ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ VE KİŞİSEL VERİLERİN KORUNMASI KANUNU ARASINDAKİ İLİŞKİLER

ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ VE KİŞİSEL VERİLERİN KORUNMASI KANUNU ARASINDAKİ İLİŞKİLER

Bu konu gelişen dünya düzeninde oldukça sık rastlanan ve merak edilen konular arasında hızla üst sıralarda yerini almaktadır.

Sanal ve dijital ortamların yarattığı imkânlar ile şirketlerin/kuruluşların toplumsal ihtiyaçlara cevap verebilmesini zorunlu hale getirmektedir. Bu değişimler; toplumun her paydaşında birçok beklenti oluşturmaktadır.

Bu beklentilerden en önemlisi kişisel verinin sağlanması, korunması ve alınan teknik/idari tedbirlerdir. Tüm bu konulara karşı oluşan tehditler ise gün geçtikçe artmaktadır ve bilgilere erişime kolaylık sağlandığında tarafları derinden etkileyen olaylar ortaya çıkabilmektedir.

İşte tam bu noktada Kişisel Verilerin Korunması ve ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ devreye girmektedir:

Bilgi güvenliği, bir varlık türü olarak bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa edilme, ortadan kaldırılma, el değiştirme ve hasar verilmesini önlemek olarak tanımlanır. Bu durum ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi (BGYS) standardı ile iç içe bağlantılı bir hale getirilmiştir

Bilgi Güvenliği Yönetim Sistemi standardı, firma büyüklüğü ve faaliyet alanı ne olursa olsun tüm kuruluşlara uygun olarak hazırlanmıştır. Standartta sunulan Ek-A maddeleri firmalara checklist avantajı sunarken, denetleme sayesinde tüm alanlarda zayıf olduğu noktaların tespiti sağlamaktadır.

Türkiye’de kişisel verilerin korunmasına ilişkin özel bir kanun çıkarmak için ilk kez 1989 yılında bir komisyon oluşturulmuştur. Tasarı, 24 Mart 2016 tarihinde kanunlaşmış ve 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete ‘de yayımlanarak yürürlüğe girmiştir. Bu kanunda amaç madde 1’de bahsedildiği üzere “Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek” olarak belirtilmiştir.  Kapsam olarak ise madde 2 ‘de “Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.” ifadesi yer almaktadır. Kanunun 12.maddesinde ise “Veri sorumlusu; “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, Kişisel verilerin muhafazasını sağlamak” amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır” ifadesi geçmektedir.

Bu ifadeleri detaylı incelediğimizde kanuna göre alınması gereken tedbirlerin ISO / IEC 27001:2013 standardındaki maddelere karşılık geldiğini aşağıdaki tabloda rahatlıkla görebiliriz:

 

Kanuna göre alınması gereken
teknik ve idari tedbirler
ISO/IEC 27001:2013 Standart maddesi
Kurumsal Politikalar (Erişim, Bilgi Güvenliği,
Kullanım, Saklama ve İmha vb.)
A.5.2 Politika
Risk Analizleri A.6.1.2 Bilgi güvenliği risk değerlendirme
Sözleşmeler (Veri Sorumlusu –Veri İşleyen Arasında ) A.7.1.2 İstihdam hüküm ve koşulları
Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanunları) A.7.2.2 Bilgi güvenliği farkındalığı, eğitim ve öğretimi
İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna
Uygun Hükümler İlave Edilmesi)
A.7.2.3 Disiplin prosesi
Kişisel Veri İşleme Envanteri Hazırlanması A.8.1.1 Varlıkların envanteri
Silme, Yok Etme veya Anonim Hale Getirme A.8.3.2 Ortamın yok edilmesi
Kurum İçi Periyodik ve/veya Rastgele Denetimler A.9.2 İç tetkik
Yetki Matrisi A.9.2 Kullanıcı erişim yönetimi
Yetki Kontrol
Kullanıcı Hesap Yönetimi A.9.4.2 Güvenli oturum açma prosedürleri
Şifreleme A.10.1 Kriptografik Kontroller
Anahtar Yönetimi A.10.1.2 Anahtar yönetimi
Güncel Anti-Virüs Sistemleri A.12.2.1 Kötücül yazılımlara karşı kontroller
Yedekleme A.12.3.1 Bilgi yedekleme
Log Kayıtları A.12.4.1 Olay kaydetme
Erişim Logları
Sızma Testi A.12.6.1 Teknik açıklıkların yönetimi
Saldırı Tespit ve Önleme Sistemleri
Veri Kaybı Önleme Yazılımları
Ağ Güvenliği A.13.1.2 Ağ hizmetlerinin güvenliği
Güvenlik Duvarları A.14.1.2 Halka açık ağlardaki uygulama hizmetlerinin
güvenliğinin sağlanması
Uygulama Güvenliği A.14.2.6 Güvenli geliştirme ortamı
Gizlilik Taahhütnameleri A.15.1.2 Tedarikçi anlaşmalarında güvenliği ifade etme
Kurumsal İletişim (Kriz Yönetimi, Kurul ve
İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
A.17 İş sürekliliği yönetiminin bilgi güvenliği hususları
Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim Yok
Veri Maskeleme  Yok

Yukarıda verdiğimiz tablodan da görüldüğü üzere; Kişisel Verileri Koruma kanununun bahsettiği tedbirler için ISO/IEC 27001:2013 standardı uygulandığında sorun halledilmiş olmaktadır. Bu durumda en önemli husus, tüm maddelerin iyi irdelenmesi ve birbirine olan entegrasyonun politika, prosedür, talimat ve diğer tüm dokümantasyon ile oluşturulmasıdır. Nitekim tüm bu maddeleri sağlana kuruluş; KVKK ile ilgili tüm hususları da yerine getirmiş olacaktır.

Add a Comment

Your email address will not be published.