ISO 27701 ve KVKK
ISO 27701 ile KVKK arasındaki bağlantı nedir?
Öncelikle, ISO 27701 ile KVKK arasındaki bağlantı nedir? sorusuna yanıt aramadan önce ISO 27701:2019 Kişisel Veri Yönetim Sistemi Nedir? sorusunun cevabını hatırlayalım.
ISO 27701:2019 Kişisel Veri Yönetim Sistemi (KVYS) Nedir? İle başlayalım.
ISO / IEC 27701 standardı, ISO / IEC 27001 ve ISO / IEC 27002‘nin bir uzantısı olarak kişisel veri yönetim sistemlerinin (KVYS) kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için gereksinimleri belirleyen ve rehberlik sağlayan bir standarttır.
Kişisel Verilerin Korunması Kanunu (KVKK) mevcut şartlar altında en kapsamlı ve sistematik şekilde Türkiye’de giderek daha fazla önem kazanmaktadır. Bu anlamda ISO / IEC 27701, AB Veri Koruma Yönetmeliği (GDPR) ve KVKK’ya aynı anda uyum sağlamak isteyen kuruluşlar için kılavuz olarak belgelendirilebilecek bir standarttır.
Daha önce ISO 27701 Standart maddelerini incelemiştik. (Standart maddelerine buradan ulaşabilirsiniz)
Ülke kanunları her zaman standartların üzerindedir. Dolayısıyla firmalar, standart maddelerinde yasal şartları bilmeli, firmalarına uygulamalı ve gerekliliklerini yerine getirmelidir.
Konumuz olan ISO 27701 belgesi belgelendirme sürecinde de gelen denetçiler, standart maddelerinin dokümantasyon yeterliliğinin yanı sıra yasal şartlara olan uyumu da kontrol etmektedir.
Yasal şartlardan biri olan ve ülkemizde de 2016 tarihinde yürürlüğe giren Kişisel Verilerin Korunması Kanunu (KVKK)’na uyum ISO 27701 Belgelendirmesi denetimi sırasında denetçiler tarafından kontrol edilecektir.
Kişisel Verilerin Korunması Kanunu (KVKK) İdari ve teknik tedbirleri aşağıdaki gibidir:
İdari Tedbirler | Teknik Tedbirler |
Kişisel Veri İşleme Envanteri Hazırlanması | Yetki Matrisi |
Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.) | Yetki Kontrol |
Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında ) | Erişim Logları |
Gizlilik Taahhütnameleri | Kullanıcı Hesap Yönetimi |
Kurum İçi Periyodik ve/veya Rastgele Denetimler | Ağ Güvenliği |
Risk Analizleri | Uygulama Güvenliği |
İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi) | Şifreleme |
Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.) | Sızma Testi |
Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun) | Saldırı Tespit ve Önleme Sistemleri |
Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim | Log Kayıtları |
Veri Maskeleme | |
Veri Kaybı Önleme Yazılımları | |
Yedekleme | |
Güvenlik Duvarları | |
Güncel Anti-Virüs Sistemleri | |
Silme, Yok Etme veya Anonim Hale Getirme | |
Anahtar Yönetimi |
Detaylı bilgi almak için lütfen tıklayınız…