Birçok şirket, dikkatli ve etkili veri koruma önlemlerini göstermek için sertifikasyon seçeneği aramaktadır. AB Genel Veri Koruma Yönetmeliği de veri koruma sertifikasyonu öngörüyor. ISO 27701 ile veri koruma düzenlemelerinin uygulandığını kanıtlamaya yönelik yeni bir standart Ağustos 2019'da yayınlandı. Bu yeni uluslararası standart da artık belgelendirilebilir.
İÇERİK
İdeal olarak, veri koruma yönetimi ISO 27001 ile birlikte uluslararası bir standart yardımıyla tasarlanır. İyi bilinen ISO/IEC 27001 standardı, bir bilgi güvenliği yönetim sistemi (BGYS) için gereklilikleri ele alır ve bu uygulama alanı için de sertifikalandırılabilir. Veri koruma yönetimine yönelik yeni ISO/IEC 27701 standardı ISO 27001'i temel alır ve ona veri koruma kriterleri ekler. Bu uzantı, bir veri koruma bilgi yönetim sistemi için gereklilikleri bilgi güvenliği yönetim sistemine entegre eder.
Uluslararası kişisel veri yönetim sistemi standardının tam adı şöyledir:
ISO/IEC 27701:2019 - Güvenlik teknikleri - Gizli bilgi yönetimi için ISO/IEC 27001 ve ISO/IEC 27002'nin genişletilmesi - Gereksinimler ve kılavuzlar.
ISO 27701 standardı ISO web sitesinden indirilebilir.
ISO 27001 gibi ISO 27701 de yönetim sistemi yaklaşımını dikkate alır ve modern yönetim sistemi standartlarının temel yapısı olan Üst Düzey Yapıya (HLS) atıfta bulunur.
Stephan Rehfeld, DQS veri koruma uzmanı ve baş denetçisi
Yeni uluslararası standart, tüm veri koruma ilkelerini içeren ISO 29100'ün bir parçasıdır. Başlangıçta ISO 27552 olarak adlandırılacaktı, ancak daha sonra ISO 27701 olarak yeniden adlandırıldı. Bunun arka planında Uluslararası Standardizasyon Örgütü'nün (ISO) tüm önemli sertifikalandırılabilir standartların 01'de sona ermesi kararı yatıyor.
Yeni kişisel veri yönetim sistemi standardı "bilgi güvenliği" yerine "bilgi güvenliği ve veri koruma"dan bahsediyor. Üstelik içeriğe eklemeler de var. Örneğin, kuruluşun bağlamı göz önünde bulundurulduğunda, ilgili veri koruma yasalarının ve yargı kararlarının dahil edilmesi gerekmektedir. Aynı şekilde, kişisel verilerin işlenmesine yönelik kriterler, etkilenen kişilerin korunması ve olası bir etki değerlendirmesi her zaman akılda tutularak risk değerlendirmesinde dikkate alınmalıdır.
Buna ek olarak, ISO 27701, ISO 27001'in Ek A'sındaki önlemlerin uygulanmasına yönelik kılavuz olan ISO 27002'ye ilaveler içerir.
ISO standardı ayrıca veri koruma yönetimi konusunda aşağıdaki rehberliği sağlar:
Bilgi güvenliği bağlamında veri koruma - heyecan verici bir konu mu? Ücretsiz Teknik Dokümanımızda ISO 27701 standardı hakkında daha fazla uzman bilgisi bulabilirsiniz.
ISO 27701'in eki, GDPR'ın gerekliliklerine yönelik tedbirlerin ayrıntılı bir tablosunu içermektedir. Burada AB Genel Veri Koruma Yönetmeliği'nin veri korumaya yönelik bu uluslararası standart üzerinde nasıl bir etkiye sahip olduğu açıkça ortaya çıkmaktadır.
Bilgi güvenliği yönetim sistemleri (BGYS) ve kişisel veri yönetim sistemleri (KVYS) birbiriyle yakından ilişkilidir.
Gizlilik ve veri güvenliği kişisel verilerle ilgilidir. ISO 27000 standartlar serisi öncelikle bilginin korunması ile ilgilidir ve kişisel veriler bunun bir alt kümesidir. Yani bir şeyin veri ihlali mi yoksa bilgi güvenliği olayı mı ya da her ikisi birden mi olduğunu hangi bakış açısı belirler?
Stephan Rehfeld, DQS veri koruma uzmanı ve baş denetçisi
ISO 27001 veya ISO 27002'de "bilgi güvenliği" teriminin kullanıldığı yerlerde, ISO 27701'de "bilgi güvenliği ve kişisel veri koruma" olarak adlandırılır. Bu ekleme, veri korumayı bilgi güvenliği yönetim sisteminin bir parçası haline getirir.
Bununla birlikte, bir KVYS'nin bir BGYS'den farklı işlediği sapmalar da vardır. Bir örnek: kuruluşun bağlamının farklı anlaşılması. ISO 27701'de, Madde 4.1'de, ISO 27001'e ek olarak "kuruluş, paylaşılan sorumluluklar için sorumlu taraf veya ortak kontrolör ve/veya sözleşmeli işlemci olarak rolünü tanımlamalıdır" şeklinde bir gereklilik vardır.
Bu gereklilik Bilgi Güvenliği Yönetim Sisteminde mevcut değildir çünkü BGYS "Kontrolör" ve "İşlemci" arasındaki ayrımı tanımamaktadır. Sonuç olarak, ISO 27701 "kontrolörler" ve "işleyiciler" için veri korumaya özgü önlemler içeren iki ek içermektedir.
ISO 29100, şirketin kendi yönetim sisteminin yerine getirmesi gereken veri koruma ilkelerini tanımlar. Genel Veri Koruma Yönetmeliği'nin (GDPR) 5. Maddesi, GDPR'ın operasyonel maddeleri ile hangi veri koruma hedeflerine ulaşılacağını göstermektedir. İlkeler ve hedefler büyük ölçüde uyumludur. Bunun nedeni OECD'nin 1980 yılında veri koruma hedeflerini tanımlamış olmasıdır. Bunlar hem ISO 29100 hem de GDPR için temel teşkil etmiştir.
Bilgi Güvenliği Yönetim Sisteminde (BGYS), bilgi güvenliği hedefleri gizlilik, bütünlük, kullanılabilirlik bulunur. Bu aynı zamanda sırasıyla Madde 5 ve Madde 32 DS-GVO'da da bulunmaktadır. Ancak önemli bir fark, BGYS'deki "ilgili taraflar" tanımıdır. Bu, örneğin şirketin kendi çalışanlarını, müşterilerini, tedarikçilerini, yatırımcılarını veya yetkililerini içerir. Öte yandan veri korumada ilgili taraf yalnızca veri sahibidir.
Dolayısıyla, veri koruma risk yönetimi de bilgi güvenliği risk yönetiminden farklıdır. Sonuç olarak BGYS, veri korumaya özgü süreçleriyle birebir KVYS olarak kullanılamaz. Bununla birlikte, örneğin ortak iç denetimlerin gerçekleştirilebilmesi için entegrasyon fırsatları vardır.
Sertifikasyon açısından, yeni ISO 27701 standardı gelecekte ISO 27001'i tamamlayacak ve veri korumasını sertifika ile onaylayan ilk standart olacak. Bu amaçla, DQS şu anda Alman Akreditasyon Kurumu (DAkkS) ile akreditasyon sürecindedir ve yakında onay almayı beklemektedir. ISO 27701, ISO 27001'in bir uzantısı olarak tasarlandığından, ISO 27701'e göre veri koruma yönetim sistemi, ISO 27001'e göre bir bilgi güvenliği yönetim sistemi olmadan belgelendirilemez.
ISO 27701'e uygun olarak sistematik bir kişisel veri yönetim sistemi (KVYS) geliştiren ve uygulayan herkes - başka bir deyişle, kişisel verilerini sistematik olarak koruyan ve yöneten herkes - yasal gerekliliklere uygunluğu sağlamayı ve göstermeyi kolay bulacaktır. Şirketler yeni standardı, büyük ölçüde veri koruma ile uyumlu bilgi güvenliği ve ilgili veri korumasını tesis etmek için kullanabilirler.
Yeni ISO standardını uygularken, şirketler veri koruma alanında net sorumluluklar tanımlamaktan kaçınamazlar. Bu avantaj küçümsenmemelidir. Sistematik bir veri koruma yönetim sistemi olmayan çoğu şirkette, sorumluluklar çoğu zaman yanlış anlaşılan bir nezaketle yumuşak bir şekilde formüle edilir ("Bunu devralabilir misin?"). Ya da sorumluluklar "Birlikte yapacağız!" sloganına göre paylaşılır. Her ikisi de kaçınılmaz olarak sonunda kimsenin sorumluluk almamasına yol açar. İyi yapılandırılmış bir veri koruma yönetim sisteminde net kurallar vardır ve bu paha biçilemezdir.
Stephan Rehfeld, veri koruma uzmanı ve DQS denetçisi
Yeni ISO standardı hiçbir şekilde yalnızca Genel Veri Koruma Yönetmeliği (GDPR) ilkelerine dayanmamakta, aynı zamanda şirketleri küresel veri koruma standartlarına uyma konusunda desteklemeyi amaçlamaktadır. Amaç, bir kişisel veri yönetim sistemini kurmak, uygulamak, sürdürmek ve sürekli iyileştirmektir.
ISO 27701'in ISO 27001 ile entegre edilmesi noktasında bir başka artı daha vardır. ISO 27701'in yürürlüğe girmesiyle birlikte şirketler, kişisel verilerin korunmasına yönelik risk odaklı bir yaklaşım benimsemeye adeta "zorlanmaktadır". Bu, örneğin, risklerin tam olarak tanımlanmasını ve değerlendirilmesini ve bunların gerçekleşme olasılığının tahmin edilmesini içerir.
Bu risk değerlendirmesi daha sonra somut zarar potansiyelinin kabul edilebilir bir seviyeye indirilmesi için başlangıç noktasını oluşturur. Bu arada, bu harika pragmatik yaklaşımı GDPR ile de benzer bir biçimde buluyoruz, böylece çember pratik alaka açısından da kapanıyor.
Ulusal ve uluslararası veri koruma yönetmelikleri arasında güvenli bir şekilde gezinmek istiyorsanız, konuya yapılandırılmış ve sistematik bir şekilde yaklaşmaktan kaçınamazsınız. Bu bağlamda ISO 27701 yüksek katma değer sunmaktadır.
Veri koruma ve veri güvenliği böylece orta ölçekli şirketler tarafından da yönetilebilir ve uyumluluk sayesinde veri koruma için mükemmel bir plan sağlar. Bu, şirketlerin kritik verileri işlerken gereken özeni gösterdiklerini güvenle belgelemek için kullanabilecekleri kapsamlı bir en iyi uygulamalar koleksiyonunu içerir.
ISO 27701 sertifikası için hangi gereklilikler ve maliyetler sizi bekliyor? Şimdi öğrenin. Ücretsiz ve yükümlülük altına girmeden.
Dinamikler ve istikrar arasındaki etkileşimde, sertifikalı yönetim sistemleri giderek daha önemli hale geliyor - DQS'in olumlu bir şekilde hissettiği bir gelişme. Çünkü başarılı şirketler ve kuruluşlar sonuçlarını sürekli iyileştirmek için denetimlerimizden elde ettikleri bulguları kullanmaktadır. Ayrıca, dünya çapında tanınan sertifikalarımızı kalite kapasitelerinin objektif kanıtı olarak kullanmaktadırlar. Bu da şirketinizin hem içinde hem de dışında güven yaratır.
Metinlerimiz ve broşürlerimiz yalnızca standart uzmanlarımız veya uzun süredir görev yapan denetçilerimiz tarafından yazılmaktadır. Metin içeriği veya sunduğumuz hizmetler hakkında yazarımıza herhangi bir sorunuz varsa, lütfen bizimle iletişime geçin.
Ürün yöneticisi, bilgi güvenliği ve yazılım geliştirme uzmanı. Holger Schmeken ayrıca KRITIS denetim prosedürü yetkinliği ve DQS BIT GmbH'in Baş Bilgi Güvenliği Sorumlusu ve ISO 27001 denetçisi olarak uzmanlığına büyük katkı sağlamaktadır.
