ISO 27701 Güvenlik Teknikleri - Gizlilik Bilgi Yönetim Sistemi

  1. 01.07.2016

ISO 27701 Güvenlik Teknikleri - Gizlilik Bilgi Yönetim Sistemi

ISO 27701, kuruluş bağlamında gizlilik yönetimi için ISO/IEC 27001 ve ISO/IEC 27002'nin bir uzantısı şeklinde bir Gizlilik Bilgi Yönetim Sisteminin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için gereklilikleri belirtir ve rehberlik sağlar. 

Bu standart, kişisel verilerin gizliliğini yönetmek için tasarlanmış bir uzantı standardıdır. ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) ve ISO 27002'deki güvenlik kontrollerinin üzerine inşa edilmiştir. Bu nedenle, bir kuruluşun ISO 27701 belgesi alabilmesi için öncelikle bir ISO 27001 belgesine sahip olması veya ISO 27001 ile entegre bir yönetim sistemi kurması gerekmektedir.

ISO 27701, temelde Gizlilik Bilgi Yönetim Sistemi (GBYS) için bir çerçeve sunar. ISO 27701, bir kuruluşun kişisel veri işleme faaliyetlerinde sorumlu sıfatıyla (data controller) veya işleyen sıfatıyla (data processor) yükümlülüklerini nasıl yerine getireceğini belirler.

ISO 27701 Belgelendirme Aşamaları

ISO 27701 belgelendirme süreci, ISO 27001 denetim sürecine benzer şekilde iki aşamalı bir denetimle gerçekleşir. Ancak bu süreç, kişisel verilerin gizliliğiyle ilgili ek gereksinimleri de içerir.

1. GBYS Kurulumu ve Uygulaması

Bu aşama, kuruluşun kendi içinde gerçekleştirdiği hazırlık sürecidir.

  • Kapsamın Belirlenmesi: BGYS kapsamına, kişisel veri işleme süreçleri de dahil edilerek kapsam genişletilir. Hangi departmanların, sistemlerin ve veri türlerinin GBYS kapsamında olacağı belirlenir.
  • İlgili Yasal ve Düzenleyici Gerekliliklerin Tespiti: Kuruluşun faaliyet gösterdiği coğrafyalardaki KVKK (Türkiye), GDPR (Avrupa Birliği) gibi tüm geçerli gizlilik mevzuatları ve düzenleyici gereklilikler belirlenir.
  • Gizlilik Politikası ve Hedeflerinin Oluşturulması: Kuruluş, kişisel verilerin korunmasına yönelik bir gizlilik politikası oluşturur ve bu politikayı destekleyen hedefler belirler.
  • Risk Değerlendirmesi:
    • Kişisel verilerin gizliliğiyle ilgili riskler belirlenir. Bu risk değerlendirmesi, kişisel veri sahiplerinin (ilgili kişilerin) hak ve özgürlükleri üzerindeki potansiyel etkileri de dikkate almalıdır.
    • Belirlenen riskler için uygun kontroller (önlemler) seçilir ve uygulanır. ISO 27701' in Ek A ve Ek B'sindeki kontroller bu aşamada referans alınır.
  • Dokümantasyon: Gizlilikle ilgili politikalar, prosedürler (örneğin, veri ihlali müdahale prosedürü, ilgili kişi taleplerini yanıtlama prosedürü), kayıtlar ve Uygulanabilirlik Bildirgesi (Statement of Applicability - SoA) gibi tüm gerekli dokümanlar hazırlanır.
  • İç Denetim ve Yönetim Gözden Geçirme: GBYS' nin etkinliğini, standarda ve yasal gerekliliklere uygunluğunu kontrol etmek için iç denetimler yapılır. Sonuçlar üst yönetime sunularak iyileştirme kararları alınır.

2. Belgelendirme Denetimi

Hazırlık süreci tamamlandıktan sonra, ANKA GLOBAL gibi yetkili bir uygunluk değerlendirme kuruluşuna başvuru yapılır. Bu kuruluş denetim gerçekleştirir. Bu denetim, mevcut ISO 27001 denetimine ek olarak gizlilik gerekliliklerini de kapsar.

  • Denetim ekibi GBYS dokümantasyonunun ISO 27701 gerekliliklerini karşılayıp karşılamadığını inceler. Gizlilik politikaları, ilgili kişi haklarına yönelik prosedürler ve risk değerlendirme raporları gibi belgeler gözden geçirilir.
  • GBYS'nin sahada nasıl uygulandığı denetlenir. Denetim ekibi, çalışanlarla mülakatlar yaparak kişisel verilerin nasıl işlendiğini, veri ihlallerine karşı alınan önlemleri ve ilgili kişi taleplerinin nasıl yönetildiğini doğrular.

ISO 27701 Genel Gereklilikleri

ISO 27701, ISO 27001'in maddelerini temel alır ve bu maddelere gizliliğe özgü ek gereklilikler getirir. Standartın ana bölümleri şunlardır:

  • Gizliliğin Kapsamı: Kişisel verilerin gizliliğiyle ilgili süreçlerin ve sistemlerin BGYS'ye dahil edilmesi.
  • Politikalar ve Sorumluluklar: Gizlilik politikalarının belirlenmesi ve bu politikaların uygulanmasından sorumlu rollerin (örn. Veri Koruma Görevlisi - DPO) atanması.
  • Risk Yönetimi: Kişisel veri ihlallerine ve ilgili kişi haklarının zedelenmesine yönelik risklerin özel olarak değerlendirilmesi ve yönetilmesi.
  • İlgili Kişi Hakları: İlgili kişilerin (veri sahiplerinin) haklarına (erişim, düzeltme, silme vb.) yönelik prosedürlerin oluşturulması ve uygulanması.
  • Veri İşleme Anlaşmaları: Kuruluşun hem sorumlu hem de işleyen sıfatıyla diğer taraflarla yaptığı sözleşmelerde gizliliğe ilişkin maddelerin yer alması.

Ek Kontroller (Annex A ve Annex B)

ISO 27701' in en önemli kısımlarından biri de ekleridir. Bu ekler, gizliliğe yönelik kontrol setlerini detaylandırır:

  • Ek A: ISO 27002'deki kontrollere ek olarak, veri sorumluları (data controllers) için gizliliğe özgü kontrol içerir.
  • Ek B: Veri işleyenler (data processors) için gizliliğe özgü kontrol içerir.

Bu ekler, kuruluşun risk değerlendirme sonucunda hangi kontrolleri uygulayacağını belirlemesine yardımcı olur. Örneğin, bir veri işleyicisi (processor) için, veri sorumlusu (controller) adına verileri nasıl işleyeceğine dair net prosedürler oluşturması gerekliliği bu eklerde yer alır.

ISO 27701 belgesi almak, bir kuruluşun sadece bilgi güvenliğine değil, aynı zamanda kişisel verilerin korunmasına da en üst düzeyde önem verdiğini uluslararası düzeyde kanıtlamasını sağlar. Bu, hem yasal uyumluluk (örneğin GDPR'a uyum) hem de müşteri güveni açısından büyük bir avantajdır.

ANKA GLOBAL; başvurulan standart için sadece belgelendirme sürecinde uygunluk değerlendirme hizmeti yürütmektedir. Başvuru kapsamındaki standart için danışmanlık hizmeti sunmamaktadır.

Size Nasıl Yardımcı Olabiliriz?

Bize Ulaşın

Görüş, soru ve önerileriniz için online iletişim formunu kullanarak bize ulaşabilirsiniz

Video Konferans

İnternet üzerinden telekonferans ve video konferans görüşmeleri için bu bölümü kullanabilirsiniz