ISO 27000 Ailesi günümüzde önemli yer edinmiş standartlar serisidir. Genel olarak Bilgi Güvenliği ve denetim açısından ISO 27001 bilinir. Fakat 27000 ailesi birçok konuyu kapsayan ve detaylı bir şekilde inceleyen geniş bir ailedir.

ISO 27000 ailesinin tam ismi ISO/IEC 27000 olarak geçer ve ISO (International Organization for Standardization) ve IEC (International Electrotechnical Commission) tarafından yayımlanır.

ISO ailesinde bilgi güvenliği açısından önemli iki kontrol vardır. Bunlar ISO/IEC 27001 ve 27002 dir. Bunun gibi buna benzer birçok standart olmasına rağmen en fazla ISO 27001 bilinir. Bunun sebebi ISO 27001 sertifikalanabilir fakat ISO 27002 veya ailedeki diğer ürünler sertifikalanamaz.

ISO 27001 in tam ismi ISO/IEC 27001:2005 dir ve 2005 yılında yayımlanmıştır. Sonundaki rakam anlaşıldığı üzere yayım tarihini belirler.

Bilgi Güvenliğinde önemli bir yeri olmasına rağmen ISO 27002 nin sertifikalanmamasının sebebi bir yönetim sistemi olmamasıdır. ISO 27001 ise bir yönetim standartı ve sertifikasıdır. ISO 27001 Bilgi Güvenliği Yönetim Sistemini tanımlar (Information Security Management Systems – ISMS).

Buradaki yönetim sistemi anlamı bilgi güvenliği planlanan, uygulanan, monitör edilen, gözden geçirilen ve geliştirilen bir sistemdir. Yani yönetim ciddi bir sorumluluktur ve sıkı denetimler ile incelenip uygulanması gerekir. Tüm bu yukarıdaki bileşenler ISO 27001 de açıklanmıştır.

Fakat bu maddeleri ISO 27002 de bulamazsınız.

ISO 27001 ve 27002 arasındaki önemli farklardan birisi ise ISO 27002 hangi kontrollerin hangi organizasyonlara uygun olduğunu belirtmez. ISO 27001 ise Risk Yönetimi Kısmındaki tanımlar ile hangi kontrollerin uygulanıp uygulanamayacağını açıklar.

Peki Neden hem ISO 27001 ve 27002 veya diğer aile ürünleri mevcuttur. Tüm kontrol ve denetimlerin bir arada tek bir standartta bulunması standartın gerçek hayattaki uygulaması oldukça güçleştirir.

ISO 27000 deki her bir aile üyesinin odaklandığı spesifik bir konu vardır. Eğer firmanızda güvenli bir sistem yönetimi oluşturmak ve Bilgi Güvenliği için bir altyapı oluşturmak istiyorsanız ISO 27001 kullanmalısınız. Bilgi Güvenliği kontrollerini uygulamak istiyorsanız ISO 27002 kullanmalısınız. Veya ISO 27001 de tanımlanan Risk Yönetimini yapmak istiyorsanız ISO 27005 kullanmalısınız.

ISO 27001 size Bilgi Güvenliğindeki büyük resmi verir. ISO 27001 de anlatılan konuları uygulamak için ise ailenin diğer üyelerini kullanırsınız.

ISO ailesinin Diğer aile üyelerini aşağıda liste olarak sağlıyorum. Bu standartlar ile ilgili detaylı bilgileri aşağıdaki linklerden edilebilirsiniz.

Referanslar

www.mshowto.org