ISO 27701 KİŞİSEL VERİ GÜVENLİĞİ NEDİR ?

ISO 27701:2019 Kişisel Veri Yönetim Sistemi Nedir?

ISO 27701:2019 Kişisel Veri Yönetim Sistemi’nin 2019 yılında hayatımıza girmesi ile birlikte, müşterilerinin kişisel verilerine önem veren firmaların “ISO 27701 Kişisel Veri Yönetim Sistemi Belgesi nedir? veya nasıl alınır?”  ya da “ISO 27701 Kişisel Veri Yönetim Sistemi Danışmanlık süreci nedir?” gibi sorulara yanıt aradığını gördük. Eğer sizlerde Akrediteli ISO 27701:2019 Kişisel Veri Yönetim Sistemi sertifikasına sahip olmak istiyorsanız doğru yerdesiniz demektir.

Şimdi ISO 27701:2019 Kişisel Veri Yönetim Sistemi Nedir? İle başlayalım.

ISO / IEC 27701 standardı, ISO / IEC 27001 ve ISO / IEC 27002‘nin bir uzantısı olarak kişisel veri yönetim sistemlerinin (PIMS) kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için gereksinimleri belirleyen ve rehberlik sağlayan bir standarttır.

Kişisel Verilerin Korunması Kanunu (KVKK) mevcut şartlar altında en kapsamlı ve sistematik şekilde Türkiye’de giderek daha fazla önem kazanmaktadır. Bu anlamda ISO / IEC 27701, AB Veri Koruma Yönetmeliği (GDPR) ve KVKK’ya aynı anda uyum sağlamak isteyen kuruluşlar için kılavuz olarak belgelendirilebilecek bir standarttır.

ISO / IEC 27701 standardı, kişisel veri işlemeden sorumlu veri denetleyicileri ve veri işlemcileri için rehberlik sağlar ve kişisel veri yönetim sistemlerinin gereksinimlerini ortaya çıkararak kuruluşlarda sorumlu sistemlerin oluşturulmasına katkıda bulunur.

Bu standart, kamu ve özel kuruluşlar, devlet kurumları ve kar amacı gütmeyen kuruluşlar dahil olmak üzere kişisel verileri işleyen tüm veri denetleyicileri ve kuruluşlar için geçerlidir.

ISO / IEC 27701 standardı, tıpkı ISO / IEC 27001 gibi risk temelli bir yaklaşıma dayanmaktadır, ancak ISO / IEC 27701’e ek olarak, kişisel verileri ve gizlilik risklerini ele almak için bir çerçeve de sağlar. ISO / IEC 27701 sertifikası almak isteyen kuruluşların ISO / IEC 27001 ve ISO / IEC 27002’yi uygulamış olmaları veya tüm bu standartları bir denetim yoluyla uyguladıklarını göstermeleri gerekir.

Kuruluşunuz için ISO / IEC 27701 kişisel veri yönetim sisteminin faydaları nelerdir?

  • KVKK, GDPR, vb. Ulusal ve uluslararası veri koruma kanunları, yönetmelikleri ve yönetmeliklerine uyulmasına yardımcı olur,
  • Kişisel bilgi gizliliği yönetimi ile ilgili tüm taraflara garanti sağlar,
  • Kuruluşa şeffaflık ve hesap verebilirlik açısından katkı sağlar,
  • Veri sorumluları için rehberlik sağlar,
  • Kişisel bilgilerin ve gizlilik risklerinin yönetimini kolaylaştırır,
  • Gizlilik yönetimi sürecini kurumsallaştırmanıza olanak tanır,
  • Kişisel bilgilerinverilerin gizliliğinin anlaşılmasını ve kurum içinde içselleştirilecek verilerin korunmasını destekler.
  • İş sözleşmelerini kolaylaştırır.
  • Bilgi Güvenliğine önem veren firmalar tarafından tercih edilen bilgi güvenliği standardı ISO / IEC 27001 ile entegrasyon oluşturularak karmaşıklık azaltılır.

ISO 27701 neden geliştirildi?

AB GDPR (Genel Veri Koruma Yönetmeliği) hem de İngiltere DPA (Veri Koruma Yasası) 2018, firmaların işledikleri kişisel verilerin gizliliğini korumak amacıyla önlemler almasını gerektirir.

Ancak, hem AB hem GDPR hem de DPA (Veri Koruma Yasası) bu önlemlerin detayları ve sürdürülebilirliği açısından tam olarak rehberlik etmemektedir.

ISO (Uluslararası Standardizasyon Örgütü) ve IEC (Uluslararası Elektroteknik Komisyonu) bu nedenle yeni bir standart geliştirdi bu standart ISO 27701:2019 Kişisel Veri Yönetim Sistemi

Kişisel Verilerin Korunması Kanunu (KVKK) gereklilikleri ve GDPR gibi yönetmeliklerin gerekliliklerini sağlamak sürdürülebilirlik açısından müşterilere güven vermemekte. Dolayısıyla ISO 27701 Bilgi Güvenliği Standardının gerekliliklerini yerine getirerek hem Kişisel Verilerin Korunması Kanununun gerekliliklerini hem de GDPR gerekliliklerinin sürdürülebilirliği açısında belgelendirmek güven oluşturmaktadır.

Ancak ISO 27701:2019 Kişisel Veri Yönetim Sistemi belgesine sahip olmak kanunları tam anlamıyla uyguladığınızı garanti etmez.

ISO 27001 ve ISO 27701 Entegrasyonu Nasıl Olmaktadır?

ISO 27701 belgesi almak isteyen bir kuruluş aynı zamanda ISO 27001 Bilgi Güvenliği dokümantasyon altyapısı gerekliliğini yerine getirmelidir. ISO 27001 ile ilgili bilgi açmak için lütfen tıklayın.

ISO 27701 ile ilgili sistem altyapısını kurmak zorundandır. Bu konuda sizlere çözüm ortaklığı sunmaktan memnuniyet duyarız. Bilgi almak için lütfen tıklayın.

KVKK, ISO 27701 ve ISO 27001 Bağlantısı nedir?

KVKK (Teknik Tedbirler) ISO 27001 Maddesi ISO 27701 Maddesi
Yetki Matrisi A.9.1 Erişim Kontrolünün İş Gereklilikleri 6.6.1 Erişim kontrolünün iş gereklilikleri
Yetki Kontrolü A.9.2 Kullanıcı Erişim Yönetimi 6.6.2 Kullanıcı erişim yönetimi
Erişim Logları A.12.4 Kaydetme ve İzleme 6.9.4.2 Kayıt bilgilerinin korunması
Kullanıcı Hesap Yönetimi A.12.1 İşletim Prosedürü ve Sorumlulukları 6.9.1 İşletim prosedürleri ve sorumlulukları
Ağ Güvenliği A.13 Haberleşme Güvenliği 6.10 Haberleşme güvenliği
Uygulama Güvenliği A.12 İşletim Güvenliği 6.9 İşletim güvenliği
Şifreleme A.9.4.3 Parola Yönetim Sistemi 6.6.4.3 Parola yönetim sistemi
Sızma Testi

 

SIZMA TESTİ İÇİN TEKLİF AL

A.12.6.1 Teknik Açıklıklarının Yönetimi

A.18.2.3 Teknik Uyum Gözden geçirme

6.9.6.1 Teknik açıklıkların yönetimi

6.15.2.3 Teknik uygunluk gözden geçirmesi

Saldırı Tespit ve Önleme Sistemleri A.13.1.2 Ağ Hizmetlerinin Güvenliği 6.10.1.2 Ağ hizmetlerinin güvenliği
Log Kayıtları A.12.4 Kaydetme ve İzleme 6.9.4.2 Kayıt bilgilerinin korunması
Veri Maskeleme A.14 Sistem Temini, Geliştirme ve bakım 6.11 Sistem temini, geliştirme ve bakımı
Veri Kaybı Önleme Yazılımları A.14 Sistem Temini, Geliştirme ve bakım 6.11 Sistem temini, geliştirme ve bakımı
Yedekleme A.12.3.1 Yedekleme 6.9.3.1 Bilgi yedekleme
Güvenlik Duvarı A.13.1.2 Ağ Hizmetlerinin Güvenliği 6.10.1.2 Ağ hizmetlerinin güvenliği
Güncel anti-virüs Sistemleri A.12.2.1 Kötücül Yazılımlara Karşı Kontrol 6.9.2.1 Kötücül yazılımlara karşı kontroller
Silme, yok etme veya anonim hale getirme A.8.3.2 Ortamın Yok Edilmesi 6.5.3.2 Ortamın yok edilmesi
Anahtar Yönetimi A.10.1 Kriptografik kontroller 6.7.1 Kriptografik kontroller

ISO 27701 Kişisel Veri Yönetim Sistemi Standart Maddeleri Nelerdir?

1 Kapsam

2 Bağlayıcı atıflar

3 Terimler, tanımlar ve kısaltmalar

4 Genel

4.1 Bu dokümanın yapısı

4.2 ISO/IEC 27001:2013 gerekliliklerinin uygulanması

4.3 ISO/IEC 27002:2013 gerekliliklerinin uygulanması

4.4 Müşteri

5 ISO/IEC 27001 ile ilgili KVYS’ye özgü gereklilikler

5.1 Genel

5.2 Kuruluşun bağlamı

5.2.1 Kuruluşu ve bağlamını anlama

5.2.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması

5.2.3 Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi

5.2.4 Bilgi güvenliği yönetim sistemi

5.3 Liderlik

5.3.1 Liderlik ve bağlılık

5.3.2 Politika

5.3.3 Kurumsal roller, sorumluluklar ve yetkiler

5.4 Planlama

5.4.1 Risk ve fırsatları ele alma faaliyetleri

5.4.2 Bilgi güvenliği hedefleri ve bu hedefleri başarmak için planlama

5.5 Destek

5.5.1 Kaynaklar

5.5.2 Yetkinlik

5.5.3 Farkındalık

5.5.4 İletişim

5.5.5 Dokümante Edilmiş Bilgiler

5.6 İşletim

5.6.1 İşletimsel planlama ve kontrol

5.6.2 Bilgi güvenliği risk değerlendirme

5.6.3 Bilgi güvenliği risk işleme

5.7 Performans değerlendirme

5.7.1 İzleme, ölçme, analiz ve değerlendirme

5.7.2 İç denetim

5.7.3 Yönetimin gözden geçirmesi

5.8 İyileştirme

5.8.1 Uygunsuzluk ve düzeltici faaliyet

5.8.2 Sürekli iyileştirme

6 ISO 27002 ile ilgili KVYS’ye özel kılavuz bilgiler

6.1 Genel

6.2 Bilgi güvenliği politikaları

6.2.1 Bilgi güvenliği için yönetimin yönlendirmesi

6.3 Bilgi güvenliği organizasyonu

6.3.1 İç organizasyon

6.3.2 Mobil cihazlar ve uzaktan çalışma

6.4 İnsan kaynakları güvenliği

6.4.1 İstihdam öncesi

6.4.2 Çalışma esnasında

6.4.3 İstihdamın sonlandırılması ve değiştirilmesi

6.5 Varlık yönetimi

6.5.1 Varlıkların sorumluluğu

6.5.2 Bilgi sınıflandırma

6.5.3 Ortam İşleme

6.6 Erişim kontrolü

6.6.1 Erişim kontrolünün iş gereklilikleri

6.6.2 Kullanıcı erişim yönetimi

6.6.3 Kullanıcı sorumlulukları

6.6.4 Sistem ve uygulama erişim kontrolü

6.7 Kriptografi

6.7.1 Kriptografik kontroller

6.8 Fiziksel ve Çevresel Güvenlik

6.8.1 Güvenli alanlar

6.8.2 Teçhizat

6.9 İşletim güvenliği

6.9.1 İşletim prosedürleri ve sorumlulukları

6.9.2 Kötücül yazılımlardan korunma

6.9.3 Yedekleme

6.9.4 Kaydetme ve izleme

6.9.5 İşletimsel yazılımın kontrolü

6.9.6 Teknik açıklık yönetimi

6.9.7 Bilgi sistemleri denetim hususları

6.10 Haberleşme güvenliği

6.10.1 Ağ güvenliği yönetimi

6.10.2 Bilgi transferi

6.11 Sistem temini, geliştirme ve bakımı

6.11.1 Bilgi sistemlerinin güvenlik gereklilikleri

6.11.2 Geliştirme ve destek süreçlerinde güvenlik

6.11.3 Test verisi

6.12 Tedarikçi ilişkileri

6.12.1 Tedarikçi ilişkilerinde bilgi güvenliği

6.12.2 Tedarikçi hizmet sağlama yönetimi

6.13 Bilgi güvenliği ihlal olayı yönetimi

6.13.1 Bilgi güvenliği ihlal olaylarının ve iyileştirilmelerin yönetimi

6.14 İş sürekliliği yönetiminin bilgi güvenliği hususları

6.14.1 Bilgi güvenliği sürekliliği

6.14.2 Yedek fazlalıklar

6.15 Uygunluk

6.15.1 Yasal ve sözleşmesel gerekliliklere uygunluk

6.15.2 Bilgi güvenliği gözden geçirmeleri

7 Kişisel Veri Sorumluları için ek ISO 27002 kılavuz bilgileri

7.1 Genel

7.2 Toplama ve işleme koşulları

7.2.1 Amacın tanımlanması ve dokümante edilmesi

7.2.2 Yasal dayanağın tanımlanması

7.2.3 Rızanın ne zaman ve nasıl alınacağının belirlenmesi

7.2.4 Rızanın alması ve kaydedilmesi

7.2.5 Gizlilik etki değerlendirmesi

7.2.6 Kişisel veri işleyenlerle yapılan sözleşmeler

7.2.7 Ortak kişisel veri sorumlusu

7.2.8 Kişisel veri işlenmesine ilişkin kayıtlar

7.3 Veri sahiplerine karşı yükümlülükler

7.3.1 Veri sahiplerine karşı yükümlülüklerin belirlenmesi ve yerine getirilmesi

7.3.2 Veri sahiplerine verilecek bilgilerin belirlenmesi

7.3.3 Veri sahiplerine bilgi verilmesi

7.3.4 Rızanın değiştirilmesi veya geri çekilmesine ilişkin mekanizmanın sağlanması

7.3.5 Veri işlemesine itiraz mekanizmasının sağlanması

7.3.6 Erişim, düzeltme ve/veya silme

7.3.7 Veri sorumlularının üçüncü tarafları uyarma yükümlülüğü

7.3.8 İşlenen kişisel verilerin kopyasının sağlanması

7.3.9 Taleplerin ele alınması

7.3.10 Otomatikleştirilmiş karar verme

7.4 Tasarım gereği gizlilik ve varsayılan olarak gizlilik

7.4.1 Toplamanın sınırlandırılması

7.4.2 İşlemenin sınırlandırılması

7.4.3 Doğruluk ve nitelik

7.4.4 Kişisel verileri en aza indirme hedefleri

7.4.5 Kişisel verilerin işleme sonunda anonim hâle getirilmesi ve silinmesi

7.4.6 Geçici dosyalar

7.4.7 Tutma

7.4.8 Yok etme

7.4.9 Kişisel veri aktarım kontrolleri

7.5 Kişisel verileri paylaşma, aktarma ve ifşa etme

7.5.1 Yetki alanları arası kişisel veri aktarımı için dayanağın tanımlanması

7.5.2 Kişisel verilerin aktarılabileceği ülkeler ve uluslararası kuruluşlar

7.5.3 Kişisel veri aktarımının kayıtları

7.5.4 Üçüncü taraflara yapılan kişisel veri ifşalarının kayıtları

8 Veri işleyenler için ek ISO 27002 kılavuz bilgileri

8.1 Genel

8.2 Toplama ve işleme koşulları

8.2.1 Müşteri anlaşması

8.2.2 Kuruluşun amaçları

8.2.3 Pazarlama ve reklam kullanımı

8.2.4 İhlale sebep olan talimatlar

8.2.5 Müşteri yükümlülükleri

8.2.6 Kişisel verilerin işlenmesine ilişkin kayıtlar

8.3 Veri sahiplerine karşı yükümlülükler

8.3.1 Veri sahiplerine karşı yükümlülükler

8.4 Tasarım gereği gizlilik ve varsayılan olarak gizlilik

8.4.1 Geçici dosyalar

8.4.2 Kişisel verilerin iadesi, aktarımı ve yok edilmesi

8.4.3 Kişisel veri aktarım kontrolleri

8.5 Kişisel verileri paylaşma, aktarma ve ifşa etme

8.5.1 Yetki alanları arası kişisel veri aktarımına ilişkin dayanak

8.5.2 Kişisel verilerin aktarılabileceği ülkeler ve uluslararası kuruluşlar

8.5.3 Üçüncü taraflara yapılan kişisel veri ifşalarının kayıtları

8.5.4 Kişisel veri ifşa taleplerinin bildirimi

8.5.5 Yasal olarak bağlayıcı kişisel veri ifşaları

8.5.6 Kişisel veri işleme için kullanılan alt yüklenicilerin ifşa edilmesi

8.5.7 Kişisel verilerin işlenmesi için alt yüklenici kullanımı

8.5.8 Kişisel veri işleme için kullanılan alt yüklenicinin değiştirilmesi

Ek A (bağlayıcı) KVYS’ye özel referans kontrol hedefleri ve kontrolleri (kişisel veri

sorumluları için)

Ek B (bağlayıcı) KVYS’ye özgü referans kontrol hedefleri ve kontrolleri (kişisel veri işleyenler

için)

Ek C (bilgi için) ISO/IEC 29100 ile eşleştirme

Ek D (bilgi için) Genel Veri Koruma Tüzüğü ile Eşleştirme

Ek E (bilgi için) ISO/IEC 27018 ve ISO/IEC 29151 ile Eşleştirme

Ek F (bilgi için) ISO/IEC 27701’in ISO/IEC 27001 ve ISO/IEC 27002’ye uygulanma şekli

Kaynaklar

Ayrıntılı bilgi için bize ulaşın;

Tel: 0(216)6063597

Mail: destek@kysdestek.com

[contact-form-7 id=”48″]