ISO 27001 ve KVKK İlişkisi: Bilgi Güvenliği Yönetim Sistemi

BumerangData Hukuk Ekibi · · 12 dk okuma
ISO 27001 ve KVKK İlişkisi: Bilgi Güvenliği Yönetim Sistemi

ISO 27001 ve KVKK İlişkisi: Bilgi Güvenliği Yönetim Sistemi Rehberi

Türkiye'de faaliyet gösteren şirketler için KVKK uyumluluğu artık isteğe bağlı değil, zorunlu bir hukuki yükümlülüktür. Ancak birçok kuruluş, KVKK ile ISO 27001 standartı arasındaki ilişkiyi tam olarak anlamakta zorluk çekmektedir. Bu iki kavram aslında birbirini tamamlayan ve güçlendiren sistemlerdir. Bu rehberde, ISO 27001 ve KVKK'nın nasıl bir araya geldiğini, kurumsal bilgi güvenliği yönetim sisteminin nasıl oluşturulacağını detaylı şekilde inceleyeceğiz.

KVKK Nedir ve Temel Yükümlülükleri Nelerdir?

Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarihinde yürürlüğe giren, Türkiye'nin kişisel verilerin korunması alanındaki temel yasal düzenlemesidir. KVKK, AB'nin Genel Veri Koruma Yönetmeliği (GDPR) ile uyumlu olacak şekilde hazırlanmıştır.

Kanun, kişisel verilerin işlenmesinde şu temel ilkeleri belirlemektedir:

  • Hukuka uygunluk: Verilerin işlenmesi kanun tarafından izin verilen hallerde gerçekleştirilmelidir.
  • Amaçla sınırlılık: Veriler belirli, açık ve meşru amaçlar doğrultusunda işlenmelidir.
  • Veri minimizasyonu: Toplanan veriler, belirlenen amaç için gerekli ve sınırlı olmalıdır.
  • Doğruluk ve güncellik: Veriler doğru, tam ve güncel tutulmalıdır.
  • Depolama sınırlaması: Veriler, amaç gerçekleştiği takdirde silinmelidir.
  • Bütünlük ve gizlilik: Veriler yetkisiz erişim, işleme, silme gibi işlemlerden korunmalıdır.

KVKK'nın 5. maddesinde (m.5) bahsedilen bu ilkeler, aynı zamanda bilgi güvenliği yönetim sisteminin temelini oluşturmaktadır.

ISO 27001 Standartı Nedir?

ISO/IEC 27001, Uluslararası Standardizasyon Örgütü (ISO) tarafından yayınlanan, bilgi güvenliği yönetim sistemi (BGYS) için oluşturulmuş bir standarttır. Bu standart, kuruluşların bilgi varlıklarını korumak için sistemli bir yaklaşım sunmaktadır.

ISO 27001, özellikle şu alanlarda kuruluşlara rehberlik etmektedir:

  • Bilgi varlıklarının tanımlanması ve sınıflandırılması
  • Risk değerlendirmesi ve risk yönetimi
  • Kontrol mekanizmaları ve güvenlik politikaları
  • Çalışan eğitimi ve farkındalık
  • İdari, teknik ve fiziksel kontroller
  • Olay müdahalesi ve iş sürekliliği planları
  • Düzenli denetim ve iyileştirme süreci

ISO 27001 sertifikası almak, kuruluşun bilgi güvenliğine karşı ciddi bir tutum takındığını göstermektedir.

ISO 27001 ve KVKK Arasındaki Doğrudan İlişki

ISO 27001 ve KVKK, temelde farklı amaçlarla oluşturulmuş olsalar da, uygulamada birbiriyle sıkı sıkıya bağlantılıdır. KVKK, kişisel verilerin korunmasını gerektirirken; ISO 27001, bu verileri korumak için gerekli teknik ve idari kontrolleri sağlamaktadır.

Açık ifade ile, ISO 27001 KVKK uyumluluğu sağlamak için gereken altyapı ve sistemi oluşturur. Bir kuruluş KVKK'nın bilgi güvenliğine ilişkin hükümlerine uyum sağlamak istiyorsa, ISO 27001 standardının benimsenmesi gerekmektedir.

KVKK m.12 ve Bilgi Güvenliği Kontrolleri

KVKK'nın 12. maddesinde (m.12), "İmam ve Müdür Sorumluluğu" başlığı altında şu hüküm yer almaktadır: "Kişisel verileri işleyen kişi, kişisel verileri işlemeye ilişkin yürürlükteki kanunlara uyma yükümlülüğüne ilişkin faaliyetlerini, kişisel verilerin hukuka uygun işlenmesini, gizliliğinin korunmasını, erişim kontrolünü ve fiziki güvenliğini sağlamaya yönelik bilgi güvenliği kontrolleri başta olmak üzere uygun idari ve teknik tedbirler almış olduğunu gösterebilmelidir."

Bu madde, doğrudan ISO 27001 standartında yer alan kontrol mekanizmalarına atıfta bulunmaktadır. İşte bu nedenle, KVKK uyumluluğu için ISO 27001 uygulaması kaçınılmazdır.

Bilgi Güvenliği Yönetim Sistemi Nasıl Kurulur?

Bir kuruluş, ISO 27001 standardında belirtilen bir bilgi güvenliği yönetim sistemi (BGYS) oluşturmak için aşağıdaki adımları izlemelidir:

1. Adım: Organizasyonel Bağlamın Belirlenmesi

İlk olarak, kuruluşun bilgi varlıkları, tehditler ve zaafiyetler net şekilde tanımlanmalıdır. Bu aşamada:

  • Kuruluş içinde işlenen tüm kişisel veriler tespit edilmelidir.
  • Bu veriler hangi sistemlerde, ne kadar süre saklanmaktadır belirlenmelidir.
  • Veri işleme faaliyetlerinin kapsamı ve amacı dokumente edilmelidir.

2. Adım: Risk Değerlendirmesi

ISO 27001'de tanımlanan metodoloji kullanarak, detaylı bir risk değerlendirmesi yapılmalıdır:

  • Kişisel veri ihlali riskleri nelerdir?
  • Bu riskler gerçekleşirse kuruma ne gibi zarar verebilir?
  • Her risk için ne düzey kontrol mekanizması gereklidir?

Örnek: Bir e-ticaret şirketinin müşteri veritabanında siber saldırı riski