ISO 27701
ISO 27701 KİŞİSEL VERİ YÖNETİM SİSTEMİ NEDİR?
ISO/IEC 27701 standardı kuruluşlarda gizliliğin yönetimi için bir kişisel veri yönetim sistemi oluşturulması, uygulanması, sürdürülmesi ve sürekli olarak iyileştirilmesi adına gereklilikleri belirten ve kılavuzluk sağlayan bir standarttır. ISO 27001 ve ISO 27002 uzantısı olacak şekilde bir kişisel veri yönetim sistemi oluşturulmasını ister.
Türkiye’de de Kişisel Verilerin Korunması Kanunu ile birlikte giderek daha da önem kazanan veri koruma konusunu mevcut durumda en kapsamlı ve sistematik şekilde ele alan standarttır. Bu anlamda ISO/IEC 27701, hem Avrupa Birliği Veri Koruma Tüzüğü hem de KVKK’ya uyum sağlamak isteyen kuruluşlar açısından rehber niteliği taşıyan ve belgelendirilebilir nitelikteki bir standarttır.
Kamu ve özel kuruluşlar, devlet kurumları ve kar amacı gütmeyen kuruluşlar da dahil olmak üzere kişisel veri işleyen tüm veri sorumlusu ve veri işleyen kuruluşlar için uygulanabilir bir standarttır.
ISO 27701 BELGESİ VE YÖNETİM SİSTEMİNİN FAYDALARI NELERDİR?
- Ulusal ve uluslararası veri koruma kanun, yönetmelik ve mevzuatlarına(KVKK, GDPR gibi) uyumu kolaylaştırır.
- Kişisel bilgilerin gizliliğinin yönetimi hususunda tüm ilgili tüm taraflara güvence sağlar.
- Şeffaflık noktasında kuruluşlara katkı sağlar.
- Veri sorumlusu ve veri işleyenler için rehber niteliğindedir.
- Kişisel bilgiler ve gizlilik noktasında mevcut ya da oluşabilecek risklerin yönetimini kolaylaştırır.
- Gizliliğin yönetimi süreçlerinin yönetimi kurumsallaşma noktasında kuruluşa katkı sağlar.
- Kişisel bilgilerin/verilerin gizliliğinin ve veri koruma anlayışının kuruluşta içselleştirilmesine destek olur.
ISO 27701 STANDARDI HANGİ MADDELERDEN OLUŞUR?
- KAPSAM
- NORMATİF REFERANSLAR
- TERİMLER, TANIMLAR VE KISALTMALAR
- GENEL
4.1 Bu belgenin yapısı
4.2 ISO/IEC 27001:2013 gereksinimlerinin uygulanması
4.3 ISO/IEC 27002:2013 yönergelerinin uygulanması
4.4 MüşteriISO/IEC 27001 ile ilgili
- PIMS’ye özel gereksinimler
5.1 Genel
5.2 Kuruluşun bağlamı
5.3 Liderlik
5.4 Planlama
5.5 Destek
5.6 Çalıştırma
5.7 Performans değerlendirmesi
5.8 İyileştirme
- ISO/IEC 27002 ile ilgili PIMS’ye özel kılavuz
6.1 Genel
6.2 Bilgi güvenliği politikaları
6.3 Bilgi güvenliğinin organizasyonu
6.4 İnsan kaynakları güvenliği
6.5 Varlık yönetimi
6.6 Erişim kontrolü
6.7 Kriptografi
6.8 Fiziksel ve çevresel güvenlik
6.9 Operasyon güvenliği
6.10 İletişim güvenliği
6.11 Sistem edinme, geliştirme ve bakım
6.12 Tedarikçi ilişkileri
6.13 Bilgi güvenliği olay yönetimi
6.14 İş sürekliliği yönetiminin bilgi güvenliği yönleri
6.15 Uyumluluk
- PII denetleyicileri için ek ISO/IEC 27002 kılavuzu
7.1 Genel
7.2 Toplama ve işleme koşulları
7.3 PII sorumlularına yönelik yükümlülükler
7.4 Tasarım gereği gizlilik ve varsayılan olarak gizlilik
7.5 PII paylaşımı, aktarımı ve ifşası
- PII işlemciler için ek ISO/IEC 27002 kılavuzu
8.1 Genel
8.2 Toplama ve işleme koşulları
8.3 PII sorumlularına yönelik yükümlülükler
8.4 Tasarım gereği gizlilik ve varsayılan olarak gizlilik
8.5 PII paylaşımı, aktarımı ve ifşası
Ek A PIMS’ye özel referans kontrol hedefleri ve kontrolleri (PII Kontrolörleri)
Ek B PIMS’ye özel referans kontrol hedefleri ve kontrolleri (PII İşlemciler)
Ek C ISO/IEC 29100’e Eşleştirme
Ek D Genel Veri Koruma Yönetmeliğinin Eşleştirilmesi
Ek E ISO/IEC 27018 ve ISO/IEC 29151’e Eşleştirme
Ek F ISO/IEC 27701, ISO/IEC 27001 ve ISO/IEC 27002’ye nasıl uygulanır?
F.1 Bu belge nasıl uygulanır?
F.2 Güvenlik standartlarının iyileştirilmesi örneği