ISO 27701 Belgesi Nedir?
ISO/IEC 27701, "Kişisel Veri Gizliliği Bilgi Yönetim Sistemi" (PIMS - Privacy Information Management System) için uluslararası bir standarttır. Bu standart, ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) standardı üzerine inşa edilmiştir ve kişisel verilerin korunması ve yönetimi konusunda ek gereksinimler sunar. ISO 27701'in temel amacı şunlardır:
Gizlilik Yönetimi: Kişisel verilerin nasıl işleneceği, saklanacağı ve korunacağı konusunda rehberlik sağlar.
Uyum: Özellikle kişisel verilerin korunmasına ilişkin düzenlemeler ve yasalar (örneğin, GDPR - Genel Veri Koruma Yönetmeliği, CCPA - California Tüketici Gizlilik Yasası) ile uyumu teşvik eder.
Risk Yönetimi: Kişisel veri işleme süreçlerindeki riskleri belirleme ve bu riskleri yönetme konusunda bir çerçeve sunar.
Güven ve Şeffaflık: Kişisel verilerle çalışan kuruluşların, müşterilerine ve iş ortaklarına karşı daha güvenilir ve şeffaf olmalarını sağlar.
ISO 27701, kuruluşların:
Kişisel veri kontrolörü (data controller) veya veri işleyen (data processor) olarak rollerini tanımlamasına,
Kişisel veri işleme faaliyetleri için gerekli kontrolleri uygulamasına,
Kişisel verilerin gizliliği ve güvenliği konusunda sürekli iyileştirme yapmasına, yardımcı olur. Bu standart, ISO 27001'in zaten kurulmuş olan bilgi güvenliği yönetim sistemine ek olarak, kişisel veri koruma süreçlerini daha spesifik bir şekilde ele alır ve yönetir.
ISO 27701 belgesi almak, bir kuruluşun veri koruma konusunda uluslararası bir standarda ulaştığını ve bu standardı sürdürdüğünü gösteren bir sertifikadır. Bu, müşteri güvenini artırır, veri koruma düzenlemelerine uyumu kolaylaştırır ve kuruluşun veri gizliliği konusunda proaktif olduğunu gösterir.
ISO 27701 belgesi almak için ilk adım nedir
ISO 27701 belgesi almak için atılacak ilk adım, ISO 27001 sertifikasına sahip olmaktır. ISO 27701, ISO 27001 üzerine inşa edilmiş bir standart olduğundan, bu iki adım şu şekilde açıklanabilir:
ISO 27001 Uyumlu Olun:
ISO 27701, ISO 27001 Bilgi Güvenliği Yönetim Sistemi'nin (BGYS) bir uzantısıdır. Bu nedenle, öncelikle ISO 27001 standardına uygun bir bilgi güvenliği yönetim sistemi kurmanız ve bu sistemin belgelendirilmesi için sertifikasyon sürecini tamamlamanız gerekmektedir. ISO 27001 sertifikasyon sürecinin adımları şunları içerir:
- Yönetim taahhüdü ve bilgi güvenliği politikası oluşturma,
- Risk değerlendirmesi yapma,
- Bilgi güvenliği kontrollerini seçme ve uygulama,
- Eğitim ve farkındalık,
- İç denetimler,
- Yönetimin gözden geçirmesi,
- Belgelendirme kuruluşuna başvuru ve denetim süreci.
ISO 27001 sertifikasyonu tamamlandıktan sonra, ISO 27701'e yönelik ek adımlar atabilirsiniz. Bu adımlar, ISO 27001'e ek olarak:
- Kişisel veri gizliliği politikaları ve süreçleri oluşturma,
- Kişisel verilerin işlenmesiyle ilgili risk analizi yapma,
- Gizlilik bilgi yönetim sistemi (PIMS) için ek kontroller ve prosedürler belirleme,
gibi faaliyetleri içerir. Bu süreç, ISO 27001'in üzerine inşa edilerek, kişisel veri koruma yönünde daha spesifik ve detaylı bir yaklaşım gerektirir.