“Gizlilik, sadece sistemle değil, uygulamayla da yönetilir.”

Bu Yazıda Neyi Konuşacağız?

ISO 27701 sadece ne yapılması gerektiğini değil, nasıl yapılacağını da anlatır. Bu bölümde, ISO 27002 kontrolleri üzerine eklenen gizlilik odaklı rehberlik maddelerini ele alıyoruz. Bu sayede teknik ekipler ve yöneticiler KVYS’yi daha uygulanabilir hale getirir.

Kılavuz Bilgilerin Kapsadığı Temalar:

ISO 27002 kontrolleriyle birlikte şu alanlara KVYS rehberlikleri eklenmiştir:

- Politika ve organizasyonel kontroller: Gizlilik politikalarının ayrı belgelenmesi

- İnsan kaynakları güvenliği: Gizlilik farkındalığı eğitimi, gizlilik sözleşmeleri

- Erişim yönetimi: Kişisel veri erişimleri kayıt altına alınmalı ve sınırlandırılmalı

- Kriptografi: PII verileri için şifreleme zorunluluğu ve anahtar yönetimi

- Fiziksel güvenlik: Kişisel veri içeren ekipmanların fiziksel güvenliği

- İşletim güvenliği: Loglama, sistem izleme ve veri silme süreçleri

- Tedarikçi ilişkileri: Kişisel veri paylaşımı içeren dış kaynak sözleşmeleri

- Olay yönetimi: Gizlilik ihlali farkındalığı ve bildirim prosedürleri

Uygulama Tavsiyesi:

- ISO 27002’deki her kontrolü KVYS açısından tekrar değerlendirin.

- Özellikle erişim, silme, aktarma ve şifreleme gibi teknik kontrollerde kişisel veri odaklılaştırma yapılmalıdır.

- Olay yönetimi prosedürlerine veri ihlali bildirimi adımlarını ekleyin.

Son Söz:

ISO 27002 kontrolleri teknik güvenliği sağlarken, ISO 27701 aynı kontrolleri kişisel veri gizliliğiyle buluşturur. Bu entegrasyon sayesinde sadece sistem değil, bireyler de korunmuş olur.