
ISO 27001 (International Organization for Standardization)
- ISO 27001/02, bilgi güvenliği yönetim sistemlerine (BGYS) odaklanan uluslararası standarttır.
- Her boyuttan ve sektörden organizasyonlar / şirketler / kurumlar için uygulanabilir.
- ISO 27001 sertifikası, akredite bir belgelendirme kuruluşu tarafından yürütülen resmi denetim sonucuyla alınabilir.
PCI DSS (Payment Card Industry Data Security Standard)
- Kredi kartı bilgilerini işleyen, saklayan veya ileten tüm şirketlerin (Ticari işletmeler, hizmet sağlayıcılar, ve finans kurumları dahil olmak üzere) güvenli bir ortam sağlamasını sağlamaya yönelik bir dizi standartlar gereksinimidir.
- PCI DSS bir sertifika değildir. Nitelikli-Yetkin Güvenlik Denetçileri (Qualified Security Accessor QSA’lar) tarafından yapılan bir uyumluluktur.
NIST CSF (National Institute of Standards and Technology)
- NIST Siber Güvenlik Çerçevesi, siber güvenlik tehditlerini ve olaylarını belirlemek, korumak, tespit etmek, standartlar çerçevesinde bunlara yanıt vermek, sorunları çözmek ve kurtulmak için esnek, risk tabanlı bir yaklaşım sağlar.
- Güvenlik duruşlarını geliştirmek isteyen her büyüklükteki, sektör ve endüstrideki kuruluşlar.
- NIST CSF, sertifikalandırma değildir. Siber güvenliği geliştirmeye yönelik bir dizi uygulamladrıdr.
CIS CONTROLS (Center for Internet Security Controls)
- CIS Kontrolleri, en yaygın saldırıları engellemek ve uyumluluğu desteklemek için özel ve eyleme geçirilebilir çözümler sağlayan, sürekli olarak iyileştirilen ve geliştirilen standartlar ve en iyi pratikleri yayınlamaktadır.
- Her büyüklükteki ve çeşitli sektörlerdeki özel ve kamu kuruluşları
- CIS Kontrolleri sertifikasyon değildir.
Siber güvenlik savunmalarını geliştirmeye yönelik bir dizi yönerge ve en iyi uygulamadır.
NIST SP 800-53 (NIST Special Publication 800-53)
- NIST SP 800-53, federal bilgi sistemleri ve kuruluşları için kapsamlı bir güvenlik ve gizlilik denetimleri uygunluk kataloğudur. Aynı zamanda çeşitli kuruluşlarda yaygın olarak kullanılmaktadır.
- Federal bilgi sistemleri ve kuruluşları için güvenlik kontrollerini ve önlemlerini içerir.
- NIST 800-53, sertifikalandırma değildir. İç veya dış denetçiler tarafından yürütülen denetimler veya değerlendirmeler yoluyla değerlendirilen bir uygunluktur.
SOC 2 ( System and Organization Controls)
- SOC 2 (Sistem ve Organizasyon Kontrolü 2), hizmet kuruluşlarındaki verilerin güvenliğine, kullanılabilirliğine, işleme bütünlüğüne, gizliliğine ve gizliliğine odaklanır.
- Veri barındırma, SaaS, yönetilen BT hizmetleri ve müşteri verilerini işleyen diğer dış kaynaklı hizmetleri yapan kuruluşlar.
- SOC2 bir sertifika değildir. Denetim ve raporlama için kullanılan kriterler setidir. Bağımsız bir CPA firması tarafından denetlenir.
HITRUST ( Health Information Trust Alliance )
- HITRUST, Hassas hasta sağlık bilgilerinin (PHI) korunmasına yardımcı olmak için tasarlanmış, yaygın olarak benimsenen bir çerçevedir. Entegre bir güvenlik yaklaşımı sağlamanın yanı sıra üçüncü taraf bir değerlendiriciye HIPAA güvenlik gereksinimlerine uygunluğu göstermenin bir yolunu sağlayarak bu sorunları çözmeyi amaçlar.
- Sağlık hizmetleri sağlayıcıları, ve iş ortakları dahil olmak üzere sağlık sektöründe kullanılır.
- HITRUST, HITRUST onaylı bir değerlendirici tarafından süreçler yürütülür.
HIPAA (Health Insurance Portability and Accountability Act)
- Sağlık hizmetleri sağlayıcıları, ve iş ortakları dahil olmak üzere sağlık sektöründe kullanılır. Kişisel olarak tanımlanabilir bilgilerin dolandırıcılık ve hırsızlığa karşı nasıl korunması gerektiğini tanılayan uluslararası bir standarttır. HIPAA bir sertifika değildir.
- HIPAA uyumluluğu, Sağlık ve İnsan Hizmetleri Bakanlığı Sivil Haklar Ofisine (OCR) tarafından yürütülen denetimlerle değerlendirilir.
CSA STAR (Cloud Security Alliance Security, Trust, and Assurance Registry)
- CSA STAR Bulut hizmeti sağlayıcılarında (CSP’ler) şeffaflığı ve güveni artırmak için Cloud Security Alliance tarafından geliştirilmiş bir programdır.
- CSA STAR, IaaS, PaaS, SaaS sağlayıcıları dahil olmak üzere her boyutta ve türde bulut hizmeti sağlayıcısı için geçerlidir.
- CSP’ler, CloudControls Matrisine dayalı bir değerlendirme yaparak CSASTAR’a katılabilir.
FEDRAMP (Federal Risk and Authorization Management Program)
- FedRAMP, Federal kurumlar tarafından kullanılmak üzere bulut hizmeti sağlayıcılarını (CSP’ler) değerlendirmek ve yetkilendirmek için standartlaştırılmış Amerika Birleşik Devletleri federal hükümeti çapında bir uyumluluk programıdır.
- Fedaral hükümete hizmet sağlayacak Bulut hizmeti sağlayıcıları (CSP) için geçerlidir.