İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS TaliaDomain Faronics Uçtan Uca Güvenlik SANGFOR SearchInform
EN

ISO/IEC 27701:2019 Nedir ve Neden Önemlidir?


ISO/IEC 27701, Kişisel Veri Gizliliği Yönetim Sistemini (KVYS veya PIMS) kurmak, uygulamak, sürdürmek ve sürekli iyileştirmek için gereklilikleri belirleyen ve rehberlik sağlayan uluslararası bir standarttır.  Verilerin nasıl yönetileceği, işleneceği ve gizliliğin nasıl korunacağı konusunda bir çerçeve ve rehberlik sağlar.  ISO 27701, gizlilik veri ihlalleriyle ilişkili finansal ve düzenleyici riskleri azaltmaya yardımcı olur.

ISO 27701, ISO 27001'i temel alır. Standart, ISO 27001 standardının gerekliliklerine, kontrol hedeflerine ve denetimlerine dayanır ve bir dizi gizlilik gereksinimi, kontrolü ve kontrol hedefi içerir. Bunu uygulayan kuruluşlar, kişisel veri korumasına proaktif bir yaklaşım gösterir. ISO 27701 sertifikası almak isteyen kuruluşların, mevcut bir ISO 27001 sertifikasına sahip olması veya ISO 27001 ve ISO 27701'i tek bir uygulama denetimi olarak birlikte uygulaması gerekmektedir.

ISO/IEC 27701:2019'un Kapsamı ve Faydaları

ISO/IEC 27701:2019'un hem veri sorumluları hem de veri işleyenler için geçerlidir ve kişisel veri işleme faaliyetlerinin tüm aşamalarını kasar. 27701’i uygulamak kuruluşlara aşağıda verilen faydaları sağlamaktadır.

- KVKK ve GDPR’a uyum

- Veri envanterinin oluşturulması ile veriler üzerinde farkındalık

- BT yönetişimi

- Gizlilik ilkelerini benimseme

- Kişisel veriler için hesap verilebilirliği ve şeffaflığı arttırma

- İç ve dış paydaşlar için güven oluşturma

- Müşteri memnuniyeti

- Rekabet avantajı

ISO/IEC 27701:2019'un Temel Gereksinimleri

KVYS’nin Kurulması

ISO 27701'in uygulanmasında birçok kuruluşun kullandığı sürekli iyileştirme döngüsü olan Planla, Yap, Kontrol Et, Harekete Geç (PDCA) döngüsü kullanılabilir. Kuruluşlar kişisel veri işleme faaliyetlerini yönetmek için bir KVYS/PIMS kurmalıdır. Bu sistem gizlilik politikaları, prosedürler, sorumluluklar, eğitim, farkındalık, risk değerlendirmesi ve iç denetim gibi unsurları içermektedir.

ISO/IEC 27701 uyumluluğu için aşağıda verilen adımlar takip edilir:

- Kuruluş için bir Kişisel Bilgi Sistemi tasarlanır, oluşturulur ve uygulanır
- KVYS tasarlarken ve uygularken ISO 27701 yönergeleri izlenir
- Gerekli politika ve prosedürler oluşturulur
- Kişisel olarak tanımlanabilir bilgilerin nasıl elde edildiği, kullanıldığı, paylaşıldığı ve silindiği de dahil olmak üzere bu bilgilerin yönetimi için sıkı sistemler ve taktiksel kontroller tanımlanır
- Kişisel veri işleyen ve kontrol eden tüm paydaşlar için erişim ve yetki tanımlamaları yapılır
- Konuyla ilgili iç ve dış paydaşlara eğitim verilir
- İç ve dış denetimler ile sistemin doğruluğu kontrol edilir

Kişisel Verilerin Korunması İçin Kontroller

ISO/IEC 27701:2019, kişisel verilerin korunması için bir dizi kontrol gerektirir. Bu kontroller erişim kontrolü, veri minimizasyonu, veri saklama süreleri, veri güvenliği, veri ihlali yönetimi, şeffaflık ve veri aktarımı gibi konuları kapsar.

ISO 27701, diğer ISO standartları gibi maddelere ayrılmıştır; 5-8. Maddeler, ISO 27001'e eklenmesi gereken ek gereklilikleri ve güncellemeleri ayrıntılı olarak açıklamaktadır:

- Madde 5, ISO/IEC 27001 uyumluluğu için PIMS gerekliliklerini özetlemektedir.
- Madde 6, ISO/IEC 27002 için PIMS kılavuzunu özetlemektedir.
- Madde 7, PII Denetleyicileri için PIMS kılavuzunu özetlemektedir.
- PIMS'in 8. Maddesi, PII İşleyicileri için rehberlik sağlar.

Standartta ayrıca aşağıdaki Ekler de yer almaktadır:

- PIMS'e özgü referans kontrol hedefleri ve kontrolleri Ek A'da belirtilmiştir.
- PIMS'e özgü referans yönetimi hedefleri ve kontrolleri Ek B'de belirtilmiştir.
- Ek C'nin ISO/IEC 29100'e Eşleştirilmesi
- ISO/IEC 27018 ve ISO/IEC 29151 Eşlemesi Ek E
- Ek F:ISO/IEC 27701 ile ISO/IEC 27001 ve ISO/IEC 27002 arasındaki ilişki nedir?

Ancak, tüm politikaları, prosedürleri ve kontrolleri öğrenmeniz ve bunların kuruluşunuzda tutarlı bir şekilde uygulanması gereklidir.

ISO/IEC 27001 ve ISO/IEC 27002 ile Entegrasyon

ISO/IEC 27701:2019, ISO/IEC 27001 ve ISO/IEC 27002 standartlarıyla entegre bir şekilde çalışabilmektedir. Bu entegrasyon ile kuruluşlar bilgi güvenliği yönetim sistemi (ISMS) kapsamında kişisel veri gizliliğini de ele almalarını sağlar.

ISO 27701, ISO 27001'in bir gizlilik uzantısıdır. Risk yönetimi standartlarından biridir ancak işletmenin KVKK ve diğer ilgili PII düzenlemelerine uymasını sağlar. ISO 27701'in güvenlik avantajlarından yararlanabilmeniz için öncelikle ISO 27001'i uygulamanız gerekir.

Sık Sorulan Sorular (SSS):

ISO/IEC 27701:2019 hangi kuruluşlar için geçerlidir?

-Kişisel veri işleyen tüm kuruluşlar bu standarttı uygulayabilir.

ISO/IEC 27701:2019 ile GDPR arasındaki ilişki nedir?

-GDPR (General Data Protection Regulation) Avrupa genelinde AB vatandaşlarının kişisel verilerini korumaya yönelik oluşturulmuş yönetmeliktir. ISO/IEC 27701:2019, GDPR uyumluluğunu destekleyen bir çerçeve sağlar. Fakat GDPR'ye tam uyum için ek adımlar gerekebilir.

ISO/IEC 27701:2019 sertifikası almak zorunlu mudur?

-Hayır, zorunlu değildir ancak kuruluşlara güvenilirlik, rekabet avantajı ve uyumluluk sağlar.

ISO/IEC 27701:2019 sertifikası ne kadar süreyle geçerlidir?

-Sertifika genellikle 3 yıl süreyle geçerlidir ve düzenli denetimlerle sürdürülmelidir.

Kaynak:

Kaynak [1]

Yazar:

Nazlıcan Tanın Kaya/ BeyazNet Denetim Hizmetleri ve Teknolojileri K. Uzman