Open menu

09 Şubat 2022

ISO 27001 & KVKK İlişkisi

Kategori KVKK - GDPR

ISO 27001 & KVKK İlişkisi

    Bilgi varlıklarınızın güvenliğini sağlamak KVKK’nın bir parçasıdır ve işletmeniz için bir bilgi güvenliği sistemi oluşturarak ISO 27001 sertifikasına sahip olmak, organizasyonunuzun bu kapsamda aldığı tedbirleri belgelendirmeniz için en iyi yoldur.

    ISO 27001 standardının amacı, bir bilgi güvenliği yönetim sisteminin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için şartları ortaya koymaktır.

    Bilgi Güvenliği Yönetim Sistemi; bilginin gizliliği, bütünlüğü ve erişilebilirliğini risk yönetimi prosesini uygulayarak muhafaza eder ve ilgili taraflara risklerin doğru bir şekilde yönetildiğine dair güvence verir.

    Genel gereksinimler ve Ek A kontrollerinden oluşan uluslararası ISO 27001 standardı, Organizasyonların bilgi güvenliğini sağlayabilmeleri için gerekli olan hususları detaylı bir şekilde açıklamaktadır.

    ISO 27001 Sertifikası Olan Organizasyonlar KVKK ile Uyumlu Mudur?

    7 Nisan 2016 tarihinde yürürlüğe giren Kişisel Verilerin Korunması Kanunu'nun 12'nci Maddesinin 1'nci Fıkrasında:

    "Veri Sorumlusu

    a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek

    b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek

    c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır." hükmü yer almaktadır.

    Bu kapsamda alınması gereken tedbirler ise Kurum tarafından yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) içerisinde detaylandırılmıştır.

    Hem ISO 27001'in hem de KVKK'nın genel prensibinin gizlilik ve güvenliğin sağlanması olması, elbette ISO 27001 sertifikası olan Organizasyonların KVKK'ya daha hızlı ve sağlıklı şekilde adapte olmalarını sağlamaktadır.

    Ancak ISO 27001 sertifikası olan Organizasyonların, yalnızca standart kapsamındaki tedbirleri alarak KVKK ile de tam uyumlu hâle geldiklerini düşünmeleri, ISO 27001 ve KVKK'yı birbirinden ayıran önemli hususların mevcut olması sebebiyle büyük bir yanılgı olacaktır.

    Kişisel Verilerin Korunması Kanunu Kapsamında alınması gereken teknik tedbirler ile ISO 27001 standardı içerisinde yer alan kontrol maddeleri arasındaki birbirini karşılayan benzer hususlar nelerdir?

    Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) Kapsamında Alınması Gereken Özet Teknik Tedbirler ISO/IEC 27001:2013 Standart Maddesi
    Yetki Matrisi
    Yetki Kontrol
    A.9.2 Kullanıcı Erişim Yönetimi
    Erişim Logları A.12.4.1 Olay kaydetme
    Kullanıcı Hesap Yönetimi A.9.4.2 Güvenli oturum açma prosedürleri
    Ağ Güvenliği A.13.1.2 Ağ hizmetlerinin güvenliği
    Uygulama Güvenliği A.14.2.6 Güvenli geliştirme ortamı
    Şifreleme A.10.1 Kriptografik Kontroller
    Sızma Testi
    Saldırı Tespit ve Önleme Sistemleri
    A.12.6.1 Teknik açıklıkların yönetimi
    Log Kayıtları A.12.4.1 Olay kaydetme
    Veri Maskeleme Mevcut Değil
    Veri Kaybı Önleme Yazılımları A.12.6.1 Teknik açıklıkların yönetimi
    Yedekleme A.12.3.1 Bilgi Yedekleme
    Güvenlik Duvarları A.14.1.2 Halka açık ağlardaki uygulama hizmetlerinin güvenliğinin sağlanması
    Güncel Anti-Virüs Sistemleri A.12.2.1 Kötücül yazılımlara karşı kontroller
    Silme, Yok Etme veya Anonim Hâle Getirme A.8.3.2 Ortamın yok edilmesi
    Anahtar Yönetimi A.10.1.2 Anahtar Yönetimi

    Kişisel Verilerin Korunması Kanunu Kapsamında alınması gereken idari tedbirler ile ISO 27001 standardı içerisinde yer alan kontrol maddeleri arasındaki birbirini karşılayan benzer hususlar nelerdir?

    Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) Kapsamında Alınması Gereken Özet İdari Tedbirler ISO/IEC 27001:2013 Standart Maddesi
    Kişisel Veri İşleme Envanteri Hazırlanması A.8.1.1 Varlıkların Envanteri
    Kurumsal Politikalar
    (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
    5.2 Politika
    Sözleşmeler
    (Veri Sorumlusu – Veri Sorumlusu & Veri Sorumlusu – Veri İşleyen Arasında)
    A.7.1.2 İstihdam Hüküm ve Koşulları
    Gizlilik Taahhütnameleri A.15.1.2 Tedarikçi anlaşmalarında güvenliği ifade etme
    Kurum İçi Periyodik ve / veya Rastgele Denetimler 9.2 İç tetkik
    Risk Analizleri 6.1.2 Bilgi güvenliği risk değerlendirme
    İş Sözleşmesi, Disiplin Yönetmeliği
    (Kanuna Uygun Hükümler İlave Edilmesi)
    A.7.2.3 Disiplin prosesi
    Kurumsal İletişim
    (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
    A.16 Bilgi güvenliği ihlal olayı yönetimi
    A.17 İş sürekliliği yönetiminin bilgi güvenliği hususları
    Eğitim ve Farkındalık Faaliyetleri
    (Bilgi Güvenliği ve Kanun)
    A.7.2.2 Bilgi güvenliği farkındalığı, eğitim ve öğretimi
    Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim Mevcut Değil

    Yukarıdaki tablolarda belirtilen hususlar, Standardın ve Kanunun aynı konu başlıkları üzerinden kontrollerinin bulunduğunu göstermektedir; ancak kontrollerin şartları ve gereksinimleri tamamen aynı değildir. Örneğin; her iki hususta da eğitim ve farkındalık faaliyetleri bir kontrol maddesi iken, eğitimin içeriği ve şartları özelleştirilmelidir.

    Ayrıca KVKK kapsamında gerekli olan envanter hazırlanması hususu Varlık Envanteri olarak ISO 27001'de de karşımıza çıkmaktaysa da envanterlerin hazırlanma şartları farklılık göstereceğinden, Varlık Envanteri bulunan bir Organizasyon, Kişisel Veri Envanterine de sahiptir demek mümkün değildir.

    Danışmanlarımız, aradaki benzerlikleri ve farkları dikkate alarak, KVKK uyumluluğunuzu sağlamanız ve ISO 27001 sertifikasına sahip olmanız için işletmenize en uygun çözümleri size sunmakta; uyumluluk ve bilgi güvenliği sisteminin kurulması çalışmasını eş zamanlı yürüterek uygulama kolaylığı sağlamaktadır.

    Bilgi güvenliği sisteminizi kurmak ve işletmenizin ihtiyacı olan tedbirleri belirlemek için bizimle iletişime geçin.

    Bilgilendirme Metni!

    Bu makalede yer alan içerikler yalnızca bilgilendirme amaçlı olup CottGroup® firmalarına ait bir hizmettir. Kaynak gösterilmeden iktibas edilemez. Makalenin hazırlanmasında gerekli özen ve dikkat gösterilmiş olmakla birlikte; CottGroup® ve üye şirketleri, işbu genel çerçevede bilgi veren ve yorum içerebilen makaledeki bilgilerin yanlışlık veya eksikliklerinden kaynaklanabilecek hiçbir sorumluluğu kabul etmemekte olup bu bilgilerin güvenilirliği nedeniyle oluşabilecek herhangi bir zarardan sorumlu tutulamaz.

    Her bir somut olaya ilişkin olarak, her koşulda özel olarak profesyonel bir danışmana başvurmanız tavsiye edilir. Lütfen duyuru ile ilgili işlem yapmadan önce müşterimizseniz müşteri temsilcinizden, değilseniz bir uzmandan görüş alınız.

    Yazar

    /en/blog/kvkk-gdpr/item/relationship-between-iso-27001-kvkk

    Diğer Makaleler

    Başlayalım
    Hizmet ihtiyaçlarınız için teklif alın.

    Daha fazla bilgi
    almak ister misiniz?

    Bu web sitesi çerez kullanıyor.

    Bu internet sitesinde, kullanıcı deneyimini geliştirmek, verimli çalışmasını sağlamak ve istatistiki verileri takip etmek için çerezler kullanılmaktadır. Sitemizi kullanarak çerezleri kabul etmiş olursunuz. Çerezleri nasıl kullandığımız ile ilgili detaylı bilgi için lütfen Çerezler (Cookies) sayfasını okuyunuz. Bu seçim 30 gün süreyle ya da tarayıcınızdaki çerezleri siz silene kadar geçerlidir.

    Çerez Tercihleri Cookie Preferences

    Çerezleri Ayarla

    Çerezler, web sitelerinin kullanıcı deneyimini daha verimli hale getirmek için kullanabileceği küçük metinlerdir. Kanun, bu sitenin işleyişi için kesinlikle gerekli olan çerezlerin cihazınıza saklanabileceğini belirtir. Diğer tüm çerez türleri için izninize ihtiyacımız var. Bu site, çeşitli türde çerezler kullanmaktadır. Bazı çerezler, sayfalarımızda görünen üçüncü taraf hizmetler tarafından yerleştirilir.

    Verdiğiniz izinler aşağıda yer alan web siteleri için geçerlidir:

  • www.cottgroup.com