ISO 27701 Güvenlik Teknikleri - Gizlilik Bilgi Yönetim Sistemleri

EN ISO/IEC 27701, uluslararası Bilgi Güvenliği Yönetim Sistemi (BGYS) standardı olan ISO/IEC 27001'in bir gizlilik uzantısıdır. Bu standart, bir kuruluşun Kişisel Olarak Tanımlanabilir Bilgileri (PII - Personally Identifiable Information) yönetmesine yönelik bir çerçeve sağlayarak, bir Gizlilik Bilgi Yönetim Sistemi (KVYS/PIMS) oluşturulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için gereksinimleri ve rehberliği belirtir.

Bu standardın temel amacı, kuruluşların veri gizliliği ve bilgi güvenliği gereksinimlerini entegre etmelerine yardımcı olmak ve özellikle KVKK (Türkiye), GDPR (AB) gibi ulusal ve uluslararası gizlilik mevzuatlarına uyumu desteklemektir.Genel Gereksinimler ve Yapı

Genel Gereksinimler ve Yapı

ISO/IEC 27701, temelde ISO/IEC 27001'i temel alır ve mevcut BGYS'yi gizliliğe özgü ek gereksinimler ve kontrollerle güçlendirir.

1. ISO/IEC 27001'e Bağlılık

  • Etkin bir sistem yürütülebilmesi için ISO/IEC 27701,  ISO/IEC 27001 standardı entegre bir şekilde uygulaması gerekir.

  • ISO/IEC 27701, ISO 27001'in gereksinim maddelerini (Madde 4'ten 10'a kadar) PIMS bağlamında ele alarak genişletir.

2. PIMS'e Özgü Gereksinimler (Temel Maddeler)

Standart, kişisel veri sorumluları (PII Controllers) ve kişisel veri işleyenler (PII Processors) için ayrı ayrı gereksinimler ve kontrol hedefleri belirler:

  • Madde 5: ISO/IEC 27001'e Dayalı PIMS Gereksinimleri: ISO 27001'in Maddelerinin (Örn: Bağlam, Liderlik, Planlama, Destek, Operasyon, Performans Değerlendirmesi, İyileştirme) PIMS bağlamında nasıl uygulanacağına dair ek gereksinimleri içerir.

  • Madde 6: ISO/IEC 27002'ye Dayalı PIMS Rehberliği: ISO 27002'deki güvenlik kontrollerinin, kişisel verilerin gizliliği ve korunması açısından nasıl ele alınacağına dair rehberlik sağlar.

  • Madde 7: PII Sorumluları (Controller) için PIMS Gereksinimleri: Kişisel verilerin toplanması, işlenmesi ve sorumluluğu konusunda ek kontroller ve rehberlik içerir. (Örn: Veri sahibi hakları, veri envanteri, gizlilik etki değerlendirmesi, ortak PII sorumlularıyla anlaşmalar.)

  • Madde 8: PII İşleyenler (Processor) için PIMS Gereksinimleri: Kişisel verileri PII sorumlusu adına işleyen kuruluşlar için ek kontroller ve rehberlik içerir. (Örn: Yönlendirmelere uyum, alt yüklenici yönetimi, ihlal bildirimi prosedürleri.)

3. Kontroller ve Uygulama

Standart, BGYS kontrollerine ek olarak, gizliliğe özgü bir dizi kontrol ve kontrol hedefi sunar:

  • Ek A: PII Sorumluları için PIMS'e özgü referans kontrol hedefleri ve kontrolleri.

  • Ek B: PII İşleyenler için PIMS'e özgü referans kontrol hedefleri ve kontrolleri.

Belgelendirme Süreci

ISO/IEC 27701 belgelendirmesi, ANKA GLOBAL gibi yetkili,  bağımsız üçüncü taraf bir belgelendirme kuruluşu tarafından gerçekleştirilir ve genellikle ISO/IEC 27001 denetimiyle birlikte yapılır.

1. Hazırlık Aşaması

  1. Kapsam Belirleme: PIMS'in uygulanacağı ve kişisel verilerin işlendiği süreçlerin, birimlerin ve sistemlerin kapsamı netleştirilir.

  2. GAP (Fark) Analizi: Kuruluşun mevcut durumu ile ISO/IEC 27001 ve ISO/IEC 27701 standart gereksinimleri arasındaki eksiklikler (farklar) belirlenir.

  3. BGYS Kurulumu (Gerekiyorsa): Kuruluşun ISO/IEC 27001'e dayalı bir BGYS'si yoksa, bu sistemin kurulması ve belgelendirilmesi için hazırlık yapılır.

  4. PIMS Belgelendirmesi ve Uygulanması:

    • Politika ve Prosedür Oluşturma: Gizlilik politikaları, veri sahibi hakları yönetimi, veri ihlali yönetimi, gizlilik etki değerlendirmesi (PIA/DPIA) prosedürleri ve KVYS'ye özgü diğer tüm dokümantasyon hazırlanır.

    • Kontrollerin Uygulanması: PII sorumlusu/işleyeni rolüne uygun tüm kontroller (Ek A ve/veya Ek B) teknolojik ve organizasyonel olarak uygulanır.

    • Eğitim ve Farkındalık: Tüm çalışanlara kişisel veri gizliliği ve PIMS gereksinimleri hakkında eğitimler verilir.

  5. İç Denetim ve Yönetim Gözden Geçirmesi: Uygulanan sistemin standart gereksinimlerini karşılayıp karşılamadığı iç denetimlerle kontrol edilir ve üst yönetim tarafından gözden geçirilir.

2. Belgelendirme Denetimi

Hazırlık süreci tamamlandıktan sonra, ANKA GLOBAL gibi yetkili bir uygunluk değerlendirme kuruluşuna başvuru yapılır. Bu kuruluş denetim gerçekleştirir:

  • Denetim ekibi, kuruluşun hazırladığı dokümantasyonun standart gerekliliklerini karşılayıp karşılamadığını inceler kuruluşun kapsam ve büyüklüğü çerçevesinde dokümanlarda belirtilen süreçlerin sahada gerçekten uygulanıp uygulanmadığını ve kuruluşun standart/mevzuat şartlarını yerine getirip getirmediğini detaylı olarak kontrol eder.

  • Denetim sonrasında denetim ekibi tarafından hazırlanan denetim raporu belgelendirme komisyonuna sunulur, belgelendirmenin yapılmasına aykırı bir durum tespit edilmez ise belgelendirme kararı verilerek ISO 27701 Belgesi düzenlenir.

3. Belge Düzenleme ve Gözetim

  • Uygunsuzlukların Giderilmesi: Denetimlerde tespit edilen uygunsuzluklar  kuruluş tarafından düzeltilir ve kanıtları denetim kuruluşuna sunulur.

  • Sertifikanın Verilmesi: Tüm gereksinimler yerine getirildiğinde, kuruluş ISO/IEC 27701  sertifikasını alır. Sertifika geçerlilik süresi genellikle 3 yıldır.

  • Yıllık Gözetim Denetimleri: Sertifikanın devamlılığını sağlamak ve sistemin etkinliğinin sürdüğünü doğrulamak amacıyla, genellikle en az yılda bir kez ara denetimler (gözetim denetimleri) yapılır.

  • Yeniden Belgelendirme Denetimi: 3 yıllık sürenin sonunda, sistemin yeniden kapsamlı bir şekilde denetlendiği bir yeniden belgelendirme denetimi gerçekleştirilir.

ISO/IEC 27701 belgesine sahip olmak, kuruluşunuzun kişisel verilerin korunmasına yönelik uluslararası düzeyde tanınan, kanıta dayalı ve şeffaf bir yönetim sistemine sahip olduğunu gösterir ve paydaşlarınız nezdinde güven ve hesap verebilirliği önemli ölçüde artırır.

ANKA GLOBAL; başvurulan standart için sadece belgelendirme sürecinde uygunluk değerlendirme hizmeti yürütmektedir. Başvuru kapsamındaki standart için hiçbir suretle danışmanlık ve firmaya özel eğitim hizmeti sunmamaktadır