Veri koruma uygulamalarınızı geliştirmek istiyor ancak ISO/IEC 27001 (Bilgi Güvenliği Yönetim Sistemi) veya SOC 2 (Hizmet Organizasyonu Kontrolü) sistemi entegre edeceğinizden emin değil misiniz? Ya da müşterim benden neden SOC 2 raporu istiyor diyorsanız bu içerik tam size göre.
Beş temel uyumluluk özelliğini gözden geçirerek hangisinin sizin için daha doğru olacağına karar verebilirsiniz.
1. Kapsam
SOC 2 ve ISO/IEC 27001, hassas bilgileri korumak için tasarlanmış süreçler, politikalar ve teknolojiler dahil olmak üzere güvenlik kontrolleriyle aynı konuların çoğunu kapsar.
Hem ISO/IEC 27001 standardı hem de SOC 2, kuruluşların yalnızca kendileri için geçerliyse bir kontrolü benimsemeleri gerektiğini vurgulamaktadır, ancak buna yaklaşım biçimleri ikisinde de biraz farklıdır.
ISO/IEC 27001 veri koruma uygulamalarını yönetmek için kapsamlı bir yöntem olan bir Bilgi Güvenliği Yönetim Sisteminin geliştirilmesine ve bakımına odaklanır.
Uyumluluğu sağlamak için bir risk değerlendirmesi yapmalı, güvenlik kontrollerini belirlemeli ve uygulamalı ve bunların etkinliğini düzenli olarak gözden geçirmelisiniz.
SOC 2 aksine çok daha esnektir. Beş Güven Hizmetleri İlkesinden oluşur: Güvenlik, Kullanılabilirlik, İşleme Bütünlüğü, Gizlilik ve Mahremiyet, ancak bunlardan yalnızca ilki zorunludur.
Kuruluşlar isterlerse diğer ilkelerle ilgili iç kontrolleri de uygulayabilirler, ancak sertifika almaları şart değildir.
2. Ticari Hayatta Kullanımı
Her iki çerçeve de küresel olarak tanınır, ancak SOC 2, Kuzey Amerika ile daha yakından ilişkilidir.
O bölgede yaşıyorsanız yada ticari faaliyetleriniz var ise hem SOC 2 hem de ISO/IEC 27001’in yaygın olduğunu göreceksiniz. Kuzey Amerika dışında, ISO/IEC 27001 çok daha popülerdir.
3. Sertifikasyon Süreci
Her iki sistemide de onaylamak için bir dış tetkiki tamamlamanız gerekir.
Bu süreçteki tek fark tetkiki kimin yaptığıdır. IAF tarafından akredite edilmiş bir belgelendirme kuruluşu tarafından ISO/IEC 27001 tetkikine tabi tutulabilirsiniz (CFE Belgelendirme UKAS ve IAS tarafından akredite edilmiştir).
Buna karşılık, bir SOC 2 tasdik raporu yalnızca lisanslı bir CPA (Certified Public Accountant) tarafından gerçekleştirilebilir.
Sertifikanın nasıl göründüğü konusunda da küçük bir fark var. ISO/IEC 27001 tetkikini geçen kuruluşlar bir uygunluk sertifikası alırken, SOC 2 uyumluluğu resmi bir onayla belgelenir (rapor).
4. Süreç Zaman Çizelgesi
Sertifikasyon süreci, tamamlamanız gereken üç aşama ile ISO/IEC 27001 ve SOC 2 için benzerdir.
Sertifikasyon projeleri üç aşamadan oluşur:
- GAP Analizi/Plan Tanımlanması,
- Uygulama/Kanıt Toplama
- Tetkik/Belgelendirme.
SOC 2 ve ISO/IEC 27001, aynı güvenlik kontrollerinin çoğunu paylaştığından, uygulama ve kanıt toplama süresi çok benzer olacaktır.
Hali hazırda sistemin hangi alanlarıyla uyumlu olduğunuzu ve nerede iyileştirmeler yapmanız gerektiğini belirlemek için bir GAP analizi yapmalısınız. Bu sürecin bir parçası olarak, güvenlik hedeflerinizi ve kuruluşunuzun hangi alanlarının kapsanacağını da tanımlamanız gerekmektedir.
Ardından, kuruluşunuz için hangi güvenlik kontrollerinin uygun olduğunu belirlemeli ve bunları uygulamak için gerekli adımları atmalısınız. Bu, uygulamalarınızı belgelemeyi ve süreçlerinizi gözden geçirmek ve iyileştirmek için bir yöntem oluşturmayı içerir.
Son adım tetkiktir. Birçok kuruluş, belirledikleri nihai hataları ele almalarına olanak tanıdığı için bir akreditasyon kuruluşuyla iletişime geçmeden önce bir iç tetkik gerçekleştirir (her iki sistemde de yılda en az 1 kez iç tetkik tavsiye edilmektedir).
Bu sürecin ne kadar süreceği, uygulamalarınızı sıfıra getirmek için yapmanız gereken iş miktarına bağlıdır.
SOC 2’yi uygulamak yaklaşık dört veya altı ay ve ISO/IEC 27001’i uygulamak üç ila altı ay sürebilmektedir.
5. Hangi Sistemi Kullanmalısınız?
Hangi sertifikayı almaya karar verirseniz verin, işiniz büyüdükçe büyük olasılıkla küresel hizmet veren müşterinizin gereksinimlerini karşılamak için her iki sistemide uygulamış olmanız beklenecektir. Avantajınız ise iki sisteminde birbirleri ile çok ortak noktası olmasıdır.
Umarız bu blog, SOC 2’ye mi yoksa ISO/IEC 27001’e mi daha uygun olduğuna karar vermenize yardımcı olacaktır.
Uzman ekibimiz, kuruluşunuz için hangi sistemin uygun olduğu konusunda size tavsiyelerde bulunabilir. Bu konuda daha fazla bilgi için bize certification@cfecert.co.uk mail adresinden ulaşabilirsiniz.
