09 Şubat 2022
ISO 27001 & KVKK İlişkisi
×
Bilgi varlıklarınızın güvenliğini sağlamak KVKK’nın bir parçasıdır ve işletmeniz için bir bilgi güvenliği sistemi oluşturarak ISO 27001 sertifikasına sahip olmak, organizasyonunuzun bu kapsamda aldığı tedbirleri belgelendirmeniz için en iyi yoldur.
ISO 27001 standardının amacı, bir bilgi güvenliği yönetim sisteminin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için şartları ortaya koymaktır.
Bilgi Güvenliği Yönetim Sistemi; bilginin gizliliği, bütünlüğü ve erişilebilirliğini risk yönetimi prosesini uygulayarak muhafaza eder ve ilgili taraflara risklerin doğru bir şekilde yönetildiğine dair güvence verir.
Genel gereksinimler ve Ek A kontrollerinden oluşan uluslararası ISO 27001 standardı, Organizasyonların bilgi güvenliğini sağlayabilmeleri için gerekli olan hususları detaylı bir şekilde açıklamaktadır.
ISO 27001 Sertifikası Olan Organizasyonlar KVKK ile Uyumlu Mudur?
7 Nisan 2016 tarihinde yürürlüğe giren Kişisel Verilerin Korunması Kanunu'nun 12'nci Maddesinin 1'nci Fıkrasında:
"Veri Sorumlusu
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek
c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır." hükmü yer almaktadır.
Bu kapsamda alınması gereken tedbirler ise Kurum tarafından yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) içerisinde detaylandırılmıştır.
Hem ISO 27001'in hem de KVKK'nın genel prensibinin gizlilik ve güvenliğin sağlanması olması, elbette ISO 27001 sertifikası olan Organizasyonların KVKK'ya daha hızlı ve sağlıklı şekilde adapte olmalarını sağlamaktadır.
Ancak ISO 27001 sertifikası olan Organizasyonların, yalnızca standart kapsamındaki tedbirleri alarak KVKK ile de tam uyumlu hâle geldiklerini düşünmeleri, ISO 27001 ve KVKK'yı birbirinden ayıran önemli hususların mevcut olması sebebiyle büyük bir yanılgı olacaktır.
Kişisel Verilerin Korunması Kanunu Kapsamında alınması gereken teknik tedbirler ile ISO 27001 standardı içerisinde yer alan kontrol maddeleri arasındaki birbirini karşılayan benzer hususlar nelerdir?
| Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) Kapsamında Alınması Gereken Özet Teknik Tedbirler | ISO/IEC 27001:2013 Standart Maddesi |
|---|---|
| Yetki Matrisi Yetki Kontrol | A.9.2 Kullanıcı Erişim Yönetimi |
| Erişim Logları | A.12.4.1 Olay kaydetme |
| Kullanıcı Hesap Yönetimi | A.9.4.2 Güvenli oturum açma prosedürleri |
| Ağ Güvenliği | A.13.1.2 Ağ hizmetlerinin güvenliği |
| Uygulama Güvenliği | A.14.2.6 Güvenli geliştirme ortamı |
| Şifreleme | A.10.1 Kriptografik Kontroller |
| Sızma Testi Saldırı Tespit ve Önleme Sistemleri | A.12.6.1 Teknik açıklıkların yönetimi |
| Log Kayıtları | A.12.4.1 Olay kaydetme |
| Veri Maskeleme | Mevcut Değil |
| Veri Kaybı Önleme Yazılımları | A.12.6.1 Teknik açıklıkların yönetimi |
| Yedekleme | A.12.3.1 Bilgi Yedekleme |
| Güvenlik Duvarları | A.14.1.2 Halka açık ağlardaki uygulama hizmetlerinin güvenliğinin sağlanması |
| Güncel Anti-Virüs Sistemleri | A.12.2.1 Kötücül yazılımlara karşı kontroller |
| Silme, Yok Etme veya Anonim Hâle Getirme | A.8.3.2 Ortamın yok edilmesi |
| Anahtar Yönetimi | A.10.1.2 Anahtar Yönetimi |
Kişisel Verilerin Korunması Kanunu Kapsamında alınması gereken idari tedbirler ile ISO 27001 standardı içerisinde yer alan kontrol maddeleri arasındaki birbirini karşılayan benzer hususlar nelerdir?
| Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) Kapsamında Alınması Gereken Özet İdari Tedbirler | ISO/IEC 27001:2013 Standart Maddesi |
|---|---|
| Kişisel Veri İşleme Envanteri Hazırlanması | A.8.1.1 Varlıkların Envanteri |
| Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.) | 5.2 Politika |
| Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu & Veri Sorumlusu – Veri İşleyen Arasında) | A.7.1.2 İstihdam Hüküm ve Koşulları |
| Gizlilik Taahhütnameleri | A.15.1.2 Tedarikçi anlaşmalarında güvenliği ifade etme |
| Kurum İçi Periyodik ve / veya Rastgele Denetimler | 9.2 İç tetkik |
| Risk Analizleri | 6.1.2 Bilgi güvenliği risk değerlendirme |
| İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi) | A.7.2.3 Disiplin prosesi |
| Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.) | A.16 Bilgi güvenliği ihlal olayı yönetimi A.17 İş sürekliliği yönetiminin bilgi güvenliği hususları |
| Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun) | A.7.2.2 Bilgi güvenliği farkındalığı, eğitim ve öğretimi |
| Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim | Mevcut Değil |
Yukarıdaki tablolarda belirtilen hususlar, Standardın ve Kanunun aynı konu başlıkları üzerinden kontrollerinin bulunduğunu göstermektedir; ancak kontrollerin şartları ve gereksinimleri tamamen aynı değildir. Örneğin; her iki hususta da eğitim ve farkındalık faaliyetleri bir kontrol maddesi iken, eğitimin içeriği ve şartları özelleştirilmelidir.
Ayrıca KVKK kapsamında gerekli olan envanter hazırlanması hususu Varlık Envanteri olarak ISO 27001'de de karşımıza çıkmaktaysa da envanterlerin hazırlanma şartları farklılık göstereceğinden, Varlık Envanteri bulunan bir Organizasyon, Kişisel Veri Envanterine de sahiptir demek mümkün değildir.
Danışmanlarımız, aradaki benzerlikleri ve farkları dikkate alarak, KVKK uyumluluğunuzu sağlamanız ve ISO 27001 sertifikasına sahip olmanız için işletmenize en uygun çözümleri size sunmakta; uyumluluk ve bilgi güvenliği sisteminin kurulması çalışmasını eş zamanlı yürüterek uygulama kolaylığı sağlamaktadır.
Bilgi güvenliği sisteminizi kurmak ve işletmenizin ihtiyacı olan tedbirleri belirlemek için bizimle iletişime geçin.
Bilgilendirme Metni!
