ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin KVKK’ya etkisi

ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin KVKK’ya etkisi

Kişisel Verilerin Korunması Kanunu (KVKK) 7 Nisan 2016 tarihinde yürürlüğe girmişti. Kanunun yürürlüğe girdiği tarihten önce işlenmiş kişisel verilerin, yürürlüğe girdiği tarihten itibaren iki yıl içinde uygun hale getirilmesi için verilen süre 7 Nisan 2018 tarihinde sona erdi. Özel hayatın gizliliği, temel hak ve özgürlükleri koruma, kişisel verilerin işlenmesi hakkında usul ve esasların belirlenmesi amacıyla çıkarılan KVKK kamu ve özel sektör olmak üzere tüm kurumlara hukuki ve teknik yükümlülükler getirmektedir. Kanun hukuki bir çalışmayı gerektirdiği gibi kurum bünyesinde kişisel verilerin kaydedildiği ERP, CRM, İK gibi uygulamalarında güncelleme yapılmasını gerektirmektedir.

Ahmet Tosunoğlu

KVKK özellikle son altı ay içerisinde kişisel veri sahibi tüm kurumların radarına girmiş durumda. 7 Nisan 2018’de KVKK uyum sürecini tamamlamış kurumlar olduğu gibi birçok şirkette uyum çalışmaları halen devam etmektedir. Bu nedenle 2018 yılı içerisinde KVKK kurumların gündemini meşgul etmeye devam edecektir.
Dijital dönüşümle birlikte kurumların gündeminde olan ana konulardan birisi de bilgi güvenliğidir. Bilgi güvenliği, bilginin gizliliği, bütünlüğü ve erişebilirliğini risk yönetimi prosesini uygulayarak muhafaza edilmesi demektir. Kurumlar siber saldırılara karşı bilgi güvenliğinin sağlanması ve iş sürekliliği için ISO/IEC 27001:2013 Kurumsal Bilgi Güvenliği Yönetim Sistemi (BGYS) Standardını uygulamayı tercih etmektedir. ISO 27001 BGYS kuruluşlarda bilginin güvenliğini sağlamak için uygulanan dokümantasyon sistemidir ve günümüz bilgi yoğun dünyasında önemli konulardan birisidir.

O halde kurumlar için bugün öne çıkan KVKK ile BGYS arasında ilişki kurmak mümkün mü? Daha anlaşılır bir şekilde ifade edersek; BGYS Sertifikası’na sahip olan bir kurum KVKK’ya uyum sürecini daha kolay yürütebilir mi? Hangi noktalarda BGYS, KVKK’yı destekler? Bu soruların cevabını verebilmek için KVKK’ya daha yakından bakmak gerekecektir.

Kişisel verilerin korunması ile ilgili kanun, yönetmelikler ve tebliğler incelendiğinde geniş kapsamlı ve uzmanlık gerektiren birçok madde olduğu görülecektir. Kanundaki bu detaylara rağmen KVKK’yı “kayıt”, “veri güvenliği” ve “silme işlemi” olmak üzere üç ana başlıkta toplayabiliriz.
Kişisel ve özel nitelikli kişisel verilerin işlenme şartları, kişisel verilerin yurtiçi ve yurtdışında aktarılması ve açık rıza konuları “kayıt” başlığı altında ele alınabilir. Kişisel verilerin işlenmesinde açık rıza şartlarına uyarak yüz yüze, online, SMS, e-mail yada telefon gibi kayıt kanallarından veri tabanına işlenme sürecini kanuna uygun kurgulayan kurumların KVKK uyum sürecinde büyük bir adım atmış olacaklardır.

Kanunun 12. maddesinde ve Kişisel Veri Güvenliği Rehberi’nde “veri güvenliği” konusu detaylı olarak ele alınmıştır. Veri güvenliği başlığı altında kurumlar; kişisel verilerin hukuka aykırı olarak işlenmesi ve erişilmesini önlemek ve muhafazasını sağlamaları gerekmektedir. Kanunda yer alan kişisel verilerin yurtiçi ve yurt dışına aktarılması konuları da veri güvenliği kapsamında ele alınabilir.
Kanunda yer alan ve kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hakkında çıkarılan yönetmelik ve rehberle detaylandırılan “silme” konusu KVKK’nın en kritik başlıklarından birisidir. Silme işlemi; tamamen veya kısmen otomatik olan yada herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.

Diğer taraftan kurumların açık rıza metinleri, aydınlatma yükümlülüğü, politika, prosedür, kişisel veri işleme envanteri, veri sorumluları sicili gibi dokümanları hazırlaması, ilgili kişilerin başvuru ve şikayet taleplerinin alınması amacıyla şirket içi düzenleme yapmaları gerekmektedir.
Bütün bu bilgilere istinaden KVKK ile BGYS arasındaki ilişki KVKK’nın üç ana süreci dikkate alarak değerlendirilebilir. Üç ana süreçten “kayıt” ve “silme işlemleri” kanunun kendisine özgü süreçleridir ve BGYS’den bağımsızdır. Bu nedenle “kayıt” ve “silme işlemlerinin” BGYS maddeleri ile ilişkisi bulunmamaktadır.

Kişisel Verileri Koruma Kurulu’nun yayımladığı Veri Güvenliği Rehberi incelendiğinde KVKK’nın ana başlıklarından birisi olan “veri güvenliğinin” BGYS ile doğrudan ilişkili olduğu görülecektir. KVKK’da kişisel veri güvenliğine ilişkin tedbirler; idari ve teknik olmak üzere iki bölümde ele alınmıştır.
Veri Güvenliği Rehberi’nde açıklandığı gibi kanun kurumlardan; mevcut risk ve tehditlerin belirlenmesi, çalışanların eğitilmesi ve farkındalık çalışmaları, kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi, kişisel verilerin mümkün olduğunca azaltılması, veri işleyenler ile ilişkilerin yönetimi için idari tedbir alınması beklemektedir.
Kurumların yerine getirmesi gereken teknik tedbirler ise şunlardır; siber güvenliğin sağlanması, kişisel veri güvenliğinin takibi, kişisel veri içeren ortamların güvenliğinin sağlanması, kişisel verilerin bulutta depolanması, bilgi teknolojileri sistemlerinin tedariği, geliştirilmesi ve bakımı ve kişisel verilerin yedeklenmesidir.

Veri Güvenliği Rehberi’nin 4. Bölümü’nde “Kişisel Veri Güvenliğine İlişkin Teknik ve İdari Tedbirler Kapsamındaki Özet Tablolar” başlığı altında ele alınan tedbirlerin BGYS’deki karşılıkları ise şu şekildedir.

KVKK – BGYS İlişki Tablosu

 

Teknik Tedbirler ISO 27001 BGYS İlişkisi
Yetki Kontrol Ek A.9.2.5 Kullanıcı erişim haklarının gözden geçirilmesi
Erişim Logları Ek A.9.1.2 Ağlara ve ağ hizmetlerine erişim
Kullanıcı Hesap Yönetimi Ek A.9.4.2 Güvenli oturum açma prosedürleri
Ağ Güvenliği Ek A.13.1.2 Ağ hizmetlerinin güvenliği
Uygulama Güvenliği Ek A.14.2.6 Güvenli geliştirme ortamı
Sızma Testi Ek A.12.6.1 Teknik açıklıkların yönetimi
Saldırı Tespit ve Önleme Sistemleri Ek A.12.6.1 Teknik açıklıkların yönetimi
Log Kayıtları Ek A.12.4.1 Olay kaydetme
Veri Kaybı Önleme Yazılımları Ek A.12.6.1 Teknik açıklıkların yönetimi
Yedekleme Ek A.12.3.1 Bilgi yedekleme
Güvenlik Duvarları A.14.1.2 Halka açık ağlardaki uygulama hizmetlerinin güvenliğinin sağlanması
Güncel Anti-Virüs Sistemleri Ek A.12.2.1 Kötümcül yazılımlara karşı kontroller
Silme, Yok Etme veya Anonim Hale Getirme Ek A.8.3.2 Ortamın yok edilmesi
Anahtar Yönetimi Ek A.10.1.2 Anahtar Yönetimi

 

İdari Tedbirler ISO 27001 BGYS İlişkisi
Kurumsal Politikalar (Erişim, Bilgi güvenliği, Kullanım, Saklama ve İmha vb.) 5.2 Politika
Sözleşmeler (Veri sorumlusu-Veri İşleyen) Ek A.7.1.2 İstihdam hüküm ve koşulları
Gizlilik Taahhütnameleri Ek A.7.1.2 İstihdam hüküm ve koşulları,

Ek A.15.1.2 Tedarikçi anlaşmalarında güvenliği ifade etme

Kurum İçi Periyodik ve/veya Rastgele Denetimler 9.2 İç tetkik
Risk Analizleri 6.1.2 Bilgi güvenliği risk değerlendirme,

6.1.3 Bilgi güvenliği risk işleme

İş sözleşmesi, Disiplin Yönetmeliği Ek A.7.2.3 Disiplin prosesi
Kurumsal iletişim (Kriz yönetimi, itibar yönetimi vb.) Ek A.17 İş sürekliliği yönetiminin bilgi güvenliği hususları
Eğitim ve Farkındalık Faaliyetleri (Bilgi güvenliği ve kanun) 7.3 Farkındalık,

Ek A.7.2.2 Bilgi güvenliği farkındalığı, eğitim ve öğretimi

İdari Tedbirler tablosunda yer alan Risk Analizleri konusu BGYS’nin ele aldığı temel konulardan birisidir. ISO 27001 BGYS sistematik iş riski yaklaşımına dayanmaktadır. BGYS, bilgi güvenliğinin oluşturulması, uygulanması, işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve iyileştirilmesi için tasarlanan bir sistemdir. BGYS içerisinde personel davranışları, süreçler ve teknoloji vardır. Sadece belirli bir bilgiyi yönetmek için kullanılabileceği gibi kurum kültürünün bir parçası haline gelecek şekilde tüm faaliyetlerde de uygulanabilir.

Dolayısıyla BGYS kuruluşların bilgi güvenliği risklerini yönetme sürecinde yasal, fiziksel ve teknik kontrolleri içeren politika ve prosedürleri içeren bir sistemdir. BGYS kapsamında Risk yaklaşımını hayata geçiren kurumlar KVKK’nın beklediği Risk Analizi çalışmasını yerine getirmiş olurlar.
Aynı zamanda kurumlar KVKK’ya uyum sağlamak için açık rıza metinleri, aydınlatma metni, kişisel verilerin silinmesi, yok edilmesi yada anonim hale getirmesi işlemiyle ilgili uyguladığı yöntemleri açıkladığı politika ve prosedür, iç tetkik raporları, kişisel veri işleme envanteri, veri sorumluları sicili, sözleşme, gizlilik taahhütleri ve risk analizi gibi dokümantasyon hazırlığı yapmaları gerekmektedir. Doküman hazırlığı BGYS’nin temel fonksiyonlarından birisi olması nedeniyle BGYS sertifikasına sahip kurumlar KVKK için doküman hazırlama çalışmalarında zorluk yaşamayacaklardır.
Sonuç olarak; KVKK – BGYS ilişki tablosu incelendiğinde ve risk analizi ve dokümantasyon hazırlama hususları dikkate alındığında KVKK ile BGYS arasında güçlü bir bağ olduğu görülecektir. BGYS sertifikasına sahip olan kurumlar KVKK uyum sürecini daha konforlu yürüteceklerdir. Özellikle KVKK’nın beklediği “veri güvenliği” sürecinin büyük bir bölümünü Bilgi Güvenli Yönetim Sistemi’nin karşıladığını söyleyebiliriz. Kurumlar KVKK uyum sürecinde kanunun hukuki ve teknik boyutlarını ele alırken ISO 27001 BGYS Sertifikası’nın KVKK’yı destelediğini ve etkin bir rol aldığını göreceklerdir.

Categories: GÖRÜŞLER

About Author

Comments

  1. Önder Karademir
    Önder Karademir 7 Mayıs, 2018, 06:51

    Tebrik ederim. Çok güzel bir çalışma olmuş. Ellerine sağlık. İdari de olsa tedbirler sistemlerden oluşacaktır. KVKK kapsamında CIO’ların rolü; şirketin ispat yükümlülüğünü net olarak ortaya koyacak.

    Reply this comment

Write a Comment

Your e-mail address will not be published.
Required fields are marked*