ISO 27001 ve Cumhurbaşkanlığı Bilgi ve İletişim Rehberi Arasındaki Farkı Anlamak
Bilgi güvenliği ve gizliliği ancak standartların ve en iyi uygulama çözümlerinin hayata geçirilmesi ile sağlanabilir. Bu yazıda, ISO 27001 ve Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi’nin (Rehber) kurumların ve kritik altyapı sektörlerinin güvenlik seviyesini iyileştirmeye nasıl katkı sağlayacağını, arasındaki farkları, ortak yönleri ve bağımlılıkları açıklanmaktadır.
ISO 27001 Nedir?
ISO 27001, bilginin gizliliği, bütünlüğü ve erişilebilirliğini risk yönetimi prosesini uygulayarak muhafaza edilmesi amaçlamaktadır. ISO 27001, kurumların bilgi güvenliği yönetim sistemi için bir çerçeve sunmakta ve bilgi güvenliğine sistematik bir yaklaşım getirmektedir.
ISO 27001, kuruluşun önemli bilgilerinin sistematik bir şekilde yönetilebilmesi için gerekli bir dizi politika ve prosedürlerden oluşur. BGYS’nin nihai amacı, güvenlik ihlallerinin etkilerini proaktif bir şekilde sınırlandırılarak riskin azaltılması ve iş sürekliliğinin sağlanmasıdır.
Bu standart, bilgi güvenliği yönetimi için en iyi uygulamaları temsil eder ve bunları uygulayan kuruluşların aşağıdakiler de dahil olmak üzere varlıkların güvenliğini ve gizliliğini sağlar.
ISO 27001, veri korumanın üç temel hedefini sağlamaya odaklanır:
- Gizlilik – Yalnızca yetkili kullanıcılar verilere erişebilir.
- Bütünlük – Yalnızca yetkili kullanıcılar bilgileri düzenleyebilir.
- Erişilebilirlik – Bilgilere yetkili kullanıcılar tarafından erişilebilir.
ISO 27001 BGYS, Uluslararası Elektroteknik Komisyonu ve uluslararası standartlar geliştiren bağımsız bir sivil toplum kuruluşu olan Uluslararası Standardizasyon Örgütü (ISO) tarafından ortaklaşa yayınlandı.
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi Nedir?
Kurumsal ve kişisel bilgi varlıklarının korunması, siber saldırılarının engellenmesi, bilgi güvenliği risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü ve erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin ve gizliliğinin sağlanması amaçlanmıştır. Bunun sağlanması için rehberde asgari güvenlik tedbirlerinin belirlenmiş olup uygulanmasını hedeflemiştir.
Rehber, veri korumanın 8 temel hedefini sağlamaya odaklanır:
Varlık gruplarının kritikliklerinin belirlenmesinde gizlilik, bütünlük ve erişilebilirlik boyutlarının yanında ISO 27001’den farklı olarak etki alanı açısından da değerlendirme yapmaktadır.
Etki alanı ile ilgili boyutlar:
- Bağımlı Varlıklar: Varlık grubuna bağımlı olan diğer varlıklar üzerindeki etkisi
- Etkilenen Kişi Sayısı: Bilgi güvenliği ihlal olayı meydana geldiğinde etkilenebilecek kişi sayısı
- Kurumsal Sonuçlar: Bilgi güvenliği ihlal olayı meydana geldiğinde karşılaşılacak kurumsal durum
- Sektörel Etki: Varlık grubunun hizmet verdiği sektöre etkisi
- Toplumsal Sonuçlar: Bilgi güvenliği ihlal olayı meydana geldiğinde karşılaşılacak toplumsal durum
ISO 27001 ve Rehber Arasındaki Fark Nedir?
ISO 27001 ile Rehber arasında birkaç önemli fark vardır fakat asıl fark kapsamında yatmaktadır. ISO 27001, kurumların verilerini nasıl yönetmeleri gerektiğine dair genel bir çerçeve sağlamaktadır. Buna karşılık, Rehber, bir kurumun temel veri güvenliği tedbirlerinin uygulanmasına dar bir çerçevede odaklanmaktadır.
Başka bir deyişle, ISO 27001 tamamen bir BGYS geliştirmek ve sürdürmekle ilgiliyken Rehber ise yalnızca belirlenmiş güvenlik tedbirlerin uygulanma durumunu denetler ve eksiklikler ile ilgili yol haritasının belirlenmesini ister.
Ek olarak, ISO 27001 uluslararası bilgi güvenliği standardıdır ve denetim sonucunda sertifika verilir. Rehber ise bağımsız iç denetçiler veya TSE tarafından yetkilendirilmiş firma ve personeller tarafından yürütülür.
Rehber’den farklı olarak ISO 27001, her sektör ve coğrafi konum için evrensel standartları kullanan ve belirli kurallara tabi sertifikasyondur. Rehber ise bir sertifikasyon sunmamaktadır.
ISO 27001 ve Rehber’in Ortak Yönleri Nedir?
İkisi arasındaki bazı önemli farklılıklara rağmen, hem ISO 27001 hem de Rehber, kurumların, varlıklarının bilgi güvenliğini ve gizliliğini en iyi uygulamalar ve endüstri standartları doğrultusunda değerlendirmeleri ve iyileştirmeleri için önemli kaynaklardır.
Her ikisi de gizlilik, bütünlük ve erişilebilirlik dahil olmak üzere bilgi güvenliğinin temel alanlarını kapsar. Ayrıca, iki çerçeve arasında önemli ölçüde örtüşme olduğundan, birinde uyumluluk sağlamanız, diğerinin uyumluluğunu da karşılama yolunda olduğunuz anlamına gelebilir.
ISO 27001 ve Rehber Birlikte Çalışabilir mi?
Kesinlikle. ISO 27001 ve Rehber, tamamlayıcı gerekliliklerle örtüşen standartlara sahiptir. ISO 27001, kurumların sağlam BGYS oluşturmasına yardımcı olurken, Rehber de boşlukları doldurabilir ve sürekli iyileştirme hedefleyen sisteme katkı sağlayabilir.
ISO 27001, Rehber’e Eşdeğer mi?
Hayır. ISO 27001, bir BGYS için kapsamlı gereksinimleri olan evrensel bir standartlar dizisidir. Rehber ise ülkemizdeki kamu kurum kuruluşlarının ve kritik altyapı sektörlerinin ihtiyaçlarına ve hedeflerine göre özelleştirilebilen bir sistem sunmaktadır.
Rehber ve ISO 27001 Yasal Bir Gereklilik midir?
ISO 27001 bazı kritik sektörler için zorunlu olup, Rehber ise, tüm kamu kurum ve kuruluşları ve kritik altyapı sektörleri için zorunludur.
Aynı Anda hem ISO 27001 Sertifikasına ve hem de Rehber Uyumluluğuna Sahip Olmalı mısınız?
Evet. Aslında, ISO 27001 sertifikasına ve Rehber uyumluğuna sahip olmak, yönetim sistemlerinizi, kontrollerinizi ve tedbirlerinizi iyileştirmenin en iyi bir yoludur.
Sonuç:
Rehber’in 661 adet olan tedbir maddesinin yaklaşık 170’inde süreç, politika, prosedür, talimat, kayıt vb. gereksinimleri belirtilmektedir. Bu gereksinimler tedbirlerden bağımsız olarak sınıflandırılma yapılmamıştır.
ISO 27001’de ise bilgi güvenliğini yönetim sistemini tasarlamak, uygulamaya geçirmek, sürdürmek ve iyileştirmek hususları daha sistematik olarak ele alınmıştır.
Bu kapsamda her iki sistemin birbirine ihtiyacı olduğu gözükmektedir. Kurumlar ve kritik altyapı sektörleri mevcut ISO 27001 kapsamında uyguladıkları kontrollere, Rehber’de yer alan güvenlik tedbirlerini de ekleyerek daha güçlü bir bilgi güvenliği yönetim sistemi elde edebileceklerdir.
Rehber, ISO 27001’deki risk analiz faaliyetleri sonucunda uygulanacak kontrollere, varlık grubu özelinde tedbirler sunarak daha güvenilir ve tutarlı bir bilgi güvenliği yönetim sistemi kurulmasını sağlayabilir.
Bunlarla birlikte Rehber’de yer alan denetim soruları ISO 27001 kapsamındaki iç tetkik faaliyetlerini de desteklemektedir. Böylece kurum ve kuruluşlar ve kritik altyapı sektörleri için daha güvenli bir sistem kurulmasına yardımcı olur. Bununla ilgili olarak ISO 27001 kontrolleri ve Rehber tedbirler eşleştirme tablosu sunulmuştur.
Sonuç olarak, hem ISO 27001 sertifikasına ve hem de Rehber uyumluğuna sahip olmak, yönetim sistemlerinizi, kontrollerinizi ve tedbirlerinizi iyileştirmenin ve geliştirmenin en iyi bir yoludur.