Kişisel Verilerin Korunması ve ISO 27001 İlişkisi Üzerine Notlar

2507
2
Paylaş:

Kişisel verilerin korunması ISO 27001 ilişkisi oldukça merak edilen bir konu haline gelmektedir. Hızla gelişim gösteren teknolojik adımlar, dijital dünyanın sunmuş olduğu imkanlar ile kuruluşların toplumsal ihtiyaçlara cevap verebilmesini zorunlu hale getirmektedir. Her yeni değişim; kurumlara, topluma, devlete ve bağlı tüm paydaşlarına karşı çeşitli beklentiler oluşturmaktadır. Bu beklentilerden en büyüğü hiç kuşkusuz veri güvenliğinin sağlanması ve kuruluşlara bağlı organların topluma karşı şeffaf davranmasıdır. Bilgi güvenliğine karşı tehditlerin her geçen gün daha ciddi ve farklı yansımaları olduğu görülmektedir. Kritik altyapılar, ulusal gizli bilgiler ve kişisel veriler gibi veriler ifşa edildiğinde toplumları derinden sarsan olaylara yol açmaktadır. Peki bu konuda yapılması gerekenler nelerdir? Bizi bu konuda aydınlatacak bir kılavuz var mı? Neye dayanarak kurumsal ve kişisel verilerimiz güvende diyebiliriz? Bu sorulara cevap verebilmek için gelin kişisel verilerin korunması ISO 27001 Bilgi Güvenliği Yönetim Standartı’na  biraz daha yakından bakalım.

Bilgi güvenliği, bilginin izinsiz veya yetkisiz bir şekilde kullanılmasını engelleyen, verinin gizlilik, bütünlük ve erişelebilirliğini tehdit eden faktörlere karşı alınan aksiyonlar olarak tanımlanabilir. Bilgi güvenliği, ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi (BGYS) standardı ile kurallaştırılmıştır. BGYS’ye uygun çalışan organizasyonlar bilgi varlıklarının güvenliğini sağlamak adına önemli adımlar atmış demektir. İlgili standart sektörü ve büyüklüğü ne olursa olsun tüm kuruluşlara uygun olarak hazırlanmıştır. Ek-A maddeleri kurumlara bir kontrol listesi fırsatı sunarken, denetim mekanizması sayesinde devamlılık arz eden açıklık ve zafiyet tespiti sağlamaktadır. Böylelikle standardın “Sürekli İyileştirme” maddesine de uymak amacıyla belli aralıklar ile yapılan denetim ve raporlamalar ile kurumlar sürekli güncel kalmış olurlar.

Kişisel veri ise doğrudan veya dolaylı olarak gerçek kişiyi işaret eden her türlü bilgiyi ifade etmektedir. Türkiye’de bu bilgilerin korunmasını yasalaştırmak amacıyla 7 Nisan 2016 yılında Kişisel Verilerin Korunması Kanunu (KVKK) yürürlüğe girmiştir. Kanunda amaç, “kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek” olarak belirtilmiştir. Kanunun 12.maddesinde yer alan veri güvenliğine ilişkin yükümlülüklere açıklık getirmek ve iyi uygulama örnekleri sunmak amacıyla  Kişisel Veri Güvenliği İdari ve Teknik Tadbirler Rehberi yayınlanmıştır. Kanunun 12. Maddesi birinci fıkrasında;

“Veri Sorumlusu;

  1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbrileri almak zorundadır.” hükmü yer almaktadır.

Kişisel veriler organizasyonlar için aynı zamanda bir bilgi sınıfı oluşturduğundan ISO/IEC 27001:2013 ile güvenlik önlemlerine tabii veriler statüsünde yer almaktadır. Peki kurum veya kuruluşlar standardın maddelerini yerine getirdiklerinde kişisel veri güvenliği rehberine de uyumlu oluyorlar mı? Bu noktada rehberin bize gösterdiği önlem listesi ile standart maddeleri arasındaki ilişkiyi incelemek gerekir.

Aşağıdaki tabloda veri güvenliği rehberinde belirtilen idari ve teknik tedbirler ile buna işaret eden ISO/IEC 27001:2013 standart maddeleri yer almaktadır.

Kişisel Verilerin Korunması ISO 27001 İlişkisi

Rehbere göre alınması gereken
teknik ve idari tedbirler
ISO/IEC 27001:2013 Standart maddesi
Yetki MatrisiA.9.2 Kullanıcı erişim yönetimi
Yetki Kontrol
Erişim LoglarıA.12.4.1 Olay kaydetme
Kullanıcı Hesap YönetimiA.9.4.2 Güvenli oturum açma prosedürleri
Ağ GüvenliğiA.13.1.2 Ağ hizmetlerinin güvenliği
Uygulama GüvenliğiA.14.2.6 Güvenli geliştirme ortamı
Şifreleme A.10.1 Kriptografik Kontroller
Sızma TestiA.12.6.1 Teknik açıklıkların yönetimi
Saldırı Tespit ve Önleme Sistemleri
Log KayıtlarıA.12.4.1 Olay kaydetme
Veri Maskeleme Yok
Veri Kaybı Önleme YazılımlarıA.12.6.1 Teknik açıklıkların yönetimi
YedeklemeA.12.3.1 Bilgi yedekleme
Güvenlik DuvarlarıA.14.1.2 Halka açık ağlardaki uygulama hizmetlerinin
güvenliğinin sağlanması
Güncel Anti-Virüs SistemleriA.12.2.1 Kötücül yazılımlara karşı kontroller
Silme, Yok Etme veya Anonim Hale GetirmeA.8.3.2 Ortamın yok edilmesi
Anahtar YönetimiA.10.1.2 Anahtar yönetimi
Kişisel Veri İşleme Envanteri HazırlanmasıA.8.1.1 Varlıkların envanteri
Kurumsal Politikalar (Erişim, Bilgi Güvenliği,
Kullanım, Saklama ve İmha vb.)
5.2 Politika
Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu,
Veri Sorumlusu – Veri İşleyen Arasında )
A.7.1.2 İstihdam hüküm ve koşulları
Gizlilik TaahhütnameleriA.15.1.2 Tedarikçi anlaşmalarında güvenliği ifade etme
Kurum İçi Periyodik ve/veya Rastgele Denetimler9.2 İç tetkik
Risk Analizleri6.1.2 Bilgi güvenliği risk değerlendirme
İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna
Uygun Hükümler İlave Edilmesi)
A.7.2.3 Disiplin prosesi
Kurumsal İletişim (Kriz Yönetimi, Kurul ve
İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
A.17 İş sürekliliği yönetiminin bilgi güvenliği hususları
Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)A.7.2.2 Bilgi güvenliği farkındalığı, eğitim ve öğretimi
Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) BildirimYok

 

Yukarıdaki tablo incelendiğinde ISO/IEC 27001:2013 standardına uyumlu organizasyonlar, KVKK’nın idari ve teknik tedbirlerinin bir bölümünü halletmiş olacaklardır. Buradaki en önemli husus, ortak maddeler dikkate alınarak aralarındaki güçlü bağı kurup bunu politika, prosedür ile tüm dökümantasyonlara yansıtmaktır. Unutulmamalıdır ki yazılı süreçleri sağlıklı olmayan kuruluşların pratikte aldığı önlemler sürekliliği olmayan aksiyonlardan başka bir şeyi ifade etmezler. Kurumların, veri güvenliği temel üçlüsünü oluşturan insan, süreç ve teknoloji ile gizlilik, bütünlük ve erişilebilirlik ilkelerini birleştirerek atacakları her adım, onları 6698 sayılı KVKK’ya uyumlu hale getirecektir. Böylelikle hem kanuni yükümlülüklerini hem de bilgi güvenliği stresini bir nebzede olsa konfor haline getireceklerdir. Ancak son söz olarak ifade etmek gerekir ki; Kişisel Verilerin Korunması alanı özelikle ülkemizde henüz yeni gelişmekte olan bir alan olduğundan uygulamaya ilişkin açıklanmaya muhtaç pek çok gri nokta ihtiva etmektedir. Kişisel verilerin korunması sürecinde özellikle kişisel verilerin işlenebilme şartlarının varlığının multidisiplinel bakış açısıyla yorumlanması gerekmektedir. Ülkemiz başta olmak üzere konuyu gereğiyle çözümleyebilecek tekno-hukukçulara olan ihtiyaç her geçen gün artmaktadır.

Yeni Duyanlar İçin VERBİS Nedir?

TaglarISO 27001
Paylaş:

2 comments

  1. Ömer 6 Ocak, 2021 at 22:47 Yanıtla

    Merhaba.
    İso 27001 sertifikası almış olmak yeterli mi. Yoksa buna rağmen kvkk uyumluluğu sürecini gerçekleştirmemiz gerekir mi?

Cevap bırakın