ISO/IEC 27701:2019 Güvenlik Teknikleri – Kişisel Verilerin Gizliliği Yönetim Sistemi

Kullanıcılar dijital dünyada gün geçtikçe daha fazla vakit geçiriyorlar ve oradaki risklere maruz kalma ihtimalleri daha fazla artıyor. Tüm ülkeler bu riskleri azaltmak ve son kullanıcıların gizliliğini korumak için yasa ve yönetmelikler hazırlamakta ve yürürlüğe almaktadır. Kuruluşların bu yasa ve değişikliklere uyum sağlamaları, kendilerini gelebilecek cezalara karşı korumaları da işin diğer bir tarafıdır. Hem kullanıcıların gizliliklerini koruyacak hem de kuruluşların yasal yükümlülüklerini yerine getirmesinde yardımcı olacak uluslararası standart ilk kez yayınlandı.

ISO/IEC 27701:2019 Nedir?

ISO/IEC 27701:2019 Standardı ISO/IEC 27001:2013 standardına ek olarak, veri gizliliğine ilişkin yayınlanmış ilk standarttır. Bu standart, GDPR ve KVKK gibi diğer kişisel veri gizliliği gereksinimlerini yerine getirmeye çalışan kuruluşlara kılavuz olacak ilk bilgi güvenliği standardıdır. ISO/IEC 27701:2019 kısaca KVGYS (Kişisel Verilerin Gizliliği Yönetim Sistemi) kişisel bilgiler ile ilgili veri işleyen ve veri kontrol eden kurumlar için genel bir çerçeve oluşturmaktadır. Bu sebeple standart, kişisel verilerin yönetim sistemi olarak da adlandırılmaktadır. Bu standart kişisel verilerin gizlilik haklarını korumasına ve aynı zamanda da mevcut Bilgi Güvenliği Yönetim Sistemine katkıda bulunmaktadır.

ISO/IEC 27701:2019 Sizin İçin Neden Önemlidir?

Bu standart kuruluşların içinde ve dışındaki tüm ilgili taraflara GDPR ve Kişisel Verilerin Korunması ile ilgili kanunlara uyumlu olduğunu göstermek için büyük bir imkan sunmaktadır. Kişisel verilerin farklı kuruluşlarca yoğun şekilde istenir olması ve bu verilerin işlenmesi gizlilik ile ilgili birçok hususu gündeme getirmiştir. Bu sebeple Güvenlik Bilgi Sistemlerinin kurumlarca uygulanmaya başlaması büyük önem taşımaktadır. ISO/IEC 27701:2019 Kişisel Verilerin Gizliliği Yönetim Sistemi kuruluşların kişisel bilgilerinin toplanması, saklanması ve işlenmesi ile ilgili risklerin değerlendirilmesi, iyileştirilmesi ve azaltılması konusunda gereklilikleri ortaya koymakta ve bir kılavuz niteliği taşımaktadır.

Bu standardın uygulanması ve denetlenmesi veri işleyen ve veri sorumlusu olan tüm kuruluşların kişisel verilerin gizliliği ile ilgili etkili bir yönetim sistemi uygulamaları için çok önemlidir. Bu standardın neden önemli olduğuna kısaca bakarsak;

• Gizlilik iş yapmada önemli bir unsur olmuştur.
• Siber güvenlik gittikçe önem kazanan bir husus olmuştur.
• Veri ihlallerinin maliyeti gittikçe artmaktadır.
• Yasal yükümlülükler gittikçe sıkılaşmaktadır.
• Gizliliğin korunması sosyal bir ihtiyaç haline gelmiştir.
• Kişisel verilerin sayısı gittikçe artmakta ve kurum içinde kontrolsüzce yayılabilmektedir.
• Birçok kurum yasal yükümlülükleri yerine getirmek için hazır olmayabilir ve dahası bir kılavuza ihtiyaçları vardır.

ISO/IEC 27701:2019’un yararları

Kuruşa aşağıdaki konular dahil birçok fayda getirecektir;

• Kuruluşun itibarını korunması.
• Müşteri güveninin oluşturması.
• Kuruluşun süreçlerinde şeffaflığın artması.
• Müşteri memnuniyetinin artması.
• Yasal zorunlu gerekliliklere uyumun kolaylaşması.
• Kuruluş içinde Kişisel Verilerin Gizliliği Yönetim Sisteminin sürekli iyileştirmesine katkıda bulunması.

ISO/IEC 27001:2013 ile ISO/IEC 27701:2019 Arasındaki Fark Nedir?

ISO/IEC 27701:2019 standardı GDPR standardına uyum sağlamak için hazırlanan bir standartken ISO/IEC 27001:2013 standardı bilgi güvenliğinin etkili kullanılması için sektörün temel standardı olarak kullanılmaktadır.

ISO/IEC 27701:2019 standardı, GDPR ile uyumludur ama aynı zamanda kuruluşun gizlilik ile ilgili diğer yasal yükümlülüklerine ve diğer gerekliliklere kolaylıkla uyumlu olmasını sağlamaktadır.

Kuruluşların ISO/IEC 27701:2019’a Uyumlu Olması İçin Ne Yapmaları Gerekmektedir?

Bünyelerinde ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi olan, KVKK ve/veya GDPR yükümlülüklerine uyumluluk projesi yürüten ve proje yönetimlerinde projelerde “Tasarımda Gizlilik” kurallarını uygulayan firmalar bu standarda uyumlu hale gelmeyi kolaylıkla yapabileceklerdir.

Standart öncelikle kuruluşların, ISO/IEC 27001:2013 kontrollerinde gizlilik yönetimi ile ilgili hususları dahil etmelerini beklemektedir. Bunun için kuruluşun kuruluş bağlamını, risk değerlendirmesini ve kontrol ortamını gözden geçirerek kişisel verilerin gizliliği ile ilgili hususları dahil ettiğinden emin olmasını gerektirecektir. Ardından yönetim sisteminin dokümante edilmesi beklenmektedir. Böylelikle, kuruluşun kişisel verilerin korunması ile ilgili yasal yükümlülükleri hatırlaması ve önlem alması gereken yönlerini tekrar gündeme getirmesi açısından önemlidir.

Kişisel verilere uyumluluk konusunda daha az güvene sahip olan kurumlar ISO/IEC 27701:2019’un yasal yükümlülükleri karşılaması açısından kendilerine oldukça faydalı olacağını göreceklerdir.

ISO/IEC 27701:2019 Sertifikasına sahip olmak isteyen kurumların öncelikle ISO/IEC 27001:2013 yönetim sistemine sahip olmaları gerekmektedir. Böylelikle her 2 standart için ortak yürütülecek bir denetimle kuruluşların bu iki standardın sertifikalarını almaları mümkün olacaktır.

DAHA FAZLA BİLGİ İÇİN BİZE İLETİŞİM BÖLÜMÜNDE YERALAN BİLGİLERLE ULAŞABİLİRSİNİZ.