“ISO 27701, ISO 27001’in gizlilikle genişlemiş halidir.”

Bu Yazıda Neyi Konuşacağız?

ISO 27701, bir ek standarttır. Kendi başına çalışmaz. ISO 27001’in bilgi güvenliği altyapısı üzerine inşa edilir ve kişisel verilerin gizliliğini yöneten bir çatı oluşturur. Bu yazıda, ISO 27001’deki 4–10. maddelere nasıl gizlilik katmanı eklendiğinden kısaca bahsedeceğim.

KVYS Gerekliliklerinin 27001 ile Entegrasyonu:

ISO 27001’in aşağıdaki yönetim sistemi başlıklarına gizlilik boyutları eklenir:

- 4. Bağlam: Gizlilikle ilgili taraflar ve kişisel veri işleme bağlamı eklenmelidir.

- 5. Liderlik: Üst yönetim gizlilik hedeflerine açık destek vermeli; KVYS politikası tüm çalışanların görebileceği şekilde yayımlamalıdır.

- 6. Planlama: Gizlilik riskleri ayrı olarak tanımlanmalı ve işlenmelidir.

- 7. Destek: Personelin gizlilik farkındalığı sağlanmalı, gizlilik odaklı belgeler güncel tutulmalıdır.

- 8. İşletim: Kişisel verilerle ilgili süreçler açıkça tanımlanmalı ve denetlenebilir olmalıdır.

- 9. Performans Değerlendirmesi: Gizlilik hedeflerinin gerçekleşme düzeyi izlenmelidir.

- 10. İyileştirme: Gizliliğe ilişkin uygunsuzluklar için düzeltici faaliyetler uygulanmalıdır.

Uygulama Tavsiyesi:

- BGYS sisteminiz varsa KVYS’yi entegre modül gibi düşünebilirsiniz.

- Mevcut dokümantasyon üzerine kişisel veri odaklı güncellemeler yapılmalıdır.

- Tüm gizlilik yükümlülüklerini bilgi güvenliği sorumluluğuna değil, tüm organizasyona yaygınlaştırmak en önemli konulardan biridir.

Son Söz:

ISO 27701, ISO 27001’i tamamlayan bir yapı değil, onu derinleştiren bir sistemdir. Veriyi korumak ayrı, kişisel mahremiyeti yönetmek ayrı disiplindir.

Bu iki sistem birlikte çalıştığında hem teknik hem etik güvenlik sağlanır.