Araştırma Makalesi
BibTex RIS Kaynak Göster

CMMC v1.02 ile ISO IEC 27001 Standardının Karşılaştırılması ve CMMC’ye Geçiş İçin Yapılması Gerekli Temel Faaliyetler

Yıl 2021, Cilt: 7 Sayı: 2, 60 - 73, 31.12.2021
https://doi.org/10.18640/ubgmd.1027026

Öz

Gelişen teknoloji ile birlikte bilgi güvenliğinin önemi hem bireysel hem de kurumsal ölçekte her geçen gün artmaktadır. Özellikle bilgi güvenliği yönetimine sistemsel bakış açısının kazandırılması açısından ISO/IEC 27001 standardının önemi oldukça fazladır. Ancak zamanla gelişen teknoloji artan veri miktarını ve çeşitliliğini de beraberinde getirmiş, bilgi güvenliğine yönelik tehditler çoğalmış ve bunlara bağlı olarak bazı sektörler için sektöre özel farklı bilgi güvenliği yönetimi modelleri ortaya çıkmıştır. Bunlardan biri de ABD Savunma Bakanlığı tarafından savunma sanayi sektörüne özel olarak geliştirilen ve İngilizce adıyla “Cybersecurity Maturity Model Certification-CMMC” olarak belirtilen süreçte yer alan siber güvenlik olgunluk modelidir. Bu çalışmada ülkemiz savunma sanayinde bilgi güvenliği farkındalığının arttırılması amacıyla söz konusu uygulamalar hakkında temel bilgiler verilmiş, bakış açısının geliştirilmesine katkı sağlayan CMMC v1.02 ile ISO/IEC 27001’e kapsam, gereksinim ve sertifikasyon süreçleri bakımından karşılaştırılmış, yeni bakış açısının dikkate alınması için önerilerde bulunulmuş ve gerçekleştirilmesi gerekli temel faaliyetler açıklanmıştır. Sonuç olarak, elde edilen bilgiler ve bulgular çerçevesinde bilgi güvenliği uygulamalarının gelecekte ne yönde ilerleyeceği ve yapılması gerekenler konusunda değerlendirmeler sunulmuştur.

Kaynakça

  • A. Akçoraoğlu, “‘Yeni Kapitalizm’ Teorileri, Dijital Devrim ve Türkiye Kapitalizmi,” Mülkiye Dergisi, vol. 43, no. 3, pp. 525–575, 2019.
  • G. Canbek and Ş. Sağıroğlu, Bilgi ve Bilgisayar Güvenliği: Casus Yazılımlar ve Korunma Yöntemleri. Ankara: Grafiker Yayıncılık, 2006.
  • McAfee, “The Economic Impact of Cybercrime—No Slowing Down Executive Summary,” 2018.
  • The Council of Economic Advisers, “The Cost of Malicious Cyber Activity to the U.S. Economy,” 2018.
  • Ş. Sağıroğlu, M. Alkan, and R. Samet, Siber Güvenlik ve Savunma-Farkındalık ve Caydırıcılık. Ankara: Grafiker Yayıncılık, 2018.
  • E. Humphreys, “Information security management system standards,” Datenschutz und Datensicherheit - DuD, vol. 35, no. 1, pp. 7–11, 2011, doi: 10.1007/s11623-011-0004-3.
  • Ş. Sağıroğlu, O. Aktaş, and O. Alkan, Siber Güvenlik ve Savunma-Standartlar ve Uygulamalar. Ankara, 2019.
  • E. Humphreys, “Information security management standards: Compliance, governance and risk management,” Information Security Technical Report, vol. 13, no. 4, pp. 247–255, Nov. 2008, doi: 10.1016/j.istr.2008.10.010.
  • “ISO/IEC 27001 International Information Security Standard published,” BSI, 2005. https://www.bsigroup.com/en-GB/about-bsi/media-centre/press-releases/2005/11/ISOIEC-27001-International-Information-Security-Standard-published/ (Erişim: Kas. 16, 2021).
  • “ISO Technical Committees” https://www.iso.org/technical-committees.html (Erişim Haz.. 05, 2021).
  • CEN, “CEN/CLC/JTC 13 - Cybersecurity and Data Protection,” Cen, 2021. https://standards.cen.eu/ (Erişim Haz. 05, 2021).
  • TSE, “TSE.NET Standard Detayı TS EN ISO/IEC 27001:2017,” 2018. https://intweb.tse.org.tr/Standard/Standard/Standard.aspx?081118051115108051104119110104055047105102120088111043113104073083043047076078043057108043104101 (Erişim Haz. 05, 2021).
  • National Archives, “About CUI.” https://www.archives.gov/cui/about (Erişim Haz. 06, 2021).
  • H. Susanto, M. N. Almunawar, and Y. C. Tuan, “Information Security Management System Standards: A Comparative Study of the Big Five,” International Journal of Electrical & Computer Sciences IJECS-IJENS, 2011.
  • OUSD(A&S), “CMMC Home Page.” https://www.acq.osd.mil/cmmc/index.html (Erişim Haz. 06, 2021).
  • Deparmant of Defense, “DFARS Case 2019-D041,” Federal Register, vol. 29/09/2020, pp. 61505–61522, 2020.
  • ISO, “ISO Management System Standards.” https://www.iso.org/management-system-standards.html (Erişim Haz. 05, 2021).
  • TSE, “TS EN ISO/IEC 27001.” TSE, Ankara, 2018.
  • ISO, “ISO/IEC 27002.” ISO, 2013.
  • OUSD(A&S), “CMMC Model and Assessment Guides.” 2020.
  • X. Meng, M. Sun, and M. Jones, “Maturity Model for Supply Chain Relationships in Construction,” Journal of Management in Engineering, vol. 27, no. 2, pp. 97–105, Apr. 2011, doi: 10.1061/(asce)me.1943-5479.0000035.
  • OUSD(A&S), “CMMC v1.02 Model Main Document.” OUSD(A&S), 2020.
  • ISO, “Certification.” https://www.iso.org/certification.html (Erişim Haz. 06, 2021).
  • CMMC-AB, “CMMC-AB Home Page.” https://cmmcab.org/ (Erişim Haz. 12, 2021).
  • National Archives, “FCI and CUI, what is the difference?,” 2020. https://isoo.blogs.archives.gov/2020/06/19/fci-and-cui-what-is-the-difference/ (Erişim Haz. 06, 2021).
  • Shawn Hays, “What is FCI? and How to Meet CMMC Level 1?” https://info.summit7.us/blog/fci (Erişim Ara. 06, 2021).
  • North Carolina Interagency Cybersecurity Coordinating Committee (I3C), “FCI/CUI.” https://www.cybernc.us/fci-cui/ (Erişim Ara. 06, 2021).
  • CISA, “Secure High Value Assets.” https://www.cisa.gov/publication/secure-high-value-assets (Erişim Ara. 06, 2021).
  • OUSD(A&S), “CMMC Appendices v1.02.” 2020.
  • TSE, “TS EN ISO/IEC 27002.” 2017.
  • E. Ersoy and M. Alkan, “Bilgi Güvenliğinin Kurumsal Bazda Uygulanması,” Bilgi Güvenliği ve Kriptoloji Konferansı, vol. Ankara, no. 13-14 Aralık 2007, pp. 200–207, 2007.
Toplam 31 adet kaynakça vardır.

Ayrıntılar

Birincil Dil Türkçe
Konular Bilgisayar Yazılımı
Bölüm Makaleler
Yazarlar

İsmail Yiğit Coşar 0000-0002-4239-1981

Aslıhan Tüfekci 0000-0002-8669-276X

Yayımlanma Tarihi 31 Aralık 2021
Gönderilme Tarihi 22 Kasım 2021
Yayımlandığı Sayı Yıl 2021 Cilt: 7 Sayı: 2

Kaynak Göster

IEEE İ. Y. Coşar ve A. Tüfekci, “CMMC v1.02 ile ISO IEC 27001 Standardının Karşılaştırılması ve CMMC’ye Geçiş İçin Yapılması Gerekli Temel Faaliyetler”, UBGMD, c. 7, sy. 2, ss. 60–73, 2021, doi: 10.18640/ubgmd.1027026.