Temelinde bilgi varlıklarımızın güvenliğini ele alan ISO 27001 ve KVKK’nın birçok ortak noktası bulunmaktadır. Kurum Bilgi Güvenliği alanında belgelendirme gerçekleştirerek bu kapsamda ele aldığı tedbirleri de ortaya koymaktadır. Standardın amacı, bir bilgi güvenliği yönetim sisteminin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesidir. Hem BGYS’ nin hem de KVKK’nın ana prensibinin gizlilik ve güvenliğin sağlanması olması, tabi ki BGYS alanında çalışmaları olan organizasyonların KVKK’ya daha hızlı ve sağlıklı şekilde adapte olmalarını sağlamaktadır. Ancak bu tarafta şu yanılgıdan kaçınmamız gerekir; ISO 27001 sertifikası olan organizasyonların, yalnızca standart kapsamındaki tedbirleri alarak KVKK ile de tam uyumlu hâle geldiklerini düşünmeleri. İkisini birbirinden ayıran önemli noktaların mevcut olması sebebiyle yalnızca bu şekilde KVKK alanında tam uyumu sağlamış olmayız.
Kişisel verilerin korunması ile ilgili kanun ve yönetmelikleri incelediğimizde KVKK’yı üç ana başlıkta toplayabiliriz. Başlıklarımız şu şekilde;
- Kayıt
- Veri Güvenliği
- Silme İşlemi
İlgili başlıkları kısaca açacak olursak;
Kayıt
Kişisel veya özel nitelikli kişisel verileri işleme, aktarma ve açık rıza konularını kapsamaktadır.
Veri Güvenliği
Kurumların; kişisel verilerin hukuka aykırı olarak işlenmesini, erişilmesini ve muhafazasını sağlamasıdır.
Silme İşlemi
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.
Şimdi ise KVKK ile BGYS arasındaki ilişkiyi bu üç ana başlık üzerinden kuralım.
“Kayıt” ve “silme işlemleri” ne bakacak olursak, bu süreçler kanunun kendisine ait süreçleridir ve BGYS’ den bağımsızdır. BGYS ile doğrudan ilişkili olan sürecimiz KVKK’nın ana başlıklarından birisi olan “Veri Güvenliği” dir.
KVKK kurumunun yayınlamış olduğu Veri Güvenliği Rehberi’ne bakıldığında kanun tarafından kurumlardan beklenen:
- Mevcut risklerin belirlenmesi,
- Farkındalık eğitimlerinin verilmesi,
- Kişisel veri güvenliği konusunda prosedür ve politikaların oluşturulması
- Kişisel verilerin en aza indirilmesi konusunda tedbir alınması gerektiğini açıkça belirtmektedir.
Ayrıca kurumlardan beklenen, siber güvenliğin sağlanması, kişisel veri güvenliğinin takibi, verilerin bulutta depolanması, gerekli bilgi teknolojileri sistemlerinin tedarik edilmesi, düzenli bakım ve yedeklerinin alınması gibi teknik tedbirler belirtilmektedir.
Değineceğim diğer konu KVKK’nın da ele aldığı risk analizi kısmının BGYS’nin en temel konusu olması. İdari ve teknik tedbirlerin iki sistem arasındaki bağlantısı ekteki tabloda detaylandırılmıştır. Sonuç olarak KVKK ve ISO 27001’ in ortak birçok yönü bulunmakta ve veri güvenliği konusunda kurumların önemli kilometre taşlarındandır.
Kıyaslama Tablomuz:
Kişisel Veri Güvenliği Alanında Alınması Gereken Teknik ve İdari Tedbirler |
ISO/IEC 27001:2022 Standart Maddesi |
| Yetki Matrisi | A.5.15 Erişim Kontrolü |
| Erişim Logları | A.8.15 Loglama |
| Kullanıcı Hesap Yönetimi | A.8.5 Güvenli Kimlik Doğrulama |
| Ağ Güvenliği | A.8.21 Ağ Hizmetlerinin Güvenliği |
| Uygulama Güvenliği | A.8.26 Uygulama Güvenlik Gereksinimleri |
| Şifreleme | A.8.24 Kriptografi Kullanımı |
| Sızma Testi / Saldırı ve Tespit Önleme Yöntemleri | A.8.8 Teknik Açıklıkların Yönetimi |
| Log Kayıtları | A.8.15 Loglama |
| Veri Maskeleme | A.8.11 Veri Maskeleme |
| Veri Kaybı Önleme Yazılımları | A.8.12 Veri Sızıntısını Önleme |
| Yedekleme | A.8.13 Bilgi Yedekleme |
| Güvenlik Duvarları | A.8.20 Ağ Güvenliği |
| Güncel Antivirüs Sistemleri | A.8.7 Kötü Amaçlı Yazılımlara Karşı Koruma |
| Silme, Yok Etme veya Anonim Hale Getirme | A.7.10 Depolama Ortamı |
| Anahtar Yönetimi | A.8.24 Kriptografi Kullanımı |
| Kişisel Veri İşleme Envanteri Hazırlanması | A.5.9 Bilgi Envanteri ve Diğer İlgili Varlıklar |
| Kurumsal Politikalar | 5.2 Politika |
| Sözleşmeler | A.6.2 İstihdam Hüküm ve Koşulları |
| Gizlilik Taahhütnameleri | A.5.20 Tedarikçi Sözleşmeleri Kapsamında Bilgi Güvenliğinin Ele Alınması |
| Kurum İçi Periyodik Denetimler | 9.2 İç Tetkik |
| Risk Analizleri | 6.1.2 Bilgi Güvenliği Risk Değerlendirmesi |
| İş Sözleşmesi, Disiplin Yönetmeliği | A.6.4 Disiplin Süreci |
| Kurumsal İletişim | A.5.5 Otoritelerle İletişim |
| Eğitim ve Farkındalık Faaliyetleri | A.6.3 Bilgi Güvenliği Farkındalığı, Eğitim ve Öğretimi |
| VERBİS | Mevcut Değil. |
