Kişisel Veri
Yönetim Sistemi

ISO/IEC 27701:2019

ISO/IEC 27701, kişisel veri gizliliği bilgi yönetim sistemi (PIMS - Privacy Information Management System) için uluslararası bir standarttır. ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardının ek bir parçası olarak, kişisel verilerin korunması konusunda özel gereksinimler belirler. Bu standart, kuruluşların kişisel verileri nasıl yöneteceğine, koruyacağına ve işleyeceğine dair rehberlik sağlar, özellikle GDPR (Genel Veri Koruma Yönetmeliği) ve benzeri veri koruma düzenlemelerine uyum sağlamak için kullanışlıdır. 

Teklif İste

ISO 27701 Belgesi Nedir?

ISO/IEC 27701, "Kişisel Veri Gizliliği Bilgi Yönetim Sistemi" (PIMS - Privacy Information Management System) için uluslararası bir standarttır. Bu standart, ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) standardı üzerine inşa edilmiştir ve kişisel verilerin korunması ve yönetimi konusunda ek gereksinimler sunar. ISO 27701'in temel amacı şunlardır:


Gizlilik Yönetimi: Kişisel verilerin nasıl işleneceği, saklanacağı ve korunacağı konusunda rehberlik sağlar. 
Uyum: Özellikle kişisel verilerin korunmasına ilişkin düzenlemeler ve yasalar (örneğin, GDPR - Genel Veri Koruma Yönetmeliği, CCPA - California Tüketici Gizlilik Yasası) ile uyumu teşvik eder.

Risk Yönetimi: Kişisel veri işleme süreçlerindeki riskleri belirleme ve bu riskleri yönetme konusunda bir çerçeve sunar.
Güven ve Şeffaflık: Kişisel verilerle çalışan kuruluşların, müşterilerine ve iş ortaklarına karşı daha güvenilir ve şeffaf olmalarını sağlar.

ISO 27701, kuruluşların:

Kişisel veri kontrolörü (data controller) veya veri işleyen (data processor) olarak rollerini tanımlamasına,
Kişisel veri işleme faaliyetleri için gerekli kontrolleri uygulamasına,
Kişisel verilerin gizliliği ve güvenliği konusunda sürekli iyileştirme yapmasına, yardımcı olur. Bu standart, ISO 27001'in zaten kurulmuş olan bilgi güvenliği yönetim sistemine ek olarak, kişisel veri koruma süreçlerini daha spesifik bir şekilde ele alır ve yönetir.

ISO 27701 belgesi almak, bir kuruluşun veri koruma konusunda uluslararası bir standarda ulaştığını ve bu standardı sürdürdüğünü gösteren bir sertifikadır. Bu, müşteri güvenini artırır, veri koruma düzenlemelerine uyumu kolaylaştırır ve kuruluşun veri gizliliği konusunda proaktif olduğunu gösterir.

 

ISO 27701 belgesi almak için ilk adım nedir

ISO 27701 belgesi almak için atılacak ilk adım, ISO 27001 sertifikasına sahip olmaktır. ISO 27701, ISO 27001 üzerine inşa edilmiş bir standart olduğundan, bu iki adım şu şekilde açıklanabilir:


ISO 27001 Uyumlu Olun:
ISO 27701, ISO 27001 Bilgi Güvenliği Yönetim Sistemi'nin (BGYS) bir uzantısıdır. Bu nedenle, öncelikle ISO 27001 standardına uygun bir bilgi güvenliği yönetim sistemi kurmanız ve bu sistemin belgelendirilmesi için sertifikasyon sürecini tamamlamanız gerekmektedir. ISO 27001 sertifikasyon sürecinin adımları şunları içerir:

  • Yönetim taahhüdü ve bilgi güvenliği politikası oluşturma,
  • Risk değerlendirmesi yapma,
  • Bilgi güvenliği kontrollerini seçme ve uygulama,
  • Eğitim ve farkındalık,
  • İç denetimler,
  • Yönetimin gözden geçirmesi,
  • Belgelendirme kuruluşuna başvuru ve denetim süreci.

ISO 27001 sertifikasyonu tamamlandıktan sonra, ISO 27701'e yönelik ek adımlar atabilirsiniz. Bu adımlar, ISO 27001'e ek olarak:

  • Kişisel veri gizliliği politikaları ve süreçleri oluşturma,
  • Kişisel verilerin işlenmesiyle ilgili risk analizi yapma,
  • Gizlilik bilgi yönetim sistemi (PIMS) için ek kontroller ve prosedürler belirleme,

gibi faaliyetleri içerir. Bu süreç, ISO 27001'in üzerine inşa edilerek, kişisel veri koruma yönünde daha spesifik ve detaylı bir yaklaşım gerektirir.
 

ISO 27701 Belgesi Nasıl Alınır?
  • Kişisel Veri Yönetim Sistemi

ISO 27001 Uyumlu Olun

ISO 27701, ISO 27001 üzerine inşa edilmiştir. Bu nedenle, öncelikle ISO 27001 standardına uygun bir bilgi güvenliği yönetim sistemi (BGYS) kurulmuş olmalıdır. Eğer zaten ISO 27001 sertifikasına sahip değilseniz, bunu ilk olarak elde etmeniz gerekir.

Gizlilik Yönetim Politikaları Oluşturun

Kuruluşunuzun kişisel verileri nasıl işleyeceğine dair net politikalar geliştirin. Bu politikalar, veri koruma yasalarına ve düzenlemelerine uygun olmalıdır.

Eğitim ve Farkındalık

Çalışanlarınızı veri koruma ve gizlilik konusunda eğitin ve bu alandaki farkındalıklarını artırın.

Risk Değerlendirmesi

Kişisel veri işleme süreçleri ile ilgili riskleri belirleyin ve bu risklere karşı uygun önlemler alın.

Dokümantasyon

Gizlilik ve veri koruma yönetim sistemi ile ilgili tüm süreçleri ve politikaları dokümante edin. Bu, ISO 27701'in gerektirdiği kontrollerin uygulanmasını ve kanıtlanmasını içerir.

İç Denetimler

Sisteminizdeki uyumu ve etkinliği kontrol etmek için iç denetimler yapın. Bu, eksikliklerin ve iyileştirme alanlarının belirlenmesine yardımcı olur.

Yönetimin Gözden Geçirmesi

Yönetim, gizlilik yönetim sisteminin performansını ve uyumluluğunu düzenli olarak gözden geçirmelidir.

Belgelendirme Başvurusu

Akredite bir belgelendirme kuruluşuna başvurarak belgelendirme sürecini başlatın. Bu kuruluş, ISO 27701 standardına uygunluğunuzu değerlendirecektir.

Denetim Süreci

Belgelendirme kuruluşu, iki aşamalı bir denetim gerçekleştirir: Aşama 1: Sistemin dokümantasyonunun ve hazırlık durumunun gözden geçirilmesi. Aşama 2: Sistemin etkinliği ve uygulanışı hakkında detaylı denetim.

Sertifikasyon Kararı

Eğer denetimler başarılı geçerse, belgelendirme kuruluşu ISO 27701 sertifikasını verir.

Sürekli İyileştirme ve Gözetim Denetimleri

Sertifikasyon sonrası, sistemi sürekli iyileştirmek için çalışmalara devam edin. Ayrıca, sertifikasyonun geçerliliğini korumak için belirli aralıklarla gözetim denetimlerine tabii tutulacaksınız.

Bu süreç, kuruluşun büyüklüğüne, mevcut güvenlik ve gizlilik uygulamalarına ve belgelendirme kuruluşunun taleplerine göre değişebilir.

ISO 27701 belgesi almanın faydaları nelerdir

ISO 27701 belgesi almanın kuruluşlara sağladığı faydalar şunlardır:

Veri Koruma Uyumu:
ISO 27701, özellikle GDPR (Genel Veri Koruma Yönetmeliği) gibi veri koruma düzenlemelerine uyumu kolaylaştırır. Bu, kuruluşun yasal yükümlülüklerini yerine getirmesine yardımcı olur ve cezai yaptırımlardan kaçınmasını sağlar.

Müşteri Güveni ve İtibar:
Kişisel veri güvenliği ve gizliliğine odaklanan bir sistem, müşterilerin kuruluşunuza olan güvenini artırır. ISO 27701 sertifikası, kuruluşunuzun veri koruma konusunda ciddi olduğunu ve uluslararası standartlara uyduğunu gösterir, bu da marka itibarını yükseltir.

Risk Yönetimi:
Standardın uygulanması, kişisel verilerle ilgili risklerin sistematik olarak belirlenmesine ve yönetilmesine yardımcı olur. Bu, veri ihlalleri ve veri kayıplarının önlenmesine katkıda bulunur.

Şeffaflık ve Hesap Verebilirlik:
ISO 27701, veri işleme faaliyetlerinin daha şeffaf ve hesap verebilir bir şekilde yönetilmesini sağlar. Kişisel verilerin nasıl işlendiği konusunda net politikalar ve prosedürler belirlenir, bu da müşteriler ve denetleyici kurumlar için daha açık bir iletişim ortamı yaratır.

Sürekli İyileştirme:
Standardın gerektirdiği sürekli iyileştirme süreçleri, veri gizliliği ve güvenliği uygulamalarının zaman içinde geliştirilmesini teşvik eder. Bu, veri koruma stratejilerinin güncel ve etkili kalmasını sağlar.

Rekabet Avantajı:
ISO 27701 sertifikası, özellikle veri yoğun sektörlerde rekabet avantajı sağlar. Müşteriler, veri gizliliği konusunda sertifikalı bir kuruluşla iş yapmayı tercih edebilir.

Veri İşleme Güvenliği:
Kişisel verilerin güvenli bir şekilde işlenmesi için gerekli kontrollerin uygulanmasını sağlar, bu da veri ihlallerinin önlenmesine yardımcı olur.

Çalışan Farkındalığı ve Eğitim:
ISO 27701, çalışanların veri koruma ve gizlilik konularında eğitilmesini ve bilinçlendirilmesini teşvik eder, bu da veri güvenliği kültürünü güçlendirir.

İş Ortağı İlişkileri:
Veri gizliliği konusunda sertifikalı bir kuruluş olmak, iş ortakları ve tedarikçilerle olan ilişkilerde güven oluşturur. Bu, iş birliği yapılan diğer kuruluşların da veri koruma standartlarına uyum sağlamasını teşvik edebilir.

Uluslararası Tanınırlık:
ISO 27701, uluslararası bir standart olduğundan, kuruluşunuzun veri koruma uygulamalarının dünya çapında tanınmasını ve kabul edilmesini sağlar.

Bu faydalar, kuruluşunuzun veri koruma stratejilerini güçlendirir, iş süreçlerini iyileştirir ve genel olarak daha güvenli, sorumlu bir veri işleme ortamı yaratır.

Sıkça Sorulanlar
ISO 27701 Belgesi Kaç Yıl Geçerlidir ?

ISO 27701 belgesi yılda bir defa gözetim denetimi yapılması şartıyla 3 yıl geçerlidir .

Teklif Alın

ISO 9001 belgesi almak, işletmenizi bir sonraki seviyeye taşıyabilir. Hemen bizimle iletişime geçin ve hizmetlerimiz hakkında daha fazla bilgi alın.

Merhaba,
Size nasıl yardımcı olabiliriz?
Sohbete Başla