1. Veri Güvenliği ve Yasal Zorunluluk: İki Farklı Dünya, Tek Çözüm
Dijitalleşen dünyada işletmeler iki büyük baskı altındadır: Bir yanda siber tehditler ve bilgi güvenliği riskleri, diğer yanda 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) gibi ağır cezai yaptırımları olan yasal düzenlemeler.
Birçok işletme yöneticisi şu soruyu sorar: “KVKK uyum projesi yaptık, ISO 27001’e gerek var mı?” veya tam tersi. Cevap nettir: ISO 27001, KVKK uyumluluğunun teknik omurgasıdır. Günümüzde bu omurgayı, kişisel veri gizliliği standartlarıyla tescilleyen çözüm ise ISO 27701 standardıdır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS), sadece bir sertifika değil; KVKK’nın talep ettiği “Teknik ve İdari Tedbirleri” hayata geçirmek, sürdürmek ve kanıtlamak için dünyadaki en geçerli metodolojidir. KVKK, bilgi güvenliğinin sadece “kişisel veri” boyutuyla ilgilenirken; ISO 27001 şirketin tüm ticari sırlarını korur. Sistemin tamamını öğrenmek için ISO 27001 Bilgi Güvenliği Yönetim Sistemi ana rehberimizi ziyaret edebilirsiniz.
2. Temel Kavramlar: ISO 27001 ve KVKK Nerede Kesişir?
İlişkiyi anlamak için önce kapsam farkını netleştirmeliyiz:
-
ISO 27001 (Kapsayıcı): Kurumun TÜM bilgi varlıklarını (finansal veriler, AR-GE, ticari sırlar) korur.
-
KVKK (Odaklı): Sadece “Gerçek Kişiye Ait Kişisel Verileri” korur.
-
ISO 27701 (Tamamlayıcı): ISO 27001’in üzerine eklenen ve KVKK/GDPR uyumunu bir yönetim sistemi haline getiren Kişisel Veri Yönetim Sistemi (PIMS) eklentisidir.
Yani, ISO 27001 “Büyük Şemsiye”dir. Eğer ISO 27001 sistemini doğru kurarsanız, KVKK’nın gerektirdiği veri güvenliği altyapısının %80’ini otomatik olarak kurmuş olursunuz. Geri kalan %20’lik gizlilik odaklı kısmı ise ISO 27701 Belgesi ile tamamlayarak yasal zırhınızı kusursuz hale getirebilirsiniz.
3. KVKK “Teknik Tedbirler” Kılavuzu ve ISO 27001 Eşleşmesi
KVKK Kurumu, veri sorumlularının alması gereken önlemleri bir kılavuzla yayınlamıştır. Bu kılavuzdaki maddeler, ISO 27001’in Ek-A (Annex A) kontrolleriyle birebir örtüşür.
İşte o kritik eşleşme tablosu:
| KVKK Teknik Tedbir Gerekliliği | ISO 27001 Karşılığı (Kontrol Maddesi) |
|---|---|
| Yetki Matrisi / Erişim Logları | Erişim Kontrolü (A.9): Kullanıcıların sadece yetkili oldukları verilere erişmesi ve loglanması. |
| Ağ Güvenliği / Güvenlik Duvarı | Ağ Güvenliği Yönetimi (A.13.1): Ağdaki verilerin korunması. |
| Sızma Testleri / Açık Yönetimi | Teknik Açıklık Yönetimi (A.12.6): Sistem açıklarının taranması ve kapatılması. |
| Veri Kaybı Önleme (Yedekleme) | Bilgi Yedekleme (A.12.3): Verilerin düzenli yedeklenmesi ve geri yükleme testleri. |
| Siber Saldırı Yönetimi | Bilgi Güvenliği Olay Yönetimi (A.16): İhlallerin raporlanması ve müdahale. |
| Veri İmhası / Anonimleştirme | Medya Yönetimi ve İmha (A.8.3 / A.11.2): Veri saklama süreleri dolunca güvenli imha. |
Bu tablo şunu kanıtlar: ISO 27001 sertifikasına sahip ve bunu etkin işleten bir kurum, KVKK’nın teknik güvenlik şartlarını büyük ölçüde yerine getirmiş sayılır.
4. Entegrasyon Süreci: 4 Kritik Adım
ISO 27001 sisteminizi KVKK ile uyumlu hale getirmek (veya tam tersi) için izlemeniz gereken yol haritası şöyledir:
Adım 1: Varlık Envanteri ve Veri Envanteri Birleşimi
ISO 27001, tüm varlıkların (bilgisayar, sunucu, yazılım) envanterini ister. KVKK ise “Kişisel Veri İşleme Envanteri” ister.
-
Uygulama: Varlık envanterinizde, hangi varlığın (örn: CRM Yazılımı) içinde “Kişisel Veri” olduğunu işaretleyin. Böylece o varlığın risk puanını artırabilirsiniz.
Adım 2: Risk Analizinde “Kişisel Veri” Boyutu
ISO 27001 risk analizi yaparken (Gizlilik, Bütünlük, Erişilebilirlik), senaryolarınıza KVKK risklerini ekleyin.
-
Senaryo: “Müşteri veritabanının çalınması.”
-
Etki: Sadece ticari itibar kaybı değil, aynı zamanda KVKK İdari Para Cezası riski de hesaplanmalıdır.
Adım 3: İhlal Yönetimi ve 72 Saat Kuralı
ISO 27001, güvenlik olaylarının raporlanmasını ister. KVKK ise veri ihlali durumunda 72 saat içinde Kuruma bildirim yapılmasını zorunlu kılar.
-
Uygulama: BGYS Olay Yönetimi prosedürünüze, “İhlal kişisel veriyi kapsıyorsa, Hukuk birimine ve KVKK Kuruluna 72 saatte bildir” maddesini ekleyin.
Adım 4: Farkındalık Eğitimleri
ISO 27001, tüm personelin bilgi güvenliği eğitimi almasını şart koşar. Bu eğitimlerin içeriğine “Kişisel Verilerin Korunması” modülünü ekleyerek tek taşla iki kuş vurursunuz.
5. ISO 27001:2022 Revizyonu ve Gizlilik Kontrolleri
ISO 27001’in yeni versiyonu (2022), kişisel verilerin korunmasına daha da fazla odaklanmıştır. Yeni eklenen “Veri Maskeleme” (A.8.11) ve “Veri Sızıntısını Önleme – DLP” (A.8.12) gibi kontroller, KVKK uyumu için kritik olan teknik tedbirleri uluslararası düzeyde standartlaştırır.
Bu teknik kontrollerin tam listesi ve kişisel veri gizliliği için nasıl uygulanacağı hakkında detaylı bilgi almak için ISO 27001:2022 Ek-A Kontrolleri Rehberi yazımızı takip edebilirsiniz.
6. Sonuç: Yasal Zırhınızı Güçlendirin
Sadece “sözleşme yazarak” veya “aydınlatma metni asarak” KVKK uyumu sağlanamaz. Teknik güvenliği sağlamadığınız sürece her zaman veri sızıntısı ve ceza riski mevcuttur.
ISO 27001, KVKK uyumunun teknik omurgasını oluştururken; ISO 27701 bu süreci belgelendirilebilir ve denetlenebilir profesyonel bir yönetim sistemine dönüştürür. Vertacert olarak, entegre yönetim sistemi yaklaşımımızla hem bilgi güvenliğinizi hem de yasal uyumunuzu garanti altına almanıza yardımcı oluyoruz.
