Dijital dönüşümle birlikte kurumların gündeminde olan ana konulardan birisi de bilgi güvenliğidir. Bilgi güvenliği, bilginin gizliliği, bütünlüğü ve erişebilirliğini risk yönetimi prosesini uygulayarak muhafaza edilmesi demektir. Kurumlar siber saldırılara karşı bilgi güvenliğinin sağlanması ve iş sürekliliği için ISO/IEC 27001:2013 Kurumsal Bilgi Güvenliği Yönetim Sistemi (BGYS) Standardını uygulamayı tercih etmektedir. ISO 27001 BGYS kuruluşlarda bilginin güvenliğini sağlamak için uygulanan dokümantasyon sistemidir ve günümüz bilgi yoğun dünyasında önemli konulardan birisidir.

KVKK Kanununun 12. maddesinde ve Kişisel Veri Güvenliği Rehberi’nde “veri güvenliği” konusu detaylı olarak ele alınmıştır. Veri güvenliği başlığı altında kurumlar; kişisel verilerin hukuka aykırı olarak işlenmesi ve erişilmesini önlemek ve muhafazasını sağlamaları gerekmektedir. Kanunda yer alan kişisel verilerin yurtiçi ve yurt dışına aktarılması konuları da veri güvenliği kapsamındadır.

Veri Güvenliği Rehberi’nde açıklandığı gibi kanun kurumlardan; mevcut risk ve tehditlerin belirlenmesi, çalışanların eğitilmesi ve farkındalık çalışmaları, kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi, kişisel verilerin mümkün olduğunca azaltılması, veri işleyenler ile ilişkilerin yönetimi için idari tedbir alınması beklemektedir.
Kurumların yerine getirmesi gereken teknik tedbirler ise şunlardır; siber güvenliğin sağlanması, kişisel veri güvenliğinin takibi, kişisel veri içeren ortamların güvenliğinin sağlanması, kişisel verilerin bulutta depolanması, bilgi teknolojileri sistemlerinin tedariği, geliştirilmesi ve bakımı ve kişisel verilerin yedeklenmesidir.

Aşağıda sunulan KVKK – BGYS ilişki tablosu KVKK ile BGYS arasında güçlü bir bağ olduğu görülmektedir. BGYS altyapısına sahip olan kurumlar KVKK uyum sürecini kolay yürütmektedir.

KVKK’nın beklediği “veri güvenliği” sürecinin büyük bir bölümü Bilgi Güvenli Yönetim Sistemi’nin kapsamındadır.

Teknik Tedbirler                                                                 

  • Yetki Kontrol                                            

  • Erişim Logları                                  

  • Kullanıcı Hesap Yönetimi                         

  • Ağ Güvenliği                                        

  • Uygulama Güvenliği                               

  • Sızma Testi                                             

  • Saldırı Tespit ve Önleme Sistemleri      

  • Log Kayıtları                                                

  • Veri Kaybı Önleme Yazılımları                 

  • Yedekleme                                                   

  • Güvenlik Duvarları                                     

  • Güncel Anti-Virüs Sistemleri                 

  • Silme, Yok Etme veya Anonim Hale Getirme          

  • Anahtar Yönetimi                                                        

 

İdari Tedbirler                                                                     

  • Kurumsal Politikalar (Erişim, Bilgi güvenliği, Kullanım, Saklama ve İmha vb.)                       

  • Sözleşmeler (Veri sorumlusu-Veri İşleyen)        

  • Gizlilik Taahhütnameleri                    

  • Kurum İçi Periyodik/Rastgele Denetimler

  • Risk Analizleri

  • İş sözleşmesi, Disiplin Yönetmeliği

  • Kurumsal iletişim (Kriz ve itibar yönetimi vb.)

  • Eğitim ve Farkındalık Faaliyetleri (Bilgi güvenliği ve kanun)                                             

ISO 27001 Bilgi Güvenliği Yönetim Sistemi

  • Ek A.9.2.5 Kullanıcı erişim haklarının gözden geçirilmesi

  • Ek A.9.1.2 Ağlara ve ağ hizmetlerine erişim

  • Ek A.9.4.2 Güvenli oturum açma prosedürleri

  • Ek A.13.1.2 Ağ hizmetlerinin güvenliği

  • Ek A.14.2.6 Güvenli geliştirme ortamı

  • Ek A.12.6.1 Teknik açıklıkların yönetimi

  • Ek A.12.6.1 Teknik açıklıkların yönetimi

  • Ek A.12.4.1 Olay kaydetme

  • Ek A.12.6.1 Teknik açıklıkların yönetimi

  • Ek A.12.3.1 Bilgi yedekleme

  • Ek A.14.1.2 Halka açık ağlarda uygulama hizmet güvenliği sağlanması

  • Ek A.12.2.1 Kötümcül yazılımlara karşı kontroller

  • Ek A.8.3.2 Ortamın yok edilmesi

  • Ek A.10.1.2 Anahtar Yönetimi

 

ISO 27001 BGYS İlişkisi

  • 5.2 Politika

  • Ek A.7.1.2 İstihdam hüküm ve koşulları

  • Ek A.7.1.2 İstihdam hüküm ve koşulları,

  • Ek A.15.1.2 Tedarikçi anlaşmalarında güvenliği ifade etme

  • 9.2 İç tetkik

  • 6.1.2 Bilgi güvenliği risk değerlendirme,

  • 6.1.3 Bilgi güvenliği risk işleme

  • Ek A.7.2.3 Disiplin prosesi

  • Ek A.17 İş sürekliliği yönetiminin bilgi güvenliği hususları

  • 7.3 Farkındalık,

  •  Ek A.7.2.2 Bilgi güvenliği farkındalığı, eğitim ve öğretimi

KVKK Uyum çalışması kapsamında Dijital Dönüşüm Olgunluk Seviyenizi Ölçüyoruz

       Hemen Arayın