ISO/IEC 27002, Uluslararası Standardizasyon Örgütü (ISO) ve Uluslararası Elektroteknik Komisyonu (IEC) tarafından Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği kontrolleri için uygulama kuralları başlıklı bir bilgi güvenliği standardıdır.
ISO/IEC 27000 serisi standartlar, Shell tarafından 1990’ların başında bir Birleşik Krallık hükümeti girişimine bağışlanan bir kurumsal güvenlik standardından türetilmiştir. Shell standardı, 1990’ların ortalarında İngiliz Standardı BS 7799 olarak geliştirildi ve 2000’de ISO/IEC 17799 olarak kabul edildi. ISO/IEC standardı 2005’te revize edildi ve 2007’de ISO/IEC 27002 olarak yeniden numaralandırıldı. Diğer ISO/IEC 27000 serisi standartlarla 2013’te ve şimdi 2022’de yeniden revize edildi. Daha sonra 2015’te, ISO/IEC 27002’de tam olarak tanımlanmayan bulut için ek güvenlik kontrolleri önermek amacıyla bu standartta ISO/IEC 27017 oluşturuldu.
ISO/IEC 27002, bilgi güvenliği yönetim sistemlerinin (BGYS) başlatılmasından, uygulanmasından veya sürdürülmesinden sorumlu olanlar tarafından kullanılmak üzere bilgi güvenliği kontrollerine ilişkin en iyi uygulama önerilerini sağlar. Bilgi güvenliği, standart içinde CIA( gizlilik, bütünlük ve kullanılabilirlik) üçlüsü bağlamında tanımlanmıştır:
ISO/IEC 27002:2013 için Anahat
Standart 5 giriş bölümü ile başlar:
- Tanıtım
- Kapsam
- Normatif referanslar
- Terimler ve tanımlar
- Bu standardın yapısı
Bunları 14 ana bölüm takip eder:
- Bilgi Güvenliği Politikaları
- Bilgi Güvenliği Organizasyonu
- İnsan Kaynakları Güvenliği
- Varlık Yönetimi
- Giriş kontrolü
- Kriptografi
- Fiziksel ve çevresel güvenlik
- Operasyon Güvenliği- prosedürler ve sorumluluklar, Kötü amaçlı yazılımlardan koruma, Yedekleme, Günlüğe kaydetme ve izleme, Operasyonel yazılımın kontrolü, Teknik güvenlik açığı yönetimi ve Bilgi sistemleri denetim koordinasyonu
- İletişim güvenliği – Ağ güvenliği yönetimi ve Bilgi aktarımı
- Sistem edinme, geliştirme ve bakım – Bilgi sistemlerinin güvenlik gereksinimleri, Geliştirme ve destek süreçlerinde güvenlik ve Test verileri
- Tedarikçi ilişkileri – Tedarikçi ilişkilerinde ve Tedarikçi hizmet sunum yönetiminde bilgi güvenliği
- Bilgi güvenliği olay yönetimi – Bilgi güvenliği olaylarının yönetimi ve iyileştirmeler
- İş sürekliliği yönetiminin bilgi güvenliği yönleri – Bilgi güvenliği sürekliliği ve Fazlalıklar
- Uyumluluk – Yasal ve sözleşmesel gerekliliklere uygunluk ve Bilgi güvenliği incelemeleri
Her bölümde, bilgi güvenliği kontrolleri ve amaçları belirlenmiş ve ana hatlarıyla belirtilmiştir. Bilgi güvenliği kontrolleri genellikle bu hedeflere ulaşmanın en iyi uygulama araçları olarak kabul edilir. Kontrollerin her biri için uygulama kılavuzu sağlanır.
