ISO 27001 &
KVKK İlişkisi

İşinizi ve VarlıklarınızıEn İyi Seviyede Korumanız İçinSize Özel Çözümler

ISO 27001 & KVKK İlişkisi

Bilgi varlıklarınızın güvenliğini sağlamak KVKK’nın bir parçasıdır ve işletmeniz için bir bilgi güvenliği sistemi oluşturarak ISO 27001 sertifikasına sahip olmak, organizasyonunuzun bu kapsamda aldığı tedbirleri belgelendirmeniz için en iyi yoldur.

ISO 27001 standardının amacı, bir bilgi güvenliği yönetim sisteminin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için şartları ortaya koymaktır.

Bilgi Güvenliği Yönetim Sistemi; bilginin gizliliği, bütünlüğü ve erişilebilirliğini risk yönetimi prosesini uygulayarak muhafaza eder ve ilgili taraflara risklerin doğru bir şekilde yönetildiğine dair güvence verir.

Genel gereksinimler ve Ek A kontrollerinden oluşan uluslararası ISO 27001 standardı, Organizasyonların bilgi güvenliğini sağlayabilmeleri için gerekli olan hususları detaylı bir şekilde açıklamaktadır.

ISO 27001 Sertifikası Olan Organizasyonlar
KVKK ile Uyumlu Mudur?

7 Nisan 2016 tarihinde yürürlüğe giren Kişisel Verilerin Korunması Kanunu'nun 12'nci Maddesinin 1'nci Fıkrasında:

"Veri Sorumlusu

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek

c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır." hükmü yer almaktadır.

Bu kapsamda alınması gereken tedbirler ise Kurum tarafından yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) içerisinde detaylandırılmıştır.

Hem ISO 27001'in hem de KVKK'nın genel prensibinin gizlilik ve güvenliğin sağlanması olması, elbette ISO 27001 sertifikası olan Organizasyonların KVKK'ya daha hızlı ve sağlıklı şekilde adapte olmalarını sağlamaktadır.

Ancak ISO 27001 sertifikası olan Organizasyonların, yalnızca standart kapsamındaki tedbirleri alarak KVKK ile de tam uyumlu hâle geldiklerini düşünmeleri, ISO 27001 ve KVKK'yı birbirinden ayıran önemli hususların mevcut olması sebebiyle büyük bir yanılgı olacaktır.

Kişisel Verilerin Korunması Kanunu Kapsamında alınması gereken teknik tedbirler ile ISO 27001 standardı içerisinde yer alan kontrol maddeleri arasındaki birbirini karşılayan benzer hususlar nelerdir?

Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) Kapsamında Alınması Gereken Özet Teknik Tedbirler ISO/IEC 27001:2013 Standart Maddesi
Yetki Matrisi
Yetki Kontrol
A.9.2 Kullanıcı Erişim Yönetimi
Erişim Logları A.12.4.1 Olay kaydetme
Kullanıcı Hesap Yönetimi A.9.4.2 Güvenli oturum açma prosedürleri
Ağ Güvenliği A.13.1.2 Ağ hizmetlerinin güvenliği
Uygulama Güvenliği A.14.2.6 Güvenli geliştirme ortamı
Şifreleme A.10.1 Kriptografik Kontroller
Sızma Testi
Saldırı Tespit ve Önleme Sistemleri
A.12.6.1 Teknik açıklıkların yönetimi
Log Kayıtları A.12.4.1 Olay kaydetme
Veri Maskeleme Mevcut Değil
Veri Kaybı Önleme Yazılımları A.12.6.1 Teknik açıklıkların yönetimi
Yedekleme A.12.3.1 Bilgi Yedekleme
Güvenlik Duvarları A.14.1.2 Halka açık ağlardaki uygulama hizmetlerinin güvenliğinin sağlanması
Güncel Anti-Virüs Sistemleri A.12.2.1 Kötücül yazılımlara karşı kontroller
Silme, Yok Etme veya Anonim Hâle Getirme A.8.3.2 Ortamın yok edilmesi
Anahtar Yönetimi A.10.1.2 Anahtar Yönetimi

Kişisel Verilerin Korunması Kanunu Kapsamında alınması gereken idari tedbirler ile ISO 27001 standardı içerisinde yer alan kontrol maddeleri arasındaki birbirini karşılayan benzer hususlar nelerdir?

Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) Kapsamında Alınması Gereken Özet İdari Tedbirler ISO/IEC 27001:2013 Standart Maddesi
Kişisel Veri İşleme Envanteri Hazırlanması A.8.1.1 Varlıkların Envanteri
Kurumsal Politikalar
(Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
5.2 Politika
Sözleşmeler
(Veri Sorumlusu – Veri Sorumlusu & Veri Sorumlusu – Veri İşleyen Arasında)
A.7.1.2 İstihdam Hüküm ve Koşulları
Gizlilik Taahhütnameleri A.15.1.2 Tedarikçi anlaşmalarında güvenliği ifade etme
Kurum İçi Periyodik ve / veya Rastgele Denetimler 9.2 İç tetkik
Risk Analizleri 6.1.2 Bilgi güvenliği risk değerlendirme
İş Sözleşmesi, Disiplin Yönetmeliği
(Kanuna Uygun Hükümler İlave Edilmesi)
A.7.2.3 Disiplin prosesi
Kurumsal İletişim
(Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
A.16 Bilgi güvenliği ihlal olayı yönetimi
A.17 İş sürekliliği yönetiminin bilgi güvenliği hususları
Eğitim ve Farkındalık Faaliyetleri
(Bilgi Güvenliği ve Kanun)
A.7.2.2 Bilgi güvenliği farkındalığı, eğitim ve öğretimi
Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim Mevcut Değil

Yukarıdaki tablolarda belirtilen hususlar, Standardın ve Kanunun aynı konu başlıkları üzerinden kontrollerinin bulunduğunu göstermektedir; ancak kontrollerin şartları ve gereksinimleri tamamen aynı değildir. Örneğin; her iki hususta da eğitim ve farkındalık faaliyetleri bir kontrol maddesi iken, eğitimin içeriği ve şartları özelleştirilmelidir.

Ayrıca KVKK kapsamında gerekli olan envanter hazırlanması hususu Varlık Envanteri olarak ISO 27001'de de karşımıza çıkmaktaysa da envanterlerin hazırlanma şartları farklılık göstereceğinden, Varlık Envanteri bulunan bir Organizasyon, Kişisel Veri Envanterine de sahiptir demek mümkün değildir.

Danışmanlarımız, aradaki benzerlikleri ve farkları dikkate alarak, KVKK uyumluluğunuzu sağlamanız ve ISO 27001 sertifikasına sahip olmanız için işletmenize en uygun çözümleri size sunmakta; uyumluluk ve bilgi güvenliği sisteminin kurulması çalışmasını eş zamanlı yürüterek uygulama kolaylığı sağlamaktadır.


Bilgi güvenliği sisteminizi kurmak ve işletmenizin ihtiyacı olan tedbirleri belirlemek için bizimle iletişime geçin.

Bilgilendirme Metni!

Bu makalede yer alan içerikler yalnızca bilgilendirme amaçlı olup CottGroup® firmalarına ait bir hizmettir. Kaynak gösterilmeden iktibas edilemez. Makalenin hazırlanmasında gerekli özen ve dikkat gösterilmiş olmakla birlikte; CottGroup® ve üye şirketleri, işbu genel çerçevede bilgi veren ve yorum içerebilen makaledeki bilgilerin yanlışlık veya eksikliklerinden kaynaklanabilecek hiçbir sorumluluğu kabul etmemekte olup bu bilgilerin güvenilirliği nedeniyle oluşabilecek herhangi bir zarardan sorumlu tutulamaz.

Her bir somut olaya ilişkin olarak, her koşulda özel olarak profesyonel bir danışmana başvurmanız tavsiye edilir. Lütfen duyuru ile ilgili işlem yapmadan önce müşterimiz iseniz müşteri temsilcinizden, değilseniz bir uzmandan görüş alınız.

KVKK & GDPR Danışmanlık

KVKK & GDPR hakkında bilgi almak için bize ulaşabilirsiniz.

Evet Hayır

Evet Hayır
Evet Hayır

Türkçe İngilizce Türkçe-İngilizce

Tarafıma bülten, mevzuat, güncel haber, yeni hizmet önerileri, reklam ve duyuru gönderilmesini kabul ediyorum.

(*) Çevrimiçi Ziyaretçi Aydınlatma Metni ve Gizlilik Politikası çerçevesinde verilerimin işlenmesine açık rıza gösteriyorum.

*Zorunlu Alanlar