ISO 27701 Standardı ve Kişisel Verilerin Korunması

03/01/2020 Kapalı Yazar: admin
ISO 27701 Standardı ve Kişisel Verilerin Korunması

ISO 27701 nedir?

ISO / IEC 27701: 2019 , uluslararası standardı, ISO / IEC 27001 için bir uzantısıdır (ISO / IEC 27701 Güvenlik teknikleri – bilgileri yönetimi için ISO / IEC 27001 ve ISO / IEC 27002’ye genişletme – Gereksinimler ve yönergeler) .

ISO 27701, bir PIMS (gizlilik bilgi yönetim sistemi) oluşturmak, uygulamak, sürdürmek ve sürekli iyileştirmek için gereksinimleri belirtir – ve yol gösterir.

ISO 27701, ISO 27001’in gereksinimlerine, kontrol hedeflerine ve kontrollerine dayanır ve gizliliğe özgü bir dizi gereksinimi, kontrolü ve kontrol hedefini içerir.

ISO 27701 neden geliştirildi?

Hem AB (Genel Veri Koruma Yönetmeliği) hem de İngiltere DPA (Veri Koruma Yasası) 2018 , kuruluşların işledikleri kişisel verilerin gizliliğini sağlamak için önlemler almasını gerektirir.

Ancak, her iki düzenleme de bu önlemlerin neye benzemesi gerektiği konusunda fazla rehberlik sağlamamaktadır.

ISO (Uluslararası Standardizasyon Örgütü) ve IEC (Uluslararası Elektroteknik Komisyonu) bu nedenle bu rehberlik sağlamak için bu yeni bir standart geliştirdik.

ISO 27001 ve ISO 27701 birbirleriyle nasıl entegre olur?

ISO 27001, insanları, süreçleri ve teknolojiyi kapsayan risk tabanlı bir yaklaşım olan bir ISMS (bilgi güvenliği yönetim sistemi) için gereksinimleri ortaya koymaktadır. ISO 27001’e bağımsız olarak akredite edilmiş sertifika, paydaşlara verilerin uygun şekilde korunduğunu garanti eder.

ISO 27001’i uygulayan kuruluşlar, kişisel çabalarını / kişisel bilgilerini (PII (kişisel olarak tanımlanabilir bilgiler)) işlemek de dahil olmak üzere, güvenlik çabalarını gizlilik yönetimini kapsayacak şekilde genişletmek için ISO 27701’i kullanabilecektir. GDPR gibi veri koruma yasalarıyla.

ISMS’siz kuruluşlar, ISO 27001 ve ISO 27701’i tek bir uygulama projesi olarak birlikte uygulayabilir.

 

Gizlilik bilgi yönetim sistemi ile kişisel bilgi yönetim sistemi arasındaki fark nedir?

ISO 27701 bir gizlilik bilgi yönetim sistemi için gereksinimleri ortaya koyarken, BS 10012 kişisel bilgi yönetim sistemi için İngiliz standardıdır.

İki terim arasında çok az önemli fark vardır – her ikisi de kişisel bilgileri korumak için tasarlanmış yönetim sistemleri – ve günlük faaliyetler uğruna, ‘PIMS’ kısaltmasından her ikisine de başvurabilirsiniz. Bununla birlikte, iki yaklaşım arasında aşağıda dikkate alınan bazı önemli farklılıklar vardır.

GDPR ile ISO 27701’in taslağı arasında terminolojide bazı farklılıklar da vardır:

GDPR

ISO 27701

PII
Veri kontrolü PII denetleyici
Veri işlemcisi PII işlemci
Veri konusu PII yöneticisi
Tasarım ile veri koruma Tasarım gereği gizlilik
Varsayılan olarak veri koruması Varsayılan olarak gizlilik

 

ISO 27701 veya BS 10012’yi uygulamalıyım?

Her iki standarda da faydalar olsa da, bazı yönleri farklıdır.

BS 10012, GDPR ve DPA 2018 ile uyumludur; oysa ISO 27701, herhangi bir belirli veri koruma regülasyonuna uyum sağlamaktan kaçınır. Bu, daha geniş bir uygulama imkanı sunarak, uyumlu kuruluşların çeşitli gizlilik regülasyonlarına uymalarını sağlar.

Kuruluşunuzun yalnızca GDPR ve DPA 2018 ile uyumlu olması gerekiyorsa, BS 10012’nin gereksinimlerinize uygun olduğunu görebilirsiniz.

Bununla birlikte, GDPR ve DPA’yla birlikte gibi bir veri koruma regülasyonuna uyduğunuzu göstermeniz gerekiyorsa, uluslararası standardı amaçlarınıza daha uygun bulacaksınız.

BT Yönetişimi, hangi standardın ihtiyaçlarınıza daha uygun olduğunu belirlemenize ve ihtiyacınız olan uygulama desteğini sağlamanıza yardımcı olabilir.

 

ISO 27701 ve ISO 27001 ile GDPR uyumluluğu

ISO 27701 ve ISO 27001’in uygulanması, GDPR ve diğer veri koruma regülasyonlarının gizlilik ve bilgi güvenliği gereksinimlerini karşılamanıza ve işlediğiniz kişisel verileri korumak için “uygun teknik ve organizasyonel önlemler” için yönetim düzenlemelerinizin olduğunu göstermenize olanak tanır. ve veri sahibinin haklarını Yönetmeliğin hesap verebilirlik ilkesine uygun olarak desteklemek (Madde 5 (2)).

GDPR’nin 42. maddesi veri koruma sertifikasyon mekanizmaları ile veri koruma mühürleri ve markalarını tartışmaktadır. Henüz böyle bir mekanizma mevcut değil. Bununla birlikte, ISO 27001’e bağımsız olarak akredite edilmiş bir sertifikasyon elde etmek mümkündür – ve böylece kontrollerini uygularsanız ISO 27701 ek olarak – bu, paydaşlara ve düzenleyicilere, kişisel verilerin / PII’nin güvenliğini sağlama konusunda uluslararası en iyi uygulamaları izlediğini gösterecektir.

 

Bu yazı Melih Rüştü Çalıkoğlu’nun Linkedin hesabında yayınladığı yazısından hareketle, It Governance sitesinden alıntıdır.