Bilgi Güvenliği Risk Analizi ve Mahremiyet Etki Analizinin Farkları

Bilgi güvenliği risk analizi ve mahremiyet etki analizinin birtakım farklılıkları bulunmaktadır. Bu bazen kafa karışıklığına, bazen gözden kaçırma ile temel hususların atlanmasına neden olmaktadır. 

Her iki analiz de farklı disiplinlerin gerekliliklerini ele alır ve organizasyonların bilgi güvenliği ve mahremiyet yönetimi stratejilerini tamamlar. Bilgi Güvenliği Risk Analizi, bilgi varlıklarını korumak için tehditleri değerlendirir; Mahremiyet Etki Analizi ise kişisel verilerin işlenmesi sırasında bireylerin mahremiyetine odaklanır. Hem bilgi güvenliği hem de mahremiyet risklerinin etkili bir şekilde yönetilmesi, organizasyonların itibarını koruma, yasal uyumluluğu sağlama ve güvenilir bir iş ortamı yaratma açısından kritik öneme sahiptir.

1.  Amaç ve Kapsam

Bilgi Güvenliği Risk Analizi

Amaç:

-Bilgi varlıklarına yönelik tehditleri ve zayıflıkları tespit etmek.

-Bu risklerin iş süreçlerine ve organizasyonun genel güvenlik duruşuna etkisini değerlendirmek.

-Riskleri kabul edilebilir seviyelere indirmek için uygun güvenlik kontrollerini belirlemek ve uygulamak.

Kapsam:

-Tüm bilgi varlıkları (sistemler, ağlar, veritabanlarını, uygulamalar)

-Fiziksel, teknik ve idari güvenlik önlemleri

-İç ve dış tehditler (örneğin, siber saldırılar, içerden gelen tehditler)

Mahremiyet Etki Analizi (PIA)

Amaç:

-Kişisel verilerin işlenmesi sırasında bireylerin mahremiyetine yönelik potansiyel etkileri tespit etmek.

-Bu etkileri minimize etmek ve bireylerin mahremiyet haklarını korumak için uygun önlemleri belirlemek.

-Veri koruma yasalarına (örneğin GDPR, KVKK) uyum sağlamak.

Kapsam:

-Kişisel verilerin toplanması, işlenmesi, saklanması, paylaşılması ve imha edilmesi süreçleri.

-Veri işleme faaliyetlerinin amacı, kapsamı, bağlamı ve potansiyel sonuçları.

-Mahremiyet riskleri ve bunların bireyler üzerindeki olası etkileri.

2. Odak Alanları

Bilgi Güvenliği Risk Analizi

Gizlilik: Verilerin yetkisiz erişime karşı korunması.

Bütünlük: Verilerin doğruluğunun ve tamlığının korunması.

Erişilebilirlik: Bilgi varlıklarının yetkili kullanıcılar tarafından gerektiğinde erişilebilir olması.

Mahremiyet Etki Analizi

Veri Minimizasyonu: Yalnızca gerekli kişisel verilerin toplanması ve işlenmesi.

Şeffaflık: Veri sahiplerinin, hangi verilerin toplandığı ve nasıl kullanıldığı konusunda bilgilendirilmesi.

Birey Hakları: Veri sahiplerinin, verileri üzerinde kontrol sahibi olması (örneğin, veri erişimi, düzeltme, silme talepleri).

3.  Metodoloji

 Bilgi Güvenliği Risk Analizi

1.  Varlık Envanteri: Bilgi varlıklarının ve bu varlıklara bağlı süreçlerin tanımlanması.

2.  Tehdit ve Zayıflık Analizi: Potansiyel tehditlerin ve mevcut güvenlik zayıflıklarının belirlenmesi.

3.  Risk Değerlendirmesi: Tehditlerin varlıklar üzerindeki potansiyel etkisinin ve bu etkilerin olasılığının değerlendirilmesi.

4.  Risk Tedavisi: Riskleri azaltmak için güvenlik kontrollerinin belirlenmesi ve uygulanması.

5.  Sürekli İzleme: Güvenlik duruşunun sürekli olarak izlenmesi ve iyileştirilmesi.

Mahremiyet Etki Analizi

1.  Veri Akışı Analizi: Kişisel verilerin toplandığı, işlendiği, saklandığı ve imha edildiği süreçlerin haritalandırılması.

2.  Risk Tespiti: Kişisel verilerin işlenmesiyle ilişkili potansiyel mahremiyet risklerinin belirlenmesi.

3.  Etkilerin Değerlendirilmesi: Bu risklerin bireyler üzerindeki olası etkilerinin değerlendirilmesi.

4.  Risk Azaltma Stratejileri: Riskleri minimize etmek için gerekli teknik ve idari önlemlerin belirlenmesi.

5. Belgelendirme ve Raporlama: Analiz sonuçlarının ve alınan önlemlerin belgelendirilmesi, ilgili taraflarla paylaşılması.

4. Yasal ve Düzenleyici Çerçeve

Bilgi Güvenliği Risk Analizi

Standartlar: ISO/IEC 27001, NIST SP 800-30 gibi uluslararası standartlar ve Bilgi ve İletişim Güvenliği Rehberi gibi yerel çerçeveler.

Uyumluluk Gereklilikleri: Sektörel düzenlemeler (örneğin, finans sektöründe PCI DSS, sağlık sektöründe HIPAA).

Mahremiyet Etki Analizi

Yasalar: GDPR (Avrupa Birliği), KVKK (Türkiye) ve diğer bölgesel veri koruma düzenlemeleri.

Uyumluluk Gereklilikleri: Kişisel verilerin işlenmesine ilişkin yasal yükümlülükler ve düzenleyici gereksinimler.

5. Çıktılar ve Sonuçlar

Bilgi Güvenliği Risk Analizi

Risk Değerlendirme Raporu: Tespit edilen güvenlik risklerinin ve bu risklerin iş süreçleri üzerindeki potansiyel etkilerinin belgelendirilmesi.

Risk Azaltma Planı: Riskleri azaltmak için önerilen güvenlik kontrollerinin ve stratejilerin bir planı.

İyileştirme Önlemleri: Güvenlik duruşunu iyileştirmek için sürekli izleme ve iyileştirme önlemleri.

Mahremiyet Etki Analizi

Mahremiyet Risk Raporu: Kişisel verilerin işlenmesiyle ilgili potansiyel mahremiyet risklerinin ve bu risklerin bireyler üzerindeki potansiyel etkilerinin belgelendirilmesi.

Uyumluluk Stratejisi: Veri koruma yasalarına uyum sağlamak için alınması gereken önlemlerin bir planı.

Birey Haklarını Güvence Altına Alma: Veri sahiplerinin haklarını korumak için gerekli süreçlerin ve prosedürlerin belirlenmesi.

6. İlgili Taraflar

Bilgi Güvenliği Risk Analizi

Katılımcılar: Bilgi güvenliği uzmanları, IT departmanları, risk yöneticileri, üst yönetim.

İlgili Belgeler: Güvenlik politikaları, prosedürler, varlık envanteri, tehdit ve zayıflık raporları.

Mahremiyet Etki Analizi

Katılımcılar: Veri koruma sorumluları, hukuk departmanı, iş birimleri, veri sahipleri.

İlgili Belgeler: Veri işleme envanteri, veri koruma politikaları, birey haklarına ilişkin prosedürler.

Sık Sorulan Sorular (SSS):

Bilgi Güvenliği Risk Analizi ne sıklıkla yapılmalıdır?

Cevap: Yeni sistemler devreye alındığında ve periyodik olarak (örneğin, yıllık).

Kimler Mahremiyet Etki Analizi yapar?

Cevap: Veri koruma sorumluları (DPO), hukuk ve IT ekipleri.

Mahremiyet Etki Analizi yapmazsak ne olur?

Cevap: Veri ihlali riski artar, yasal yaptırımlar ve para cezalarıyla karşılaşabilirsiniz.

Kaynak:

[1]

Yazar:

Yazar: Nazlıcan Tanın Kaya/ BeyazNet Denetim Hizmetleri ve Teknolojileri K. Uzman