ISO 27701 için sertifika denetimi hizmeti nereden alınabilir?
ISO 27001 sertifikası için denetleme yapan kurumların birçoğu, IOS 27701 içinde denetleme yapabilmektedir. Bu kapsamda aynı kurumlardan destek alınabilir.
Bilgi teknolojisi ile ilgili yaşanan gelişmeler kendisi ile beraber “bilgi güvenliği” tartışmasını ve bunlar için yapılan çalışmaları da beraber getirmiştir. Ancak özellikle 1990’lı yıllardan itibaren güvenlik boyutuna ek olarak “mahremiyet” konusu yeni bir değer olarak yoğun şekilde literatürde tartışılmaya başlanmıştır. İlk başlarda birkaç madde halinde kanunlarda yer alan “kişisel veri mahremiyeti” daha sonra kapsamlı düzenlemelerle ele alınmıştır.
Resmi olarak 95/46/EC sayılı ve Ekim 1995’te yürürlüğe giren Avrupa Birliği Veri Koruma Yönergesi ve onun ileri safhası olan GDPR (General Data Protection Regulation) bu konudaki önemli adımlardan biridir. Türkiye’de de KVKK (Kişisel Verilerin Korunması Kanunu) ile bu kapsamda önemli bir adım atılmıştır.
Veri Mahremiyeti konusunda yapılan önemli çalışmalardan biri de ISO 27701 standardıdır. Bu yazıda; ISO 27701 standardı ve bu standardın Veri Mahremiyeti konusunda kapsadığı alan üzerinden durulacaktır. Ayrıca standardın; ISO 27001, KVKK, GDPR gibi diğer kritik düzenlemelerle ilişkisine açıklık getirilecektir.
ISO 27701 kişisel veri mahremiyetinin sağlanması için bir yönetim sistemi kurmak amacıyla ISO / IEC 27001’in uzantısı olarak geliştirilmiş uluslararası bir standarttır.
Kişisel veri mahremiyetine yönelik hassasiyetin artmasına müteakip 95/46/EC direktifi, GDPR ve KVKK gibi alanlarda çalışmalar başlamıştır. Ancak bu regülasyonlar daha çok bir gereksinim kümesi olup kurumsal bir yönetim sistemi şeklinde kurulmaya ve denetlenmeye uygun değildir. ISO 27701 bu ihtiyacı görmek amacıyla geliştirilmiş ve uygulanmaktadır.
Bu konuyu anlamak için ISO 27001’in yapısını kısaca hatırlamak faydalı olacaktır. ISO 27001 ana standart maddeleri ve EK-A kontrol maddeleri olmak üzere iki ana bölümden oluşmaktadır. Ana bölüm genel olarak BGYS ’nin kurulmasına odaklanırken EK-A uygulanması beklenen teknik kontrolleri listelemektedir.
ISO 27002 ise, genel olarak ISO 27001 EK-A kısmında yer alan teknik kontroller için uygulama pratiklerini içermektedir.
(Daha detaylı bilgi için bu bağlantıda verilen yazıdan faydalanabilirsiniz)
Bunların en sonunda gelen ISO 27701 ise, yukarıdaki 2 standarda ek olarak veri mahremiyetine özel yönetim sistemi gereksinimlerini ve uygulama pratiklerini içermektedir.
Sonuç olarak ISO 27701, ISO 27001 ve onun uygulama pratiği olan ISO 27002’nin bir uzantısı olarak düşünülmüş ve geliştirilmiştir.
Evet. ISO 27701, 27001 üzerine bina edildiği için öncesinde ISO 27001 almak şart olmaktadır. Aşağıdaki şekilde görüldüğü gibi bir yapı düşünülebilir.
Kaynak: https://assets.kpmg/content/dam/kpmg/ru/pdf/2020/06/ru-en-iso-iec-27701-2019-certification.pdf
Evet. ISO 27001’i olmayan bir kurum eğer ISO 27701 almak isterse ikisini tek başvuru altında alabilir. Ancak kolay uygulanabilirlik açısından kurumun öncelikle ISO 27001 alarak hazmetmesi arkasından ISO 27701 alması daha makul görülmektedir.
ISO 27002, 27001’in uygulama pratiklerini içeriyor olup bağımsız yada bir ek olarak sertifikalanmaya tabi değildir.
KVKK yada GDPR’ın doğrudan ISO 27701’e bir referansı yoktur. Bir kurumun ISO 27701 sertifikası alması KVKK yada GDPR uyumlu olduğunu garanti etmez.
ISO 27701 sertifikası almak ve işletmek KVKK/GDPR uyumunu garanti etmez. Ancak bu regülasyonların gerekliliklerinin büyük oranda karşılanmasını sağlar.
Ayrıca KVKK/GDPR’a tabi bir kurum veri ihlali yaşadığında kurumun gerekli teknik tedbirleri aldığına dair önemli bir kanıt oluşturur. Bu durumun kurumun karşılaşacağı cezai yaptırımlarda önemli bir hafifletici etken olabilir.
ISO 27701 standardı Annex D kısmında aşağıda görüldüğü şekilde faydalı olabilecek bir eşleştirme sunulmuştur.
Benzer şekilde KVKK içinde aşağıdaki gibi bir eşleştirme yapılabilir.
Kaynak: https://www.iso27701belgesi.com/iso-27701-kisisel-veri-guvenligi-nedir/
ISO 27701 sertifikası alınırken, ISO 27001 standardında “information security” olarak verilen tüm gereksinimler, “information security and privacy” olacak şekilde düşünülür ve buna göre aksiyon alınır. Bu kapsamda yapılacak refinement aşağıda örneklenmiştir.
ISO 27001 sertifikası için denetleme yapan kurumların birçoğu, IOS 27701 içinde denetleme yapabilmektedir. Bu kapsamda aynı kurumlardan destek alınabilir.
İçerikler
Bilgi Güvenliği ve buna bağlı “uyum süreçleri” konusunda danışmanlık, eğitim ve test hizmetleri sunmak amacıyla kurulmuş bir bilişim firmasıdır.
© 2022 — btuyum.com – Tüm Hakları Saklıdır