçirmek isterseniz ISO 27000 ailesinin diğer ürünlerini kullanmanız gerekecektir. Son olarak eğer bu tip standartlar oluşturmak isterseniz ISO 27001 sertifikalı iş arkadaşlarınıza ihtiyacınız olacaktır.