ISO 27701:2019 Kişisel Veri Yönetim Sistemi (KVYS) Standart Maddeleri
Giriş
1 Kapsam
2 Bağlayıcı atıflar
3 Terimler, tanımlar ve kısaltmalar
4 Genel
4.1 Bu dokümanın yapısı
4.2 ISO/IEC 27001:2013 gerekliliklerinin uygulanması
4.3 ISO/IEC 27002:2013 gerekliliklerinin uygulanması
4.4 Müşteri
5 ISO/IEC 27001 ile ilgili KVYS’ye özgü gereklilikler
5.1 Genel
5.2 Kuruluşun bağlamı
5.2.1 Kuruluşu ve bağlamını anlama
5.2.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması
5.2.3 Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi
5.2.4 Bilgi güvenliği yönetim sistemi
5.3 Liderlik
5.3.1 Liderlik ve bağlılık
5.3.2 Politika
5.3.3 Kurumsal roller, sorumluluklar ve yetkiler
5.4 Planlama
5.4.1 Risk ve fırsatları ele alma faaliyetleri
5.4.2 Bilgi güvenliği hedefleri ve bu hedefleri başarmak için planlama
5. Destek
5.5.1 Kaynaklar
5.5.2 Yetkinlik
5.5.3 Farkındalık
5.5.4 İletişim
5.5.5 Dokümante Edilmiş Bilgiler
5.6 İşletim
5.6.1 İşletimsel planlama ve kontrol
5.6.2 Bilgi güvenliği risk değerlendirme
5.6.3 Bilgi güvenliği risk işleme
5.7 Performans değerlendirme
5.7.1 İzleme, ölçme, analiz ve değerlendirme
5.7.2 İç denetim
5.7.3 Yönetimin gözden geçirmesi
5.8 İyileştirme
5.8.1 Uygunsuzluk ve düzeltici faaliyet
5.8.2 Sürekli iyileştirme
6 ISO 27002 ile ilgili KVYS’ye özel kılavuz bilgiler
6.1 Genel
6.2 Bilgi güvenliği politikaları
6.2.1 Bilgi güvenliği için yönetimin yönlendirmesi
6.3 Bilgi güvenliği organizasyonu
6.3.1 İç organizasyon
6.3.2 Mobil cihazlar ve uzaktan çalışma
6.4 İnsan kaynakları güvenliği
6.4.1 İstihdam öncesi
6.4.2 Çalışma esnasında
6.4.3 İstihdamın sonlandırılması ve değiştirilmesi
6.5 Varlık yönetimi
6.5.1 Varlıkların sorumluluğu
6.5.2 Bilgi sınıflandırma
6.5.3 Ortam İşleme
6.6 Erişim kontrolü
6.6.1 Erişim kontrolünün iş gereklilikleri
6.6.2 Kullanıcı erişim yönetimi
6.6.3 Kullanıcı sorumlulukları
6.6.4 Sistem ve uygulama erişim kontrolü
6.7 Kriptografi
6.7.1 Kriptografik kontroller
6.8 Fiziksel ve Çevresel Güvenlik
6.8.1 Güvenli alanlar
6.8.2 Teçhizat
6.9 İşletim güvenliği
6.9.1 İşletim prosedürleri ve sorumlulukları
6.9.2 Kötücül yazılımlardan korunma
6.9.3 Yedekleme
6.9.4 Kaydetme ve izleme
6.9.5 İşletimsel yazılımın kontrolü
6.9.6 Teknik açıklık yönetimi
6.9.7 Bilgi sistemleri denetim hususları
6.10 Haberleşme güvenliği
6.10.1 Ağ güvenliği yönetimi
6.10.2 Bilgi transferi
6.11 Sistem temini, geliştirme ve bakımı
6.11.1 Bilgi sistemlerinin güvenlik gereklilikleri
6.11.2 Geliştirme ve destek süreçlerinde güvenlik
6.11.3 Test verisi
6.12 Tedarikçi ilişkileri
6.12.1 Tedarikçi ilişkilerinde bilgi güvenliği
6.12.2 Tedarikçi hizmet sağlama yönetimi
6.13 Bilgi güvenliği ihlal olayı yönetimi
6.13.1 Bilgi güvenliği ihlal olaylarının ve iyileştirilmelerin yönetimi
6.14 İş sürekliliği yönetiminin bilgi güvenliği hususları
6.14.1 Bilgi güvenliği sürekliliği
6.14.2 Yedek fazlalıklar
6.15 Uygunluk
6.15.1 Yasal ve sözleşmesel gerekliliklere uygunluk
6.15.2 Bilgi güvenliği gözden geçirmeleri
7 Kişisel Veri Sorumluları için ek ISO 27002 kılavuz bilgileri
7.1 Genel
7.2 Toplama ve işleme koşulları
7.2.1 Amacın tanımlanması ve dokümante edilmesi
7.2.2 Yasal dayanağın tanımlanması
7.2.3 Rızanın ne zaman ve nasıl alınacağının belirlenmesi
7.2.4 Rızanın alması ve kaydedilmesi
7.2.5 Gizlilik etki değerlendirmesi
7.2.6 Kişisel veri işleyenlerle yapılan sözleşmeler
7.2.7 Ortak kişisel veri sorumlusu
7.2.8 Kişisel veri işlenmesine ilişkin kayıtlar
7.3 Veri sahiplerine karşı yükümlülükler
7.3.1 Veri sahiplerine karşı yükümlülüklerin belirlenmesi ve yerine getirilmesi
7.3.2 Veri sahiplerine verilecek bilgilerin belirlenmesi
7.3.3 Veri sahiplerine bilgi verilmesi
7.3.4 Rızanın değiştirilmesi veya geri çekilmesine ilişkin mekanizmanın sağlanması
7.3.5 Veri işlemesine itiraz mekanizmasının sağlanması
7.3.6 Erişim, düzeltme ve/veya silme
7.3.7 Veri sorumlularının üçüncü tarafları uyarma yükümlülüğü
7.3.8 İşlenen kişisel verilerin kopyasının sağlanması
7.3.9 Taleplerin ele alınması
7.3.10 Otomatikleştirilmiş karar verme
7.4 Tasarım gereği gizlilik ve varsayılan olarak gizlilik
7.4.1 Toplamanın sınırlandırılması
7.4.2 İşlemenin sınırlandırılması
7.4.3 Doğruluk ve nitelik
7.4.4 Kişisel verileri en aza indirme hedefleri
7.4.5 Kişisel verilerin işleme sonunda anonim hâle getirilmesi ve silinmesi
7.4.6 Geçici dosyalar
7.4.7 Tutma
7.4.8 Yok etme
7.4.9 Kişisel veri aktarım kontrolleri
7.5 Kişisel verileri paylaşma, aktarma ve ifşa etme
7.5.1 Yetki alanları arası kişisel veri aktarımı için dayanağın tanımlanması
7.5.2 Kişisel verilerin aktarılabileceği ülkeler ve uluslararası kuruluşlar
7.5.3 Kişisel veri aktarımının kayıtları
7.5.4 Üçüncü taraflara yapılan kişisel veri ifşalarının kayıtları
8 Veri işleyenler için ek ISO 27002 kılavuz bilgileri
8.1 Genel
8.2 Toplama ve işleme koşulları
8.2.1 Müşteri anlaşması
8.2.2 Kuruluşun amaçları
8.2.3 Pazarlama ve reklam kullanımı
8.2.4 İhlale sebep olan talimatlar
8.2.5 Müşteri yükümlülükleri
8.2.6 Kişisel verilerin işlenmesine ilişkin kayıtlar
8.3 Veri sahiplerine karşı yükümlülükler
8.3.1 Veri sahiplerine karşı yükümlülükler
8.4 Tasarım gereği gizlilik ve varsayılan olarak gizlilik
8.4.1 Geçici dosyalar
8.4.2 Kişisel verilerin iadesi, aktarımı ve yok edilmesi
8.4.3 Kişisel veri aktarım kontrolleri
8.5 Kişisel verileri paylaşma, aktarma ve ifşa etme
8.5.1 Yetki alanları arası kişisel veri aktarımına ilişkin dayanak
8.5.2 Kişisel verilerin aktarılabileceği ülkeler ve uluslararası kuruluşlar
8.5.3 Üçüncü taraflara yapılan kişisel veri ifşalarının kayıtları
8.5.4 Kişisel veri ifşa taleplerinin bildirimi
8.5.5 Yasal olarak bağlayıcı kişisel veri ifşaları
8.5.6 Kişisel veri işleme için kullanılan alt yüklenicilerin ifşa edilmesi
8.5.7 Kişisel verilerin işlenmesi için alt yüklenici kullanımı
8.5.8 Kişisel veri işleme için kullanılan alt yüklenicinin değiştirilmesi
Ek A (bağlayıcı) KVYS’ye özel referans kontrol hedefleri ve kontrolleri (kişisel veri
sorumluları için)
Ek B (bağlayıcı) KVYS’ye özgü referans kontrol hedefleri ve kontrolleri (kişisel veri işleyenler
için)
Ek C (bilgi için) ISO/IEC 29100 ile eşleştirme
Ek D (bilgi için) Genel Veri Koruma Tüzüğü ile Eşleştirme
Ek E (bilgi için) ISO/IEC 27018 ve ISO/IEC 29151 ile Eşleştirme
Ek F (bilgi için) ISO/IEC 27701’in ISO/IEC 27001 ve ISO/IEC 27002’ye uygulanma şekli
Kaynaklar