Open menu

09 Şubat 2022

ISO 27001 & KVKK İlişkisi
×

Kategori KVKK - GDPR

ISO 27001 & KVKK İlişkisi

Bilgi varlıklarınızın güvenliğini sağlamak KVKK’nın bir parçasıdır ve işletmeniz için bir bilgi güvenliği sistemi oluşturarak ISO 27001 sertifikasına sahip olmak, organizasyonunuzun bu kapsamda aldığı tedbirleri belgelendirmeniz için en iyi yoldur.

CottBlog Abone Ol
CottBlog Subscribe

ISO 27001 standardının amacı, bir bilgi güvenliği yönetim sisteminin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için şartları ortaya koymaktır.

Bilgi Güvenliği Yönetim Sistemi; bilginin gizliliği, bütünlüğü ve erişilebilirliğini risk yönetimi prosesini uygulayarak muhafaza eder ve ilgili taraflara risklerin doğru bir şekilde yönetildiğine dair güvence verir.

Genel gereksinimler ve Ek A kontrollerinden oluşan uluslararası ISO 27001 standardı, Organizasyonların bilgi güvenliğini sağlayabilmeleri için gerekli olan hususları detaylı bir şekilde açıklamaktadır.

ISO 27001 Sertifikası Olan Organizasyonlar KVKK ile Uyumlu Mudur?

7 Nisan 2016 tarihinde yürürlüğe giren Kişisel Verilerin Korunması Kanunu'nun 12'nci Maddesinin 1'nci Fıkrasında:

"Veri Sorumlusu

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek

c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır." hükmü yer almaktadır.

Bu kapsamda alınması gereken tedbirler ise Kurum tarafından yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) içerisinde detaylandırılmıştır.

Hem ISO 27001'in hem de KVKK'nın genel prensibinin gizlilik ve güvenliğin sağlanması olması, elbette ISO 27001 sertifikası olan Organizasyonların KVKK'ya daha hızlı ve sağlıklı şekilde adapte olmalarını sağlamaktadır.

Ancak ISO 27001 sertifikası olan Organizasyonların, yalnızca standart kapsamındaki tedbirleri alarak KVKK ile de tam uyumlu hâle geldiklerini düşünmeleri, ISO 27001 ve KVKK'yı birbirinden ayıran önemli hususların mevcut olması sebebiyle büyük bir yanılgı olacaktır.

Kişisel Verilerin Korunması Kanunu Kapsamında alınması gereken teknik tedbirler ile ISO 27001 standardı içerisinde yer alan kontrol maddeleri arasındaki birbirini karşılayan benzer hususlar nelerdir?

Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) Kapsamında Alınması Gereken Özet Teknik Tedbirler ISO/IEC 27001:2013 Standart Maddesi
Yetki Matrisi
Yetki Kontrol
A.9.2 Kullanıcı Erişim Yönetimi
Erişim Logları A.12.4.1 Olay kaydetme
Kullanıcı Hesap Yönetimi A.9.4.2 Güvenli oturum açma prosedürleri
Ağ Güvenliği A.13.1.2 Ağ hizmetlerinin güvenliği
Uygulama Güvenliği A.14.2.6 Güvenli geliştirme ortamı
Şifreleme A.10.1 Kriptografik Kontroller
Sızma Testi
Saldırı Tespit ve Önleme Sistemleri
A.12.6.1 Teknik açıklıkların yönetimi
Log Kayıtları A.12.4.1 Olay kaydetme
Veri Maskeleme Mevcut Değil
Veri Kaybı Önleme Yazılımları A.12.6.1 Teknik açıklıkların yönetimi
Yedekleme A.12.3.1 Bilgi Yedekleme
Güvenlik Duvarları A.14.1.2 Halka açık ağlardaki uygulama hizmetlerinin güvenliğinin sağlanması
Güncel Anti-Virüs Sistemleri A.12.2.1 Kötücül yazılımlara karşı kontroller
Silme, Yok Etme veya Anonim Hâle Getirme A.8.3.2 Ortamın yok edilmesi
Anahtar Yönetimi A.10.1.2 Anahtar Yönetimi

Kişisel Verilerin Korunması Kanunu Kapsamında alınması gereken idari tedbirler ile ISO 27001 standardı içerisinde yer alan kontrol maddeleri arasındaki birbirini karşılayan benzer hususlar nelerdir?

Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) Kapsamında Alınması Gereken Özet İdari Tedbirler ISO/IEC 27001:2013 Standart Maddesi
Kişisel Veri İşleme Envanteri Hazırlanması A.8.1.1 Varlıkların Envanteri
Kurumsal Politikalar
(Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
5.2 Politika
Sözleşmeler
(Veri Sorumlusu – Veri Sorumlusu & Veri Sorumlusu – Veri İşleyen Arasında)
A.7.1.2 İstihdam Hüküm ve Koşulları
Gizlilik Taahhütnameleri A.15.1.2 Tedarikçi anlaşmalarında güvenliği ifade etme
Kurum İçi Periyodik ve / veya Rastgele Denetimler 9.2 İç tetkik
Risk Analizleri 6.1.2 Bilgi güvenliği risk değerlendirme
İş Sözleşmesi, Disiplin Yönetmeliği
(Kanuna Uygun Hükümler İlave Edilmesi)
A.7.2.3 Disiplin prosesi
Kurumsal İletişim
(Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
A.16 Bilgi güvenliği ihlal olayı yönetimi
A.17 İş sürekliliği yönetiminin bilgi güvenliği hususları
Eğitim ve Farkındalık Faaliyetleri
(Bilgi Güvenliği ve Kanun)
A.7.2.2 Bilgi güvenliği farkındalığı, eğitim ve öğretimi
Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim Mevcut Değil

Yukarıdaki tablolarda belirtilen hususlar, Standardın ve Kanunun aynı konu başlıkları üzerinden kontrollerinin bulunduğunu göstermektedir; ancak kontrollerin şartları ve gereksinimleri tamamen aynı değildir. Örneğin; her iki hususta da eğitim ve farkındalık faaliyetleri bir kontrol maddesi iken, eğitimin içeriği ve şartları özelleştirilmelidir.

Ayrıca KVKK kapsamında gerekli olan envanter hazırlanması hususu Varlık Envanteri olarak ISO 27001'de de karşımıza çıkmaktaysa da envanterlerin hazırlanma şartları farklılık göstereceğinden, Varlık Envanteri bulunan bir Organizasyon, Kişisel Veri Envanterine de sahiptir demek mümkün değildir.

Danışmanlarımız, aradaki benzerlikleri ve farkları dikkate alarak, KVKK uyumluluğunuzu sağlamanız ve ISO 27001 sertifikasına sahip olmanız için işletmenize en uygun çözümleri size sunmakta; uyumluluk ve bilgi güvenliği sisteminin kurulması çalışmasını eş zamanlı yürüterek uygulama kolaylığı sağlamaktadır.

Bilgi güvenliği sisteminizi kurmak ve işletmenizin ihtiyacı olan tedbirleri belirlemek için bizimle iletişime geçin.

Bilgilendirme Metni!

Bu makalede yer alan içerikler, yalnızca genel bilgilendirme amaçlıdır ve CottGroup® üye şirketlerine aittir. Bu içerikler, hukuki, mali veya teknik danışmanlık hizmeti niteliği taşımamaktadır ve kaynak gösterilmeden iktibas edilemez.

CottGroup® üye şirketleri, makaledeki bilgilerin doğru, güncel veya eksiksiz olduğunu garanti etmez ve bu bilgilerin içerebileceği hata, eksiklik veya yanlış anlaşılmalardan doğabilecek zararlardan sorumlu değildir.

Burada sunulan bilgiler, genel bir bakış sunmak amacıyla hazırlanmıştır. Her somut olay farklı değerlendirmeler gerektirebilir ve bu bilgiler her duruma uygun olmayabilir. Bu nedenle, makalede yer alan bilgilere dayalı olarak herhangi bir işlem yapmadan önce, konuyla ilgili hukuk, mali, teknik ve diğer uzmanlık alanlarında yetkin bir profesyonele danışmanız önemle tavsiye edilir. CottGroup® müşterisiyseniz, özel durumunuza ilişkin müşteri temsilcinizden bilgi almayı unutmayınız. Müşterimiz değilseniz, lütfen ilgili bir uzmandan görüş alınız.

CottGroup® üye şirketlerine ulaşmak için tıklayınız.

Yazar

/en/blog/kvkk-gdpr/item/relationship-between-iso-27001-kvkk

Diğer Makaleler

Başlayalım
Hizmet ihtiyaçlarınız için teklif alın.

Daha fazla bilgi
almak ister misiniz?