Blog

10 Ağustos 2021

ISO 27701 KİŞİSEL VERİ YÖNETİM SİSTEMİ VE KİŞİSEL VERİLERİN KORUNMASI KANUNU

ISO 27701 Nedir?

ISO 27701, uluslararası bilgi güvenliği yönetim sistemi standardı olan ISO/IEC 27001’e yapılan bir gizlilik eklentisidir.

International Organization for Standardization (ISO) (Bknz. https://www.iso.org/home.html) tarafından yayımlanan standardın tam adı “EN ISO/IEC 27701 Güvenlik Teknikleri – Kişiye özel bilgilerin yönetimi için ISO/IEC 27001 ve ISO/IEC 27002 standartlarına yapılan eklemeler – Gereksinimler ve Kılavuz” olmakla beraber Türkiye Akreditasyon Kurumu (TÜRKAK Bknz. https://www.turkak.org.tr/ ) tarafından akredite edilen belgelendirme kurumlarının kapsamlarında Kişisel Veri Yönetim Sistemi Standardı ifadesinin geçtiği görülmektedir.

ISO 27701 Neden Geliştirildi?

Ülkemizde KVKK olarak bilinen 6698 sayılı Kişisel Verilerin Korunması Kanununun (Bknz. https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5) çıkış noktası Avrupa Birliğinin Genel Veri Koruma Yönetmeliğidir. (EU GDPR- General Data Protection Regulation)

Söz konusu kanun ve uygulamadaki diğer yönetmelik, yönerge ve standartlar kuruluşların işledikleri herhangi bir kişisel verinin gizliliğini sağlamak için önlemler almasını zorunlu kılar.

Bununla birlikte bu kanun ve yönetmeliklerin hiçbiri alınması gereken tedbirlerin ne olduğuna ve uygulamaya dair bir kılavuzluk yapmaz. Bu nedenle ISO (Uluslararası Standardizasyon Örgütü) ve IEC (International Electrotechnical Commission Bknz. https://www.iec.ch/homepage) bu yeni standardı geliştirmiştir.

ISO 27001 ve ISO 27701 Nasıl Entegre Oldu?

Risk tabanlı bir yaklaşım aracılığıyla ISO 27701 insanları, süreçleri ve teknolojiyi kapsayacak şekilde Bilgi Güvenliği Yönetim Sistemi (BGYS) için gereksinimleri belirler. ISO 27001 için bağımsız olarak akredite edilmiş bir belgelendirme kurumu tarafından verilen sertifika, paydaşlara verilerin uygun şekilde güvence altına alındığına dair kanıt mahiyetindedir.

Halihazırda ISO 27001’i uygulayan kuruluşlar, güvenlik tedbirlerini, kişisel verilerin  işlenmesi de dahil olmak üzere genişletmek maksadıyla ISO 27701’i de kullanabilecektir.  Bu şekilde KVKK gibi veri koruma yasalarına uyum sağlanması  konusunda da makul ve yeterli önlemlerin alınmasını kolaylaştıracaktır.  Başka bir ifadeyle organizasyonlar ISO 27701 ve ISO 27001’i entegre bir bilgi güvenliği yönetim sistemi şeklinde tatbik edebilirler.

Kimler Uygulamalı?

ISO 27701, tüm veri denetleyicileri ve veri işleyenler tarafından kullanılmak üzere tasarlanmıştır. ISO 27001 gibi, risk temelli bir yaklaşımı savunur, böylece her uyumlu kuruluş, karşı karşıya olduğu belirli risklerin yanı sıra kişisel veriler ve mahremiyete yönelik riskleri de ele alır ,değerlendirir ve tedbir alır.

Özellikle kişisel veri muhafaza eden ve işleyen tüm organizasyonların ISO 27701 gerekliliklerine uygun hareket etmesi onlara KVKK uyum sürecinde de bir yol haritası olarak kolaylık sağlayacaktır.

KVKK ile İlişkisi

ISO 27701 ve ISO 27001’i uygulamak, KVKK ve diğer ilgili mevzuatın gizlilik ve bilgi güvenliği gereksinimlerini karşılamanıza ve işlediğiniz kişisel verileri korumak için “uygun teknik ve organizasyonel önlemler” için yönetim düzenlemelerine sahip olduğunuzu göstermenize olanak sağlayacaktır.  KVKK ne olması gerektiğini dikte eder, bilgi ve kişisel veri güvenliği ile ilgili bu standartlar ise bunu nasıl yapacağınızı anlatır.

KVKK ve dolayısıyla GDPR henüz uygulaması olmayan pek çok konuya atıf yaparken bu hususların nasıl tatbik edilmesi gerektiğine dair ipuçlarını ilgili standartlarda bulacaksınız.

ISO 27701 KVKK ile doğrudan ilişkilidir.

ISO 27701 Belgelendirme ve KVKK Danışmanlık Hizmeti

M&A Belgelendirme ve Mühendislik, bilgi güvenliği ve kişisel veri yönetimi konusunda bir organizasyonun ihtiyaç duyabileceği tüm konulara cevap verebilecek bir iş modeli sunmaktadır.  Konunun teknik, hukuki, bilişsel ve denetimsel boyutları olması nedeniyle uzman personel nezaretinde kapsayıcı bir çalışma yapılması gerekmektedir. Talebiniz doğrultusunda aşağıdaki hizmetlerin tamamını  ya da sizin seçtiklerinizi karşılayabiliriz.

  • ISO 27701 belgelendirme (TÜRKAK veya uluslararası akreditasyonda),
  • ISO 27001 belgelendirme (TÜRKAK veya uluslararası akreditasyonda),
  • Durum tespiti için dış denetim,
  • KVKK uyum danışmanlığı (eksiksiz olarak uyum projesinin hazırlanması ile ilgili tüm süreçleri kapsar),
  • Bilgi güvenliği, kişisel veri yönetimi ve KVKK eğitimleri,
  • Sistem kontrolü ve testleri (sızma testleri vb)

İlgili standartların belgelendirme aşamasında TÜRKAK veya uluslararası akredite belgelendirme kuruluşları ile çalışmaktayız. KVKK uyum projesi hazırlanması ve hukuki süreçlerin yönetimi alanında ise bu alanda öncü bir hukuk firması ile iş birliği içindeyiz.

Konu ile ilişkili diğer standart olan ISO/IEC 27001 BGYS ile ilgili daha fazla bilgiye bağlantıdan ulaşabilirsiniz: https://www.mabelgelendirme.com/iso-27001-nedir/

Soru ve taleplerinize mevzuata uygun ve nitelikli çözümler bulmak için lütfen bizimle irtibata geçiniz.

Sistem Belgelendirme , , , , , , , , , , , , , , , , , ,

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Belgelendirme Hattı
Sorularınızı Yanıtlayabilirim