Kişisel verilerin korunması ISO 27001 ilişkisi oldukça merak edilen bir konu haline gelmektedir. Hızla gelişim gösteren teknolojik adımlar, dijital dünyanın sunmuş olduğu imkanlar ile kuruluşların toplumsal ihtiyaçlara cevap verebilmesini zorunlu hale getirmektedir. Her yeni değişim; kurumlara, topluma, devlete ve bağlı tüm paydaşlarına karşı çeşitli beklentiler oluşturmaktadır. Bu beklentilerden en büyüğü hiç kuşkusuz veri güvenliğinin sağlanması ve kuruluşlara bağlı organların topluma karşı şeffaf davranmasıdır. Bilgi güvenliğine karşı tehditlerin her geçen gün daha ciddi ve farklı yansımaları olduğu görülmektedir. Kritik altyapılar, ulusal gizli bilgiler ve kişisel veriler gibi veriler ifşa edildiğinde toplumları derinden sarsan olaylara yol açmaktadır. Peki bu konuda yapılması gerekenler nelerdir? Bizi bu konuda aydınlatacak bir kılavuz var mı? Neye dayanarak kurumsal ve kişisel verilerimiz güvende diyebiliriz? Bu sorulara cevap verebilmek için gelin kişisel verilerin korunması ISO 27001 Bilgi Güvenliği Yönetim Standartı’na biraz daha yakından bakalım.
Bilgi güvenliği, bilginin izinsiz veya yetkisiz bir şekilde kullanılmasını engelleyen, verinin gizlilik, bütünlük ve erişelebilirliğini tehdit eden faktörlere karşı alınan aksiyonlar olarak tanımlanabilir. Bilgi güvenliği, ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi (BGYS) standardı ile kurallaştırılmıştır. BGYS’ye uygun çalışan organizasyonlar bilgi varlıklarının güvenliğini sağlamak adına önemli adımlar atmış demektir. İlgili standart sektörü ve büyüklüğü ne olursa olsun tüm kuruluşlara uygun olarak hazırlanmıştır. Ek-A maddeleri kurumlara bir kontrol listesi fırsatı sunarken, denetim mekanizması sayesinde devamlılık arz eden açıklık ve zafiyet tespiti sağlamaktadır. Böylelikle standardın “Sürekli İyileştirme” maddesine de uymak amacıyla belli aralıklar ile yapılan denetim ve raporlamalar ile kurumlar sürekli güncel kalmış olurlar.
Kişisel veri ise doğrudan veya dolaylı olarak gerçek kişiyi işaret eden her türlü bilgiyi ifade etmektedir. Türkiye’de bu bilgilerin korunmasını yasalaştırmak amacıyla 7 Nisan 2016 yılında Kişisel Verilerin Korunması Kanunu (KVKK) yürürlüğe girmiştir. Kanunda amaç, “kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek” olarak belirtilmiştir. Kanunun 12.maddesinde yer alan veri güvenliğine ilişkin yükümlülüklere açıklık getirmek ve iyi uygulama örnekleri sunmak amacıyla Kişisel Veri Güvenliği İdari ve Teknik Tadbirler Rehberi yayınlanmıştır. Kanunun 12. Maddesi birinci fıkrasında;
“Veri Sorumlusu;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbrileri almak zorundadır.” hükmü yer almaktadır.
Kişisel veriler organizasyonlar için aynı zamanda bir bilgi sınıfı oluşturduğundan ISO/IEC 27001:2013 ile güvenlik önlemlerine tabii veriler statüsünde yer almaktadır. Peki kurum veya kuruluşlar standardın maddelerini yerine getirdiklerinde kişisel veri güvenliği rehberine de uyumlu oluyorlar mı? Bu noktada rehberin bize gösterdiği önlem listesi ile standart maddeleri arasındaki ilişkiyi incelemek gerekir.
Aşağıdaki tabloda veri güvenliği rehberinde belirtilen idari ve teknik tedbirler ile buna işaret eden ISO/IEC 27001:2013 standart maddeleri yer almaktadır.
Kişisel Verilerin Korunması ISO 27001 İlişkisi
| Rehbere göre alınması gereken teknik ve idari tedbirler | ISO/IEC 27001:2013 Standart maddesi |
| Yetki Matrisi | A.9.2 Kullanıcı erişim yönetimi |
| Yetki Kontrol | |
| Erişim Logları | A.12.4.1 Olay kaydetme |
| Kullanıcı Hesap Yönetimi | A.9.4.2 Güvenli oturum açma prosedürleri |
| Ağ Güvenliği | A.13.1.2 Ağ hizmetlerinin güvenliği |
| Uygulama Güvenliği | A.14.2.6 Güvenli geliştirme ortamı |
| Şifreleme | A.10.1 Kriptografik Kontroller |
| Sızma Testi | A.12.6.1 Teknik açıklıkların yönetimi |
| Saldırı Tespit ve Önleme Sistemleri | |
| Log Kayıtları | A.12.4.1 Olay kaydetme |
| Veri Maskeleme | Yok |
| Veri Kaybı Önleme Yazılımları | A.12.6.1 Teknik açıklıkların yönetimi |
| Yedekleme | A.12.3.1 Bilgi yedekleme |
| Güvenlik Duvarları | A.14.1.2 Halka açık ağlardaki uygulama hizmetlerinin güvenliğinin sağlanması |
| Güncel Anti-Virüs Sistemleri | A.12.2.1 Kötücül yazılımlara karşı kontroller |
| Silme, Yok Etme veya Anonim Hale Getirme | A.8.3.2 Ortamın yok edilmesi |
| Anahtar Yönetimi | A.10.1.2 Anahtar yönetimi |
| Kişisel Veri İşleme Envanteri Hazırlanması | A.8.1.1 Varlıkların envanteri |
| Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.) | 5.2 Politika |
| Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında ) | A.7.1.2 İstihdam hüküm ve koşulları |
| Gizlilik Taahhütnameleri | A.15.1.2 Tedarikçi anlaşmalarında güvenliği ifade etme |
| Kurum İçi Periyodik ve/veya Rastgele Denetimler | 9.2 İç tetkik |
| Risk Analizleri | 6.1.2 Bilgi güvenliği risk değerlendirme |
| İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi) | A.7.2.3 Disiplin prosesi |
| Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.) | A.17 İş sürekliliği yönetiminin bilgi güvenliği hususları |
| Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun) | A.7.2.2 Bilgi güvenliği farkındalığı, eğitim ve öğretimi |
| Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim | Yok |
Yukarıdaki tablo incelendiğinde ISO/IEC 27001:2013 standardına uyumlu organizasyonlar, KVKK’nın idari ve teknik tedbirlerinin bir bölümünü halletmiş olacaklardır. Buradaki en önemli husus, ortak maddeler dikkate alınarak aralarındaki güçlü bağı kurup bunu politika, prosedür ile tüm dökümantasyonlara yansıtmaktır. Unutulmamalıdır ki yazılı süreçleri sağlıklı olmayan kuruluşların pratikte aldığı önlemler sürekliliği olmayan aksiyonlardan başka bir şeyi ifade etmezler. Kurumların, veri güvenliği temel üçlüsünü oluşturan insan, süreç ve teknoloji ile gizlilik, bütünlük ve erişilebilirlik ilkelerini birleştirerek atacakları her adım, onları 6698 sayılı KVKK’ya uyumlu hale getirecektir. Böylelikle hem kanuni yükümlülüklerini hem de bilgi güvenliği stresini bir nebzede olsa konfor haline getireceklerdir. Ancak son söz olarak ifade etmek gerekir ki; Kişisel Verilerin Korunması alanı özelikle ülkemizde henüz yeni gelişmekte olan bir alan olduğundan uygulamaya ilişkin açıklanmaya muhtaç pek çok gri nokta ihtiva etmektedir. Kişisel verilerin korunması sürecinde özellikle kişisel verilerin işlenebilme şartlarının varlığının multidisiplinel bakış açısıyla yorumlanması gerekmektedir. Ülkemiz başta olmak üzere konuyu gereğiyle çözümleyebilecek tekno-hukukçulara olan ihtiyaç her geçen gün artmaktadır.
Yeni Duyanlar İçin VERBİS Nedir?
Siber güvenlik alanında yüksek lisans yapmakta olan Nurgül; Bilgi Güvenliği ile ilgili çalışmalar yürüten bir bilgisayar mühendisi, ilgi alanını ise bilişim hukuku oluşturuyor.
Merhaba.
İso 27001 sertifikası almış olmak yeterli mi. Yoksa buna rağmen kvkk uyumluluğu sürecini gerçekleştirmemiz gerekir mi?
Teşekkürler