CMMC v1.02 ile ISO IEC 27001 Standardının Karşılaştırılması ve CMMC’ye Geçiş İçin Yapılması Gerekli Temel Faaliyetler

İsmail Yiğit Coşar; Aslıhan Tüfekci

doi:10.18640/ubgmd.1027026

CMMC v1.02 ile ISO IEC 27001 Standardının Karşılaştırılması ve CMMC’ye Geçiş İçin Yapılması Gerekli Temel Faaliyetler

Öz

Gelişen teknoloji ile birlikte bilgi güvenliğinin önemi hem bireysel hem de kurumsal ölçekte her geçen gün artmaktadır. Özellikle bilgi güvenliği yönetimine sistemsel bakış açısının kazandırılması açısından ISO/IEC 27001 standardının önemi oldukça fazladır. Ancak zamanla gelişen teknoloji artan veri miktarını ve çeşitliliğini de beraberinde getirmiş, bilgi güvenliğine yönelik tehditler çoğalmış ve bunlara bağlı olarak bazı sektörler için sektöre özel farklı bilgi güvenliği yönetimi modelleri ortaya çıkmıştır. Bunlardan biri de ABD Savunma Bakanlığı tarafından savunma sanayi sektörüne özel olarak geliştirilen ve İngilizce adıyla “Cybersecurity Maturity Model Certification-CMMC” olarak belirtilen süreçte yer alan siber güvenlik olgunluk modelidir. Bu çalışmada ülkemiz savunma sanayinde bilgi güvenliği farkındalığının arttırılması amacıyla söz konusu uygulamalar hakkında temel bilgiler verilmiş, bakış açısının geliştirilmesine katkı sağlayan CMMC v1.02 ile ISO/IEC 27001’e kapsam, gereksinim ve sertifikasyon süreçleri bakımından karşılaştırılmış, yeni bakış açısının dikkate alınması için önerilerde bulunulmuş ve gerçekleştirilmesi gerekli temel faaliyetler açıklanmıştır. Sonuç olarak, elde edilen bilgiler ve bulgular çerçevesinde bilgi güvenliği uygulamalarının gelecekte ne yönde ilerleyeceği ve yapılması gerekenler konusunda değerlendirmeler sunulmuştur.

Anahtar Kelimeler

Kaynakça

A. Akçoraoğlu, “‘Yeni Kapitalizm’ Teorileri, Dijital Devrim ve Türkiye Kapitalizmi,” Mülkiye Dergisi, vol. 43, no. 3, pp. 525–575, 2019.
G. Canbek and Ş. Sağıroğlu, Bilgi ve Bilgisayar Güvenliği: Casus Yazılımlar ve Korunma Yöntemleri. Ankara: Grafiker Yayıncılık, 2006.
McAfee, “The Economic Impact of Cybercrime—No Slowing Down Executive Summary,” 2018.
The Council of Economic Advisers, “The Cost of Malicious Cyber Activity to the U.S. Economy,” 2018.
Ş. Sağıroğlu, M. Alkan, and R. Samet, Siber Güvenlik ve Savunma-Farkındalık ve Caydırıcılık. Ankara: Grafiker Yayıncılık, 2018.
E. Humphreys, “Information security management system standards,” Datenschutz und Datensicherheit - DuD, vol. 35, no. 1, pp. 7–11, 2011, doi: 10.1007/s11623-011-0004-3.
Ş. Sağıroğlu, O. Aktaş, and O. Alkan, Siber Güvenlik ve Savunma-Standartlar ve Uygulamalar. Ankara, 2019.
E. Humphreys, “Information security management standards: Compliance, governance and risk management,” Information Security Technical Report, vol. 13, no. 4, pp. 247–255, Nov. 2008, doi: 10.1016/j.istr.2008.10.010.

“ISO/IEC 27001 International Information Security Standard published,” BSI, 2005. https://www.bsigroup.com/en-GB/about-bsi/media-centre/press-releases/2005/11/ISOIEC-27001-International-Information-Security-Standard-published/ (Erişim: Kas. 16, 2021).
“ISO Technical Committees” https://www.iso.org/technical-committees.html (Erişim Haz.. 05, 2021).
CEN, “CEN/CLC/JTC 13 - Cybersecurity and Data Protection,” Cen, 2021. https://standards.cen.eu/ (Erişim Haz. 05, 2021).
TSE, “TSE.NET Standard Detayı TS EN ISO/IEC 27001:2017,” 2018. https://intweb.tse.org.tr/Standard/Standard/Standard.aspx?081118051115108051104119110104055047105102120088111043113104073083043047076078043057108043104101 (Erişim Haz. 05, 2021).
National Archives, “About CUI.” https://www.archives.gov/cui/about (Erişim Haz. 06, 2021).
H. Susanto, M. N. Almunawar, and Y. C. Tuan, “Information Security Management System Standards: A Comparative Study of the Big Five,” International Journal of Electrical & Computer Sciences IJECS-IJENS, 2011.
OUSD(A&S), “CMMC Home Page.” https://www.acq.osd.mil/cmmc/index.html (Erişim Haz. 06, 2021).
Deparmant of Defense, “DFARS Case 2019-D041,” Federal Register, vol. 29/09/2020, pp. 61505–61522, 2020.
ISO, “ISO Management System Standards.” https://www.iso.org/management-system-standards.html (Erişim Haz. 05, 2021).
TSE, “TS EN ISO/IEC 27001.” TSE, Ankara, 2018.
ISO, “ISO/IEC 27002.” ISO, 2013.
OUSD(A&S), “CMMC Model and Assessment Guides.” 2020.
X. Meng, M. Sun, and M. Jones, “Maturity Model for Supply Chain Relationships in Construction,” Journal of Management in Engineering, vol. 27, no. 2, pp. 97–105, Apr. 2011, doi: 10.1061/(asce)me.1943-5479.0000035.
OUSD(A&S), “CMMC v1.02 Model Main Document.” OUSD(A&S), 2020.
ISO, “Certification.” https://www.iso.org/certification.html (Erişim Haz. 06, 2021).
CMMC-AB, “CMMC-AB Home Page.” https://cmmcab.org/ (Erişim Haz. 12, 2021).
National Archives, “FCI and CUI, what is the difference?,” 2020. https://isoo.blogs.archives.gov/2020/06/19/fci-and-cui-what-is-the-difference/ (Erişim Haz. 06, 2021).
Shawn Hays, “What is FCI? and How to Meet CMMC Level 1?” https://info.summit7.us/blog/fci (Erişim Ara. 06, 2021).
North Carolina Interagency Cybersecurity Coordinating Committee (I3C), “FCI/CUI.” https://www.cybernc.us/fci-cui/ (Erişim Ara. 06, 2021).
CISA, “Secure High Value Assets.” https://www.cisa.gov/publication/secure-high-value-assets (Erişim Ara. 06, 2021).
OUSD(A&S), “CMMC Appendices v1.02.” 2020.
TSE, “TS EN ISO/IEC 27002.” 2017.
E. Ersoy and M. Alkan, “Bilgi Güvenliğinin Kurumsal Bazda Uygulanması,” Bilgi Güvenliği ve Kriptoloji Konferansı, vol. Ankara, no. 13-14 Aralık 2007, pp. 200–207, 2007.

Ayrıntılar

Birincil Dil

Türkçe

Konular

Bilgisayar Yazılımı

Bölüm

Araştırma Makalesi

Yazarlar

İsmail Yiğit Coşar ^*
0000-0002-4239-1981
Türkiye

Aslıhan Tüfekci
0000-0002-8669-276X
Türkiye

Yayımlanma Tarihi

31 Aralık 2021

Gönderilme Tarihi

22 Kasım 2021

Kabul Tarihi

31 Aralık 2021

Yayımlandığı Sayı

Yıl 1970 Cilt: 7 Sayı: 2

DOI

https://doi.org/10.18640/ubgmd.1027026

IZ

https://izlik.org/JA53UG34LE

Kaynak Göster

RIS / Bibtex

IEEE

[1]İ. Y. Coşar ve A. Tüfekci, “CMMC v1.02 ile ISO IEC 27001 Standardının Karşılaştırılması ve CMMC’ye Geçiş İçin Yapılması Gerekli Temel Faaliyetler”, UBGMD, c. 7, sy 2, ss. 60–73, Ara. 2021, doi: 10.18640/ubgmd.1027026.