ISO/IEC 27017 Bulut Hizmetleri İçin Bilgi Teknolojisi Güvenlik Teknikleri

ISO/IEC 27017, ISO/IEC 27002’nin mevcut güvenlik kontrolleri üzerine inşa edilen ve Bulut Hizmetlerinde Bilgi Güvenliği kapsayan uluslararası bir ISO standardıdır.

Bir diğer bulut güvenliğine yönelik ISO/IEC 27018 standardı ile ISO/IEC 27017 standardının en temel farkı, ISO/IEC 27018 Bulut hizmetlerindeki kişisel verilerin korunmasına yönelik kontrolleri yorumlarken, ISO/IEC 27017 ise temel bilişim güvenliği kontrollerini ele alır.

ISO/IEC 27017 Standardı, SaaS (Software as a Service), PaaS (Platform as a Service), IaaS (Infrastructure as a Service) konseptlerinden herhangi birisi ile hizmet veren Bulut servis sağlayıcıları için ideal bir uluslararası standarttır. ISO/IEC 27017 Sertifikasyonu SaaS, PaaS veya IaaS hizmeti sunan Bulut servis sağlayıcıları için güvence sağlar.

ISO/IEC 27017 Neden Önemlidir?

ISO/IEC 27017, bulut bilişim hizmetlerini güvenli bir şekilde kullanmak ve bilgi güvenliğini sağlamak isteyen organizasyonlar için önemlidir. Bu standart, riskleri yönetmek, uyumluluk sağlamak ve en iyi uygulamaları takip etmek için geliştirilmiş bir standarttır.

1. Bilgi Güvenliği Sağlama: Bulut bilişim, verilerin üçüncü taraf sağlayıcılarda depolandığı ve işlendiği bir ortamda gerçekleşir. Bu durum, geleneksel bilişimden farklı güvenlik riskleri doğurabilir. ISO/IEC 27017, bulut bilişim ortamında bilgi güvenliğini sağlamak için gereken kontrolleri ve en iyi uygulamaları tanımlar.

1. Risk Yönetimi: ISO/IEC 27017, bulut hizmetlerini kullanırken ortaya çıkabilecek riskleri anlamak ve yönetmek için bir çerçeve sunar. Organizasyonlar, bu standart sayesinde bulut bilişimle ilişkili riskleri belirleyebilir, değerlendirebilir ve uygun güvenlik önlemlerini alabilirler.

1. Veri Gizliliği ve Uyumluluk: Birçok sektörde veri gizliliği yasaları ve düzenlemeleri bulunmaktadır. ISO/IEC 27017, bu düzenlemelere uygunluk sağlamak için gereken kontrolleri içerir. Bu nedenle, veri gizliliğini koruma ve uyumluluk sağlama açısından önemlidir.

1. Müşteri ve Hizmet Sağlayıcı Sorumlulukları: Bulut hizmetlerinde sorumluluk paylaşımı önemlidir. ISO/IEC 27017, müşteri ve hizmet sağlayıcısının hangi güvenlik kontrollerinden sorumlu olduğunu netleştirir. Bu sayede, taraflar arasında anlaşmazlıkları ve belirsizlikleri azaltır.

1. En İyi Uygulamaları Tanımlama: ISO/IEC 27017, bulut bilişimle ilgili en iyi güvenlik uygulamalarını tanımlar. Bu sayede organizasyonlar, bulut hizmetlerini güvenli bir şekilde kullanmak ve güvenlik açısından en iyi sonuçları elde etmek için rehberlik eden bir çerçeve sunar.
2. Rekabet Avantajı: ISO/IEC 27017’ye uyum, organizasyonlara rekabet avantajı sağlayabilir. Müşteriler, verilerinin güvenli bir şekilde işlendiğinden emin olmak isteyecektir. ISO/IEC 27017 sertifikasına sahip olmak, müşterilere ve paydaşlara güven verme konusunda yardımcı olabilir.

ISO/IEC 27017 Hangi Kurumlar Uygulamalıdır?

ISO/IEC 27017, bulut bilişim hizmetlerini kullanırken bilgi güvenliğini sağlamak amacıyla geliştirilmiş bir standarttır. Bu standart, bilgi güvenliği risklerini yönetmek ve bulut hizmet sağlayıcılarıyla müşteriler arasındaki sorumlulukları netleştirmek için tasarlanmıştır. ISO/IEC 27017, özellikle bulut bilişim hizmetlerinin kullanıldığı durumlarda uygulanması önerilir. Bu sertifika, müşterilerine güvenli bulut hizmetleri sağlayan veya sağlamak isteyen tüm şirketler için sahip olunması gereken bir sertifikadır. ISO/IEC 27017 bilgi güvenliği kontrollerini uyguladıklarını kanıtlar.

1. Bulut Hizmet Kullanıcıları: ISO/IEC 27017, bulut hizmetlerini kullanan organizasyonlar için önemlidir. Bu organizasyonlar, müşteri olarak bulut hizmetlerinden yararlanırken veri güvenliğini ve gizliliğini sağlamak isteyenlerdir. Özellikle müşteriler, bulut hizmet sağlayıcısıyla paylaşılan sorumlulukları ve güvenlik kontrollerini anlamalı ve uygulamalıdır.

1. Bulut Hizmet Sağlayıcıları: ISO/IEC 27017, bulut hizmet sağlayıcıları için de önemlidir. Hizmet sağlayıcıları, müşterilere güvenli bir bulut deneyimi sunmak ve veri güvenliğini sağlamak isteyenlerdir. Bu standart, sağlayıcıların güvenlik önlemlerini ve en iyi uygulamalarını belirlemelerine yardımcı olur.

1. Bilgi Güvenliği Profesyonelleri: ISO/IEC 27017, bilgi güvenliği uzmanları için bir rehber niteliği taşır. Bu profesyoneller, organizasyonlarının bulut hizmetlerini güvenli bir şekilde kullanmasına yardımcı olmak için ISO/IEC 27017’nin sağladığı yönergeleri anlamalı ve uygulamalıdır.

1. Yöneticiler ve Karar Vericiler: Organizasyon yöneticileri ve karar vericileri, ISO/IEC 27017’nin sağladığı bilgileri inceleyerek bulut bilişim hizmetlerini kullanırken ortaya çıkabilecek riskleri anlamalı ve bu riskleri yönetmeye yönelik stratejiler geliştirmelidir.

ISO/IEC 27017 Denetimi geçirmek için şartlar nelerdir?

ISO/IEC 27017 standardı, ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi’nin bulut bilişim ortamına uyarlanmış bir versiyonudur. ISO/IEC 27001 BGYS Belgelendirmesine sahip olmanız yada iki standartta birlikte belgelendirme denetimini gerçekleştirmeniz gerekmektedir. Denetim yapısını ve gereksinimlerini belirlerken ISO/IEC 27001 standardının temel ilkelerine dayanır.

1. Kapsam Belirlemesi: İlk olarak, denetimin hangi süreçleri, sistemleri ve hizmetleri kapsayacağını belirlemeniz gerekecektir. ISO/IEC 27017’nin gereksinimlerini belirlediğiniz kapsama uyarlayarak, denetimi geçmek istediğiniz alanları belirleyin.

1. Risk Değerlendirmesi: Bulut bilişim hizmetlerine ilişkin potansiyel güvenlik risklerini belirlemek için bir risk değerlendirmesi yapmalısınız. Bu, riskleri tanımlamanıza, değerlendirmenize ve öncelik vermenize yardımcı olacaktır.

1. Güvenlik Kontrollerinin Uygulanması: ISO/IEC 27017, bulut bilişim hizmetlerinde uygulanması gereken bir dizi güvenlik kontrolünü içerir. Bu kontrolleri gereksinimlerinize göre uygulamanız ve yönetmeniz gerekecektir. Bu kontroller, veri gizliliği, güvenlik yönetimi, iş sürekliliği ve daha fazlasını kapsar.

1. Belgeleme: Uyguladığınız güvenlik kontrollerini belgelemeli ve bu belgeleri saklamalısınız. Bu, denetim sırasında ve sonrasında gereksinimlere uygunluğunuzu göstermek için önemlidir.

1. İç Denetimler: Düzenli iç denetimler gerçekleştirmelisiniz. Bu, güvenlik kontrollerinin etkinliğini ve sürekli uygulandığını doğrulamanıza yardımcı olacaktır.

1. Eğitim ve Farkındalık: Personelinize ISO/IEC 27017 gereksinimleri hakkında eğitim vermelisiniz. Güvenlik farkındalığını artırmak için eğitim programları oluşturmalı ve personelin bu gereksinimlere nasıl uyduğunu anlamalarını sağlamalısınız.

1. Harici Denetim: ISO/IEC 27017 gereksinimlerine uygunluğunuzu değerlendirmek amacıyla harici bir denetim yapmanız gerekecektir. Bu denetim, bağımsız bir denetçi tarafından gerçekleştirilir ve gereksinimlere uygunluğunuzu onaylar.

1. Sürekli İyileştirme: Denetimi geçtikten sonra bile sürekli iyileştirme çabalarınızı sürdürmelisiniz. Değişen tehditler ve teknolojik gelişmeleri göz önünde bulundurarak güvenlik kontrollerinizi güncellemeli ve geliştirmelisiniz.

ISO/IEC 27017 Geçerlilik Süresi Nedir?

ISO/IEC 27017 standardının geçerlilik süresi ISO/IEC 27001 ile aynı politikaya sahiptir. Yılda bir takip denetimi yaptırmanız gerekmektedir.

ISO/IEC 27017 ve ISO/IEC 27001 Arasındaki ilişkisi nedir?

ISO/IEC 27017, bulut bilişim hizmetlerinin güvenliğini sağlamak amacıyla geliştirilmiş bir standart olan ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi’nin (BGYS) bir uzantısıdır. ISO/IEC 27017, ISO/IEC 27001’in genel ilkelerini ve gerekliliklerini, bulut bilişim hizmetleri bağlamında daha spesifik hale getirir. ISO/IEC 27017 ve ISO/IEC 27001 birbirini tamamlayan standartlardır. ISO/IEC 27017, ISO/IEC 27001’in genel prensiplerini ve gerekliliklerini, bulut bilişim hizmetlerinin güvenliği bağlamında özelleştirir ve bu sayede organizasyonların bulut bilişimdeki güvenlik gereksinimlerini karşılamalarına yardımcı olur.

ISO/IEC 27001, bir organizasyonun bilgi varlıklarını ve bu varlıkların işlenmesini nasıl yöneteceğini belirleyen genel bir standarttır.

ISO/IEC 27017 ise bu genel prensipleri, bulut bilişim hizmetlerinin özellikleri ve riskleri ile bağlantılı olarak daha spesifik hale getirir. Yani ISO/IEC 27017, ISO/IEC 27001’in uygulanmasını ve gerekliliklerini bulut bilişim senaryolarına özelleştirerek açıklar.

Bulut Bilişim Kontrolleri:

ISO/IEC 27017, bulut bilişim hizmetlerine özgü güvenlik kontrollerini tanımlar. Bu kontroller, veri izolasyonu, paylaşılan sorumluluklar, fiziksel ve sanal güvenlik, veri transferi güvenliği gibi konuları içerir. ISO/IEC 27001’in gereklilikleri genel olmasına karşın, ISO/IEC 27017 bu gereklilikleri bulut bilişimdeki gerçek risklere ve senaryolara göre özelleştirir.

Uyum ve Entegrasyon:

ISO/IEC 27017, ISO/IEC 27001 BGYS ile entegre edilebilir. Bir organizasyon, ISO/IEC 27001 sertifikasyonuna sahipse ve bulut bilişim hizmetleri kullanıyorsa, ISO/IEC 27017’ye uyum sağlayarak bulut bilişim güvenliği de dahil olmak üzere genel bilgi güvenliği çerçevesini genişletebilir.

Sorumluluk Paylaşımı ve Anlaşmazlıklar:

ISO/IEC 27017, bulut hizmet sağlayıcıları ve müşterileri arasındaki sorumluluk paylaşımını netleştirir. Bu sayede hizmet sağlayıcı ve müşteri arasında oluşabilecek anlaşmazlıkların önüne geçmeye yardımcı olur.

Rehberlik:

ISO/IEC 27017, ISO/IEC 27001’i bulut bilişim bağlamında daha anlaşılır ve uygulanabilir hale getirir. Bulut bilişim hizmetlerini kullanan organizasyonlar, hem genel bilgi güvenliği gerekliliklerine uyum sağlamak hem de bulut özgü riskleri yönetmek için ISO/IEC 27017’yi kullanabilir.

CFECERT Size Nasıl Yardımcı Olabilir?

Bünyemizde olan CFE Academy ile Bilinçlendirme, Uygulama, İç Tetkikçi eğitimlerini alabilirsiniz. Bilgi dağarcığınızı geliştirmenizin yanında ISO/IEC 27001, ISO/IEC 27017, ISO/IEC  27018, ISO/IEC  27701 gibi standartlardan denetlenmek için ön başvuru formunu doldurarak bizlerden daha fazla bilgi edinebilirsiniz.

Eğitimlerimiz ve Belgelendirme hizmetlerimiz hakkında bizlere sales@cfecert.co.uk adresinden ulaşabilirsiniz.

ISO/IEC 27017 Bulut Hizmetleri İçin Bilgi Teknolojisi Güvenlik Teknikleri, Bilinçlendirme Eğitiminin İçeriği

ISO 27017’nin eğitim içeriği, bulut bilişim hizmetlerinin güvenliği konusunda bilgi sahibi olmanızı sağlamayı amaçlar. Bu eğitim genellikle bulut hizmet sağlayıcıları, güvenlik profesyonelleri ve organizasyonların bilgi güvenliği yöneticileri için tasarlanmıştır. ISO 27017 eğitimi, bulut bilişim güvenliği ile ilgili temel prensipleri ve en iyi uygulamaları kapsar.

1. Bulut Bilişim ve Güvenlik Temelleri:

• Bulut bilişim nedir, nasıl çalışır?
• Bulut bilişim hizmet modelleri (SaaS, PaaS, IaaS) ve dağıtım modelleri (genel, özel, karma) hakkında genel bilgi.

1. ISO/IEC 27017 Giriş:

• ISO/IEC 27017 standardının amacı ve önemi.
• ISO/IEC 27001 ve ISO/IEC 27002 ile ilişkisi.

1. Bulut Güvenliği Kontrolleri:

• ISO/IEC 27017’nin bulut bilişim güvenliği kontrollerini kapsayan bölümleri.
• Fiziksel güvenlik kontrolleri.
• Veri güvenliği ve gizliliği kontrolleri.
• İş sürekliliği ve felaket kurtarma kontrolleri.
• Kullanıcı yönetimi ve erişim kontrolleri.

1. Risk Yönetimi ve Uygulama:

• Risk değerlendirmesi ve risk yönetimi ilkeleri.
• ISO/IEC 27017 kontrollerinin organizasyonun bulut hizmet sağlayıcılarıyla çalışırken nasıl uygulandığı.
• Uygulama senaryoları ve örnek olaylar.

1. Bulut Bilişim Güvenliği En İyi Uygulamaları:

• Bulut hizmet sağlayıcılarıyla sözleşme ve anlaşma yaparken dikkat edilmesi gereken konular.
• Hizmet düzeyi anlaşmaları (SLA) ve güvenlik gereksinimleri.

1. ISO 27017 Denetimi ve Uygulama:

• ISO/IEC 27017 uyum denetim süreçleri.
• Denetim planlaması ve yürütülmesi.

1. Bulut Bilişim Güvenliği Eğilimleri:

• Bulut bilişim güvenliği alanındaki son gelişmeler ve eğilimler.

Eğitim içeriği, eğitim sağlayıcısına ve katılımcıların seviyesine göre değişebilir. ISO/IEC 27017 eğitimi, bulut bilişim güvenliği konusunda bilgi sahibi olmanızı ve organizasyonunuzun bulut hizmet sağlayıcılarıyla güvenli bir şekilde çalışabilmesini sağlamayı amaçlar.