ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ VE KİŞİSEL VERİLERİN KORUNMASI KANUNU ARASINDAKİ İLİŞKİLER
Bu konu gelişen dünya düzeninde oldukça sık rastlanan ve merak edilen konular arasında hızla üst sıralarda yerini almaktadır.
Sanal ve dijital ortamların yarattığı imkânlar ile şirketlerin/kuruluşların toplumsal ihtiyaçlara cevap verebilmesini zorunlu hale getirmektedir. Bu değişimler; toplumun her paydaşında birçok beklenti oluşturmaktadır.
Bu beklentilerden en önemlisi kişisel verinin sağlanması, korunması ve alınan teknik/idari tedbirlerdir. Tüm bu konulara karşı oluşan tehditler ise gün geçtikçe artmaktadır ve bilgilere erişime kolaylık sağlandığında tarafları derinden etkileyen olaylar ortaya çıkabilmektedir.
İşte tam bu noktada Kişisel Verilerin Korunması ve ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ devreye girmektedir:
Bilgi güvenliği, bir varlık türü olarak bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa edilme, ortadan kaldırılma, el değiştirme ve hasar verilmesini önlemek olarak tanımlanır. Bu durum ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi (BGYS) standardı ile iç içe bağlantılı bir hale getirilmiştir
Bilgi Güvenliği Yönetim Sistemi standardı, firma büyüklüğü ve faaliyet alanı ne olursa olsun tüm kuruluşlara uygun olarak hazırlanmıştır. Standartta sunulan Ek-A maddeleri firmalara checklist avantajı sunarken, denetleme sayesinde tüm alanlarda zayıf olduğu noktaların tespiti sağlamaktadır.
Türkiye’de kişisel verilerin korunmasına ilişkin özel bir kanun çıkarmak için ilk kez 1989 yılında bir komisyon oluşturulmuştur. Tasarı, 24 Mart 2016 tarihinde kanunlaşmış ve 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete ‘de yayımlanarak yürürlüğe girmiştir. Bu kanunda amaç madde 1’de bahsedildiği üzere “Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek” olarak belirtilmiştir. Kapsam olarak ise madde 2 ‘de “Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.” ifadesi yer almaktadır. Kanunun 12.maddesinde ise “Veri sorumlusu; “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, Kişisel verilerin muhafazasını sağlamak” amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır” ifadesi geçmektedir.
Bu ifadeleri detaylı incelediğimizde kanuna göre alınması gereken tedbirlerin ISO / IEC 27001:2013 standardındaki maddelere karşılık geldiğini aşağıdaki tabloda rahatlıkla görebiliriz:
| Kanuna göre alınması gereken teknik ve idari tedbirler |
ISO/IEC 27001:2013 Standart maddesi |
| Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.) |
A.5.2 Politika |
| Risk Analizleri | A.6.1.2 Bilgi güvenliği risk değerlendirme |
| Sözleşmeler (Veri Sorumlusu –Veri İşleyen Arasında ) | A.7.1.2 İstihdam hüküm ve koşulları |
| Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanunları) | A.7.2.2 Bilgi güvenliği farkındalığı, eğitim ve öğretimi |
| İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi) |
A.7.2.3 Disiplin prosesi |
| Kişisel Veri İşleme Envanteri Hazırlanması | A.8.1.1 Varlıkların envanteri |
| Silme, Yok Etme veya Anonim Hale Getirme | A.8.3.2 Ortamın yok edilmesi |
| Kurum İçi Periyodik ve/veya Rastgele Denetimler | A.9.2 İç tetkik |
| Yetki Matrisi | A.9.2 Kullanıcı erişim yönetimi |
| Yetki Kontrol | |
| Kullanıcı Hesap Yönetimi | A.9.4.2 Güvenli oturum açma prosedürleri |
| Şifreleme | A.10.1 Kriptografik Kontroller |
| Anahtar Yönetimi | A.10.1.2 Anahtar yönetimi |
| Güncel Anti-Virüs Sistemleri | A.12.2.1 Kötücül yazılımlara karşı kontroller |
| Yedekleme | A.12.3.1 Bilgi yedekleme |
| Log Kayıtları | A.12.4.1 Olay kaydetme |
| Erişim Logları | |
| Sızma Testi | A.12.6.1 Teknik açıklıkların yönetimi |
| Saldırı Tespit ve Önleme Sistemleri | |
| Veri Kaybı Önleme Yazılımları | |
| Ağ Güvenliği | A.13.1.2 Ağ hizmetlerinin güvenliği |
| Güvenlik Duvarları | A.14.1.2 Halka açık ağlardaki uygulama hizmetlerinin güvenliğinin sağlanması |
| Uygulama Güvenliği | A.14.2.6 Güvenli geliştirme ortamı |
| Gizlilik Taahhütnameleri | A.15.1.2 Tedarikçi anlaşmalarında güvenliği ifade etme |
| Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.) |
A.17 İş sürekliliği yönetiminin bilgi güvenliği hususları |
| Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim | Yok |
| Veri Maskeleme | Yok |
Yukarıda verdiğimiz tablodan da görüldüğü üzere; Kişisel Verileri Koruma kanununun bahsettiği tedbirler için ISO/IEC 27001:2013 standardı uygulandığında sorun halledilmiş olmaktadır. Bu durumda en önemli husus, tüm maddelerin iyi irdelenmesi ve birbirine olan entegrasyonun politika, prosedür, talimat ve diğer tüm dokümantasyon ile oluşturulmasıdır. Nitekim tüm bu maddeleri sağlana kuruluş; KVKK ile ilgili tüm hususları da yerine getirmiş olacaktır.