ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin KVKK’ya etkisi
Kişisel Verilerin Korunması Kanunu (KVKK) 7 Nisan 2016 tarihinde yürürlüğe girmişti. Kanunun yürürlüğe girdiği tarihten önce işlenmiş kişisel verilerin, yürürlüğe girdiği tarihten itibaren iki yıl içinde uygun hale getirilmesi için verilen süre 7 Nisan 2018 tarihinde sona erdi. Özel hayatın gizliliği, temel hak ve özgürlükleri koruma, kişisel verilerin işlenmesi hakkında usul ve esasların belirlenmesi amacıyla çıkarılan KVKK kamu ve özel sektör olmak üzere tüm kurumlara hukuki ve teknik yükümlülükler getirmektedir. Kanun hukuki bir çalışmayı gerektirdiği gibi kurum bünyesinde kişisel verilerin kaydedildiği ERP, CRM, İK gibi uygulamalarında güncelleme yapılmasını gerektirmektedir.
Ahmet Tosunoğlu
KVKK özellikle son altı ay içerisinde kişisel veri sahibi tüm kurumların radarına girmiş durumda. 7 Nisan 2018’de KVKK uyum sürecini tamamlamış kurumlar olduğu gibi birçok şirkette uyum çalışmaları halen devam etmektedir. Bu nedenle 2018 yılı içerisinde KVKK kurumların gündemini meşgul etmeye devam edecektir.
Dijital dönüşümle birlikte kurumların gündeminde olan ana konulardan birisi de bilgi güvenliğidir. Bilgi güvenliği, bilginin gizliliği, bütünlüğü ve erişebilirliğini risk yönetimi prosesini uygulayarak muhafaza edilmesi demektir. Kurumlar siber saldırılara karşı bilgi güvenliğinin sağlanması ve iş sürekliliği için ISO/IEC 27001:2013 Kurumsal Bilgi Güvenliği Yönetim Sistemi (BGYS) Standardını uygulamayı tercih etmektedir. ISO 27001 BGYS kuruluşlarda bilginin güvenliğini sağlamak için uygulanan dokümantasyon sistemidir ve günümüz bilgi yoğun dünyasında önemli konulardan birisidir.
O halde kurumlar için bugün öne çıkan KVKK ile BGYS arasında ilişki kurmak mümkün mü? Daha anlaşılır bir şekilde ifade edersek; BGYS Sertifikası’na sahip olan bir kurum KVKK’ya uyum sürecini daha kolay yürütebilir mi? Hangi noktalarda BGYS, KVKK’yı destekler? Bu soruların cevabını verebilmek için KVKK’ya daha yakından bakmak gerekecektir.
Kişisel verilerin korunması ile ilgili kanun, yönetmelikler ve tebliğler incelendiğinde geniş kapsamlı ve uzmanlık gerektiren birçok madde olduğu görülecektir. Kanundaki bu detaylara rağmen KVKK’yı “kayıt”, “veri güvenliği” ve “silme işlemi” olmak üzere üç ana başlıkta toplayabiliriz.
Kişisel ve özel nitelikli kişisel verilerin işlenme şartları, kişisel verilerin yurtiçi ve yurtdışında aktarılması ve açık rıza konuları “kayıt” başlığı altında ele alınabilir. Kişisel verilerin işlenmesinde açık rıza şartlarına uyarak yüz yüze, online, SMS, e-mail yada telefon gibi kayıt kanallarından veri tabanına işlenme sürecini kanuna uygun kurgulayan kurumların KVKK uyum sürecinde büyük bir adım atmış olacaklardır.
Kanunun 12. maddesinde ve Kişisel Veri Güvenliği Rehberi’nde “veri güvenliği” konusu detaylı olarak ele alınmıştır. Veri güvenliği başlığı altında kurumlar; kişisel verilerin hukuka aykırı olarak işlenmesi ve erişilmesini önlemek ve muhafazasını sağlamaları gerekmektedir. Kanunda yer alan kişisel verilerin yurtiçi ve yurt dışına aktarılması konuları da veri güvenliği kapsamında ele alınabilir.
Kanunda yer alan ve kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hakkında çıkarılan yönetmelik ve rehberle detaylandırılan “silme” konusu KVKK’nın en kritik başlıklarından birisidir. Silme işlemi; tamamen veya kısmen otomatik olan yada herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.
Diğer taraftan kurumların açık rıza metinleri, aydınlatma yükümlülüğü, politika, prosedür, kişisel veri işleme envanteri, veri sorumluları sicili gibi dokümanları hazırlaması, ilgili kişilerin başvuru ve şikayet taleplerinin alınması amacıyla şirket içi düzenleme yapmaları gerekmektedir.
Bütün bu bilgilere istinaden KVKK ile BGYS arasındaki ilişki KVKK’nın üç ana süreci dikkate alarak değerlendirilebilir. Üç ana süreçten “kayıt” ve “silme işlemleri” kanunun kendisine özgü süreçleridir ve BGYS’den bağımsızdır. Bu nedenle “kayıt” ve “silme işlemlerinin” BGYS maddeleri ile ilişkisi bulunmamaktadır.
Kişisel Verileri Koruma Kurulu’nun yayımladığı Veri Güvenliği Rehberi incelendiğinde KVKK’nın ana başlıklarından birisi olan “veri güvenliğinin” BGYS ile doğrudan ilişkili olduğu görülecektir. KVKK’da kişisel veri güvenliğine ilişkin tedbirler; idari ve teknik olmak üzere iki bölümde ele alınmıştır.
Veri Güvenliği Rehberi’nde açıklandığı gibi kanun kurumlardan; mevcut risk ve tehditlerin belirlenmesi, çalışanların eğitilmesi ve farkındalık çalışmaları, kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi, kişisel verilerin mümkün olduğunca azaltılması, veri işleyenler ile ilişkilerin yönetimi için idari tedbir alınması beklemektedir.
Kurumların yerine getirmesi gereken teknik tedbirler ise şunlardır; siber güvenliğin sağlanması, kişisel veri güvenliğinin takibi, kişisel veri içeren ortamların güvenliğinin sağlanması, kişisel verilerin bulutta depolanması, bilgi teknolojileri sistemlerinin tedariği, geliştirilmesi ve bakımı ve kişisel verilerin yedeklenmesidir.
Veri Güvenliği Rehberi’nin 4. Bölümü’nde “Kişisel Veri Güvenliğine İlişkin Teknik ve İdari Tedbirler Kapsamındaki Özet Tablolar” başlığı altında ele alınan tedbirlerin BGYS’deki karşılıkları ise şu şekildedir.
KVKK – BGYS İlişki Tablosu
|
|
Teknik Tedbirler | ISO 27001 BGYS İlişkisi |
Yetki Kontrol | Ek A.9.2.5 Kullanıcı erişim haklarının gözden geçirilmesi |
Erişim Logları | Ek A.9.1.2 Ağlara ve ağ hizmetlerine erişim |
Kullanıcı Hesap Yönetimi | Ek A.9.4.2 Güvenli oturum açma prosedürleri |
Ağ Güvenliği | Ek A.13.1.2 Ağ hizmetlerinin güvenliği |
Uygulama Güvenliği | Ek A.14.2.6 Güvenli geliştirme ortamı |
Sızma Testi | Ek A.12.6.1 Teknik açıklıkların yönetimi |
Saldırı Tespit ve Önleme Sistemleri | Ek A.12.6.1 Teknik açıklıkların yönetimi |
Log Kayıtları | Ek A.12.4.1 Olay kaydetme |
Veri Kaybı Önleme Yazılımları | Ek A.12.6.1 Teknik açıklıkların yönetimi |
Yedekleme | Ek A.12.3.1 Bilgi yedekleme |
Güvenlik Duvarları | A.14.1.2 Halka açık ağlardaki uygulama hizmetlerinin güvenliğinin sağlanması |
Güncel Anti-Virüs Sistemleri | Ek A.12.2.1 Kötümcül yazılımlara karşı kontroller |
Silme, Yok Etme veya Anonim Hale Getirme | Ek A.8.3.2 Ortamın yok edilmesi |
Anahtar Yönetimi | Ek A.10.1.2 Anahtar Yönetimi |
İdari Tedbirler | ISO 27001 BGYS İlişkisi |
Kurumsal Politikalar (Erişim, Bilgi güvenliği, Kullanım, Saklama ve İmha vb.) | 5.2 Politika |
Sözleşmeler (Veri sorumlusu-Veri İşleyen) | Ek A.7.1.2 İstihdam hüküm ve koşulları |
Gizlilik Taahhütnameleri | Ek A.7.1.2 İstihdam hüküm ve koşulları,
Ek A.15.1.2 Tedarikçi anlaşmalarında güvenliği ifade etme |
Kurum İçi Periyodik ve/veya Rastgele Denetimler | 9.2 İç tetkik |
Risk Analizleri | 6.1.2 Bilgi güvenliği risk değerlendirme,
6.1.3 Bilgi güvenliği risk işleme |
İş sözleşmesi, Disiplin Yönetmeliği | Ek A.7.2.3 Disiplin prosesi |
Kurumsal iletişim (Kriz yönetimi, itibar yönetimi vb.) | Ek A.17 İş sürekliliği yönetiminin bilgi güvenliği hususları |
Eğitim ve Farkındalık Faaliyetleri (Bilgi güvenliği ve kanun) | 7.3 Farkındalık,
Ek A.7.2.2 Bilgi güvenliği farkındalığı, eğitim ve öğretimi |
İdari Tedbirler tablosunda yer alan Risk Analizleri konusu BGYS’nin ele aldığı temel konulardan birisidir. ISO 27001 BGYS sistematik iş riski yaklaşımına dayanmaktadır. BGYS, bilgi güvenliğinin oluşturulması, uygulanması, işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve iyileştirilmesi için tasarlanan bir sistemdir. BGYS içerisinde personel davranışları, süreçler ve teknoloji vardır. Sadece belirli bir bilgiyi yönetmek için kullanılabileceği gibi kurum kültürünün bir parçası haline gelecek şekilde tüm faaliyetlerde de uygulanabilir.
Dolayısıyla BGYS kuruluşların bilgi güvenliği risklerini yönetme sürecinde yasal, fiziksel ve teknik kontrolleri içeren politika ve prosedürleri içeren bir sistemdir. BGYS kapsamında Risk yaklaşımını hayata geçiren kurumlar KVKK’nın beklediği Risk Analizi çalışmasını yerine getirmiş olurlar.
Aynı zamanda kurumlar KVKK’ya uyum sağlamak için açık rıza metinleri, aydınlatma metni, kişisel verilerin silinmesi, yok edilmesi yada anonim hale getirmesi işlemiyle ilgili uyguladığı yöntemleri açıkladığı politika ve prosedür, iç tetkik raporları, kişisel veri işleme envanteri, veri sorumluları sicili, sözleşme, gizlilik taahhütleri ve risk analizi gibi dokümantasyon hazırlığı yapmaları gerekmektedir. Doküman hazırlığı BGYS’nin temel fonksiyonlarından birisi olması nedeniyle BGYS sertifikasına sahip kurumlar KVKK için doküman hazırlama çalışmalarında zorluk yaşamayacaklardır.
Sonuç olarak; KVKK – BGYS ilişki tablosu incelendiğinde ve risk analizi ve dokümantasyon hazırlama hususları dikkate alındığında KVKK ile BGYS arasında güçlü bir bağ olduğu görülecektir. BGYS sertifikasına sahip olan kurumlar KVKK uyum sürecini daha konforlu yürüteceklerdir. Özellikle KVKK’nın beklediği “veri güvenliği” sürecinin büyük bir bölümünü Bilgi Güvenli Yönetim Sistemi’nin karşıladığını söyleyebiliriz. Kurumlar KVKK uyum sürecinde kanunun hukuki ve teknik boyutlarını ele alırken ISO 27001 BGYS Sertifikası’nın KVKK’yı destelediğini ve etkin bir rol aldığını göreceklerdir.
Tebrik ederim. Çok güzel bir çalışma olmuş. Ellerine sağlık. İdari de olsa tedbirler sistemlerden oluşacaktır. KVKK kapsamında CIO’ların rolü; şirketin ispat yükümlülüğünü net olarak ortaya koyacak.