ISO 27017 Nedir? Bulut Güvenliği Kontrol Kılavuzu
ISO/IEC 27017, bulut hizmetleri için bilgi güvenliği kontrollerine ilişkin bir uygulama kılavuzudur (code of practice); ISO/IEC 27002 temel alınarak hazırlanmış olup buluta özgü ek kontroller ve uygulama rehberliği sağlar. Hem bulut hizmet sağlayıcılarına hem de bulut hizmeti kullanan müşterilere yönelik rehberlik içerir ve tarafların rol ile sorumluluklarının nasıl paylaşılacağını netleştirir.
Bulut bilişimin yaygınlaşmasıyla birlikte verinin nerede tutulduğu, kimin hangi güvenlik önleminden sorumlu olduğu ve paylaşımlı altyapıda izolasyonun nasıl sağlandığı gibi sorular kritik hale gelmiştir. ISO/IEC 27017 tam da bu belirsizlikleri gidermek için klasik bilgi güvenliği kontrollerini bulut bağlamına uyarlar.
Özetle:
- Ne işe yarar: Bulut hizmetlerinde bilgi güvenliği kontrolleri için uygulama rehberliği sunar
- Güncel sürüm: ISO/IEC 27017:2015
- Temeli: ISO/IEC 27002 — mevcut kontrollere buluta özgü rehberlik ve ek kontroller ekler
- Kimler için: Hem bulut hizmet sağlayıcıları hem de bulut müşterileri
- Rol netliği: Sağlayıcı ve müşteri arasındaki sorumluluk paylaşımını açıklar
- 27001 ile ilişki: ISO/IEC 27001 BGYS'sinin buluta uygulanmasını destekler; tek başına sertifikalandırılabilir bir yönetim sistemi değildir
ISO 27017 Ne İşe Yarar?
ISO/IEC 27017, ISO/IEC 27002'deki yerleşik bilgi güvenliği kontrollerini temel alır ve bunları bulut ortamına özgü hale getirir. Standart iki tür rehberlik sunar:
- Mevcut 27002 kontrollerine buluta özgü uygulama rehberliği: Erişim yönetimi, şifreleme, olay yönetimi gibi bilinen kontrollerin bulut bağlamında nasıl uygulanacağını açıklar.
- Buluta özgü ek kontroller: Yalnızca bulut bağlamında anlam kazanan, sanal ortamların ayrıştırılması, sağlayıcı-müşteri sorumluluk dağılımı ve hizmet sonlandırmasında verinin geri alınması gibi konuları ele alan ek rehberlik içerir.
Bu sayede kurumlar, bulutta hangi güvenlik önleminin kimin sorumluluğunda olduğunu netleştirerek riskleri daha bilinçli yönetebilir.
ISO 27017'nin Temel Faydaları
| Fayda | Açıklama |
|---|---|
| Rol netliği | Sağlayıcı ve müşteri arasındaki sorumluluk paylaşımını açıkça ortaya koyar |
| Buluta uyarlanmış kontroller | ISO 27002 kontrollerini bulut senaryolarına göre uygular |
| Güven ve şeffaflık | Sağlayıcıların güvenlik uygulamalarını müşterilere kanıtlamasına yardımcı olur |
| 27001 uyumu | Mevcut BGYS yapısının bulut hizmetlerine genişletilmesini kolaylaştırır |
| Risk yönetimi | Bulut kaynaklı riskleri sistematik biçimde ele almayı destekler |
Sağlayıcı ve Müşteri Sorumlulukları
ISO/IEC 27017'nin en ayırt edici özelliği, güvenlik sorumluluklarının bulut hizmet sağlayıcısı ile müşteri arasında nasıl paylaşıldığını netleştirmesidir. Bulutta hiçbir taraf güvenliğin tamamından tek başına sorumlu değildir; bu nedenle "paylaşılan sorumluluk" modeli kritik önem taşır.
| Konu | Bulut Hizmet Sağlayıcısı | Bulut Müşterisi |
|---|---|---|
| Fiziksel altyapı | Veri merkezi, donanım ve ağ güvenliğini sağlar | Sağlayıcının taahhütlerini doğrular |
| Sanal ortam izolasyonu | Müşteriler arası ayrıştırmayı uygular | İzolasyon gereksinimlerini tanımlar ve denetler |
| Erişim yönetimi | Yönetim arayüzü için güvenli erişim sunar | Kendi kullanıcı erişimlerini yönetir |
| Veri ve yapılandırma | Hizmet düzeyinde koruma sağlar | Kendi verisinin sınıflandırma ve şifrelemesinden sorumludur |
| Hizmet sonlandırma | Verinin geri verilmesi/silinmesi için süreç tanımlar | Çıkış sürecini planlar ve verisini geri alır |
Bu paylaşım, sözleşmeler ve hizmet seviyesi anlaşmaları (SLA) ile somutlaştırılmalı; her iki tarafın da kendi sorumluluk alanını net biçimde anlaması sağlanmalıdır.
Size Uygun Eğitimi Bulun
Bireysel mi yoksa kurumsal mı eğitim arıyorsunuz?
ISO 27017 ile ISO 27018 Arasındaki Fark
ISO/IEC 27017 ve ISO/IEC 27018 sıklıkla birlikte anılır çünkü her ikisi de bulut güvenliğiyle ilgilidir ve ISO/IEC 27002 çerçevesini temel alır. Ancak odakları farklıdır.
| Özellik | ISO/IEC 27017 | ISO/IEC 27018 |
|---|---|---|
| Odak | Bulut hizmetlerinde genel bilgi güvenliği kontrolleri | Bulutta kişisel verilerin (PII) korunması |
| Kapsam | Sağlayıcı ve müşteri için buluta özgü kontroller | Kamuya açık bulutta PII işleyenlere yönelik gizlilik kontrolleri |
| Temel | ISO/IEC 27002 | ISO/IEC 27002 |
| Ana amaç | Sorumluluk paylaşımı ve bulut güvenliği | Mahremiyet ve kişisel veri koruması |
Kısaca: 27017 bulut güvenliğinin geneline, 27018 ise bulutta işlenen kişisel verilerin korunmasına odaklanır. Birçok kurum ikisini birlikte uygular. Kişisel verinin yönetim sistemi düzeyinde ele alınması için ise ISO/IEC 27701 devreye girer.
ISO 27001 ile İlişkisi
ISO/IEC 27017, tek başına sertifikalandırılabilen bağımsız bir yönetim sistemi standardı değildir. Bunun yerine, ISO/IEC 27001 ile tanımlanan Bilgi Güvenliği Yönetim Sistemi'nin (BGYS) bulut hizmetlerine uygulanmasını destekleyen bir uygulama kılavuzudur.
Pratikte bu şu anlama gelir: Bir kurum BGYS'sini ISO 27001'e göre kurar ve işletir; bulut hizmetlerine özgü kontrol seçim ve uygulamalarında ise ISO 27017 rehberliğinden yararlanır. Bu yaklaşım, mevcut güvenlik çerçevesini sıfırdan yeniden inşa etmeden bulut bağlamına genişletmeyi mümkün kılar. Risklerin önceliklendirilmesinde ise risk yönetimi yaklaşımları temel alınır.
İlgili Konular
Sık Sorulan Sorular
Bu konuda en çok merak edilenler
ISO/IEC 27017, bulut hizmetleri için bilgi güvenliği kontrollerine ilişkin bir uygulama kılavuzudur. ISO/IEC 27002'yi temel alarak buluta özgü ek kontroller ve uygulama rehberliği sunar; hem bulut sağlayıcılarına hem de müşterilere yöneliktir.
İkisi de ISO/IEC 27002 temellidir, ancak 27017 bulut hizmetlerindeki genel bilgi güvenliği kontrollerine ve sorumluluk paylaşımına odaklanırken, 27018 kamuya açık bulutta işlenen kişisel verilerin (PII) korunmasına odaklanır.
ISO/IEC 27017, ISO/IEC 27001 ile kurulan Bilgi Güvenliği Yönetim Sistemi'nin buluta uygulanmasını destekler. Tek başına sertifikalandırılabilir bir yönetim sistemi değildir; 27001 ile birlikte kullanılır.
Standart hem bulut hizmet sağlayıcılarına hem de bulut hizmeti kullanan müşterilere yöneliktir. Her iki taraf için rol ve sorumlulukların nasıl paylaşılacağına dair rehberlik sunar.
ISO/IEC 27017 bağımsız sertifikalandırılabilir bir yönetim sistemi standardı değildir; bir uygulama kılavuzudur. Genellikle ISO/IEC 27001 BGYS sertifikasyonu kapsamında, bulut hizmetlerine yönelik kontrollerin uygulanmasını desteklemek için kullanılır.
