Research Article
BibTex RIS Cite

CMMC v1.02 ile ISO IEC 27001 Standardının Karşılaştırılması ve CMMC’ye Geçiş İçin Yapılması Gerekli Temel Faaliyetler

Year 2021, Volume: 7 Issue: 2, 60 - 73, 31.12.2021
https://doi.org/10.18640/ubgmd.1027026

Abstract

Gelişen teknoloji ile birlikte bilgi güvenliğinin önemi hem bireysel hem de kurumsal ölçekte her geçen gün artmaktadır. Özellikle bilgi güvenliği yönetimine sistemsel bakış açısının kazandırılması açısından ISO/IEC 27001 standardının önemi oldukça fazladır. Ancak zamanla gelişen teknoloji artan veri miktarını ve çeşitliliğini de beraberinde getirmiş, bilgi güvenliğine yönelik tehditler çoğalmış ve bunlara bağlı olarak bazı sektörler için sektöre özel farklı bilgi güvenliği yönetimi modelleri ortaya çıkmıştır. Bunlardan biri de ABD Savunma Bakanlığı tarafından savunma sanayi sektörüne özel olarak geliştirilen ve İngilizce adıyla “Cybersecurity Maturity Model Certification-CMMC” olarak belirtilen süreçte yer alan siber güvenlik olgunluk modelidir. Bu çalışmada ülkemiz savunma sanayinde bilgi güvenliği farkındalığının arttırılması amacıyla söz konusu uygulamalar hakkında temel bilgiler verilmiş, bakış açısının geliştirilmesine katkı sağlayan CMMC v1.02 ile ISO/IEC 27001’e kapsam, gereksinim ve sertifikasyon süreçleri bakımından karşılaştırılmış, yeni bakış açısının dikkate alınması için önerilerde bulunulmuş ve gerçekleştirilmesi gerekli temel faaliyetler açıklanmıştır. Sonuç olarak, elde edilen bilgiler ve bulgular çerçevesinde bilgi güvenliği uygulamalarının gelecekte ne yönde ilerleyeceği ve yapılması gerekenler konusunda değerlendirmeler sunulmuştur.

References

  • A. Akçoraoğlu, “‘Yeni Kapitalizm’ Teorileri, Dijital Devrim ve Türkiye Kapitalizmi,” Mülkiye Dergisi, vol. 43, no. 3, pp. 525–575, 2019.
  • G. Canbek and Ş. Sağıroğlu, Bilgi ve Bilgisayar Güvenliği: Casus Yazılımlar ve Korunma Yöntemleri. Ankara: Grafiker Yayıncılık, 2006.
  • McAfee, “The Economic Impact of Cybercrime—No Slowing Down Executive Summary,” 2018.
  • The Council of Economic Advisers, “The Cost of Malicious Cyber Activity to the U.S. Economy,” 2018.
  • Ş. Sağıroğlu, M. Alkan, and R. Samet, Siber Güvenlik ve Savunma-Farkındalık ve Caydırıcılık. Ankara: Grafiker Yayıncılık, 2018.
  • E. Humphreys, “Information security management system standards,” Datenschutz und Datensicherheit - DuD, vol. 35, no. 1, pp. 7–11, 2011, doi: 10.1007/s11623-011-0004-3.
  • Ş. Sağıroğlu, O. Aktaş, and O. Alkan, Siber Güvenlik ve Savunma-Standartlar ve Uygulamalar. Ankara, 2019.
  • E. Humphreys, “Information security management standards: Compliance, governance and risk management,” Information Security Technical Report, vol. 13, no. 4, pp. 247–255, Nov. 2008, doi: 10.1016/j.istr.2008.10.010.
  • “ISO/IEC 27001 International Information Security Standard published,” BSI, 2005. https://www.bsigroup.com/en-GB/about-bsi/media-centre/press-releases/2005/11/ISOIEC-27001-International-Information-Security-Standard-published/ (Erişim: Kas. 16, 2021).
  • “ISO Technical Committees” https://www.iso.org/technical-committees.html (Erişim Haz.. 05, 2021).
  • CEN, “CEN/CLC/JTC 13 - Cybersecurity and Data Protection,” Cen, 2021. https://standards.cen.eu/ (Erişim Haz. 05, 2021).
  • TSE, “TSE.NET Standard Detayı TS EN ISO/IEC 27001:2017,” 2018. https://intweb.tse.org.tr/Standard/Standard/Standard.aspx?081118051115108051104119110104055047105102120088111043113104073083043047076078043057108043104101 (Erişim Haz. 05, 2021).
  • National Archives, “About CUI.” https://www.archives.gov/cui/about (Erişim Haz. 06, 2021).
  • H. Susanto, M. N. Almunawar, and Y. C. Tuan, “Information Security Management System Standards: A Comparative Study of the Big Five,” International Journal of Electrical & Computer Sciences IJECS-IJENS, 2011.
  • OUSD(A&S), “CMMC Home Page.” https://www.acq.osd.mil/cmmc/index.html (Erişim Haz. 06, 2021).
  • Deparmant of Defense, “DFARS Case 2019-D041,” Federal Register, vol. 29/09/2020, pp. 61505–61522, 2020.
  • ISO, “ISO Management System Standards.” https://www.iso.org/management-system-standards.html (Erişim Haz. 05, 2021).
  • TSE, “TS EN ISO/IEC 27001.” TSE, Ankara, 2018.
  • ISO, “ISO/IEC 27002.” ISO, 2013.
  • OUSD(A&S), “CMMC Model and Assessment Guides.” 2020.
  • X. Meng, M. Sun, and M. Jones, “Maturity Model for Supply Chain Relationships in Construction,” Journal of Management in Engineering, vol. 27, no. 2, pp. 97–105, Apr. 2011, doi: 10.1061/(asce)me.1943-5479.0000035.
  • OUSD(A&S), “CMMC v1.02 Model Main Document.” OUSD(A&S), 2020.
  • ISO, “Certification.” https://www.iso.org/certification.html (Erişim Haz. 06, 2021).
  • CMMC-AB, “CMMC-AB Home Page.” https://cmmcab.org/ (Erişim Haz. 12, 2021).
  • National Archives, “FCI and CUI, what is the difference?,” 2020. https://isoo.blogs.archives.gov/2020/06/19/fci-and-cui-what-is-the-difference/ (Erişim Haz. 06, 2021).
  • Shawn Hays, “What is FCI? and How to Meet CMMC Level 1?” https://info.summit7.us/blog/fci (Erişim Ara. 06, 2021).
  • North Carolina Interagency Cybersecurity Coordinating Committee (I3C), “FCI/CUI.” https://www.cybernc.us/fci-cui/ (Erişim Ara. 06, 2021).
  • CISA, “Secure High Value Assets.” https://www.cisa.gov/publication/secure-high-value-assets (Erişim Ara. 06, 2021).
  • OUSD(A&S), “CMMC Appendices v1.02.” 2020.
  • TSE, “TS EN ISO/IEC 27002.” 2017.
  • E. Ersoy and M. Alkan, “Bilgi Güvenliğinin Kurumsal Bazda Uygulanması,” Bilgi Güvenliği ve Kriptoloji Konferansı, vol. Ankara, no. 13-14 Aralık 2007, pp. 200–207, 2007.
Year 2021, Volume: 7 Issue: 2, 60 - 73, 31.12.2021
https://doi.org/10.18640/ubgmd.1027026

Abstract

References

  • A. Akçoraoğlu, “‘Yeni Kapitalizm’ Teorileri, Dijital Devrim ve Türkiye Kapitalizmi,” Mülkiye Dergisi, vol. 43, no. 3, pp. 525–575, 2019.
  • G. Canbek and Ş. Sağıroğlu, Bilgi ve Bilgisayar Güvenliği: Casus Yazılımlar ve Korunma Yöntemleri. Ankara: Grafiker Yayıncılık, 2006.
  • McAfee, “The Economic Impact of Cybercrime—No Slowing Down Executive Summary,” 2018.
  • The Council of Economic Advisers, “The Cost of Malicious Cyber Activity to the U.S. Economy,” 2018.
  • Ş. Sağıroğlu, M. Alkan, and R. Samet, Siber Güvenlik ve Savunma-Farkındalık ve Caydırıcılık. Ankara: Grafiker Yayıncılık, 2018.
  • E. Humphreys, “Information security management system standards,” Datenschutz und Datensicherheit - DuD, vol. 35, no. 1, pp. 7–11, 2011, doi: 10.1007/s11623-011-0004-3.
  • Ş. Sağıroğlu, O. Aktaş, and O. Alkan, Siber Güvenlik ve Savunma-Standartlar ve Uygulamalar. Ankara, 2019.
  • E. Humphreys, “Information security management standards: Compliance, governance and risk management,” Information Security Technical Report, vol. 13, no. 4, pp. 247–255, Nov. 2008, doi: 10.1016/j.istr.2008.10.010.
  • “ISO/IEC 27001 International Information Security Standard published,” BSI, 2005. https://www.bsigroup.com/en-GB/about-bsi/media-centre/press-releases/2005/11/ISOIEC-27001-International-Information-Security-Standard-published/ (Erişim: Kas. 16, 2021).
  • “ISO Technical Committees” https://www.iso.org/technical-committees.html (Erişim Haz.. 05, 2021).
  • CEN, “CEN/CLC/JTC 13 - Cybersecurity and Data Protection,” Cen, 2021. https://standards.cen.eu/ (Erişim Haz. 05, 2021).
  • TSE, “TSE.NET Standard Detayı TS EN ISO/IEC 27001:2017,” 2018. https://intweb.tse.org.tr/Standard/Standard/Standard.aspx?081118051115108051104119110104055047105102120088111043113104073083043047076078043057108043104101 (Erişim Haz. 05, 2021).
  • National Archives, “About CUI.” https://www.archives.gov/cui/about (Erişim Haz. 06, 2021).
  • H. Susanto, M. N. Almunawar, and Y. C. Tuan, “Information Security Management System Standards: A Comparative Study of the Big Five,” International Journal of Electrical & Computer Sciences IJECS-IJENS, 2011.
  • OUSD(A&S), “CMMC Home Page.” https://www.acq.osd.mil/cmmc/index.html (Erişim Haz. 06, 2021).
  • Deparmant of Defense, “DFARS Case 2019-D041,” Federal Register, vol. 29/09/2020, pp. 61505–61522, 2020.
  • ISO, “ISO Management System Standards.” https://www.iso.org/management-system-standards.html (Erişim Haz. 05, 2021).
  • TSE, “TS EN ISO/IEC 27001.” TSE, Ankara, 2018.
  • ISO, “ISO/IEC 27002.” ISO, 2013.
  • OUSD(A&S), “CMMC Model and Assessment Guides.” 2020.
  • X. Meng, M. Sun, and M. Jones, “Maturity Model for Supply Chain Relationships in Construction,” Journal of Management in Engineering, vol. 27, no. 2, pp. 97–105, Apr. 2011, doi: 10.1061/(asce)me.1943-5479.0000035.
  • OUSD(A&S), “CMMC v1.02 Model Main Document.” OUSD(A&S), 2020.
  • ISO, “Certification.” https://www.iso.org/certification.html (Erişim Haz. 06, 2021).
  • CMMC-AB, “CMMC-AB Home Page.” https://cmmcab.org/ (Erişim Haz. 12, 2021).
  • National Archives, “FCI and CUI, what is the difference?,” 2020. https://isoo.blogs.archives.gov/2020/06/19/fci-and-cui-what-is-the-difference/ (Erişim Haz. 06, 2021).
  • Shawn Hays, “What is FCI? and How to Meet CMMC Level 1?” https://info.summit7.us/blog/fci (Erişim Ara. 06, 2021).
  • North Carolina Interagency Cybersecurity Coordinating Committee (I3C), “FCI/CUI.” https://www.cybernc.us/fci-cui/ (Erişim Ara. 06, 2021).
  • CISA, “Secure High Value Assets.” https://www.cisa.gov/publication/secure-high-value-assets (Erişim Ara. 06, 2021).
  • OUSD(A&S), “CMMC Appendices v1.02.” 2020.
  • TSE, “TS EN ISO/IEC 27002.” 2017.
  • E. Ersoy and M. Alkan, “Bilgi Güvenliğinin Kurumsal Bazda Uygulanması,” Bilgi Güvenliği ve Kriptoloji Konferansı, vol. Ankara, no. 13-14 Aralık 2007, pp. 200–207, 2007.
There are 31 citations in total.

Details

Primary Language Turkish
Subjects Computer Software
Journal Section Makaleler
Authors

İsmail Yiğit Coşar 0000-0002-4239-1981

Aslıhan Tüfekci 0000-0002-8669-276X

Publication Date December 31, 2021
Submission Date November 22, 2021
Published in Issue Year 2021 Volume: 7 Issue: 2

Cite

IEEE İ. Y. Coşar and A. Tüfekci, “CMMC v1.02 ile ISO IEC 27001 Standardının Karşılaştırılması ve CMMC’ye Geçiş İçin Yapılması Gerekli Temel Faaliyetler”, UBGMD, vol. 7, no. 2, pp. 60–73, 2021, doi: 10.18640/ubgmd.1027026.