ISO 27701 Standardı ve Kişisel Verilerin Korunması
03/01/2020ISO 27701 nedir?
ISO / IEC 27701: 2019 , uluslararası bilgi güvenliği yönetim standardı, ISO / IEC 27001 için bir gizlilik uzantısıdır (ISO / IEC 27701 Güvenlik teknikleri – Gizlilik bilgileri yönetimi için ISO / IEC 27001 ve ISO / IEC 27002’ye genişletme – Gereksinimler ve yönergeler) .
ISO 27701, bir PIMS (gizlilik bilgi yönetim sistemi) oluşturmak, uygulamak, sürdürmek ve sürekli iyileştirmek için gereksinimleri belirtir – ve yol gösterir.
ISO 27701, ISO 27001’in gereksinimlerine, kontrol hedeflerine ve kontrollerine dayanır ve gizliliğe özgü bir dizi gereksinimi, kontrolü ve kontrol hedefini içerir.
ISO 27701 neden geliştirildi?
Hem AB GDPR (Genel Veri Koruma Yönetmeliği) hem de İngiltere DPA (Veri Koruma Yasası) 2018 , kuruluşların işledikleri kişisel verilerin gizliliğini sağlamak için önlemler almasını gerektirir.
Ancak, her iki düzenleme de bu önlemlerin neye benzemesi gerektiği konusunda fazla rehberlik sağlamamaktadır.
ISO (Uluslararası Standardizasyon Örgütü) ve IEC (Uluslararası Elektroteknik Komisyonu) bu nedenle bu rehberlik sağlamak için bu yeni bir standart geliştirdik.
ISO 27001 ve ISO 27701 birbirleriyle nasıl entegre olur?
ISO 27001, insanları, süreçleri ve teknolojiyi kapsayan risk tabanlı bir yaklaşım olan bir ISMS (bilgi güvenliği yönetim sistemi) için gereksinimleri ortaya koymaktadır. ISO 27001’e bağımsız olarak akredite edilmiş sertifika, paydaşlara verilerin uygun şekilde korunduğunu garanti eder.
ISO 27001’i uygulayan kuruluşlar, kişisel çabalarını / kişisel bilgilerini (PII (kişisel olarak tanımlanabilir bilgiler)) işlemek de dahil olmak üzere, güvenlik çabalarını gizlilik yönetimini kapsayacak şekilde genişletmek için ISO 27701’i kullanabilecektir. GDPR gibi veri koruma yasalarıyla.
ISMS’siz kuruluşlar, ISO 27001 ve ISO 27701’i tek bir uygulama projesi olarak birlikte uygulayabilir.
Gizlilik bilgi yönetim sistemi ile kişisel bilgi yönetim sistemi arasındaki fark nedir?
ISO 27701 bir gizlilik bilgi yönetim sistemi için gereksinimleri ortaya koyarken, BS 10012 kişisel bilgi yönetim sistemi için İngiliz standardıdır.
İki terim arasında çok az önemli fark vardır – her ikisi de kişisel bilgileri korumak için tasarlanmış yönetim sistemleri – ve günlük faaliyetler uğruna, ‘PIMS’ kısaltmasından her ikisine de başvurabilirsiniz. Bununla birlikte, iki yaklaşım arasında aşağıda dikkate alınan bazı önemli farklılıklar vardır.
GDPR ile ISO 27701’in taslağı arasında terminolojide bazı farklılıklar da vardır:
GDPR |
ISO 27701 |
---|---|
Kişisel veri | PII |
Veri kontrolü | PII denetleyici |
Veri işlemcisi | PII işlemci |
Veri konusu | PII yöneticisi |
Tasarım ile veri koruma | Tasarım gereği gizlilik |
Varsayılan olarak veri koruması | Varsayılan olarak gizlilik |
ISO 27701 veya BS 10012’yi uygulamalıyım?
Her iki standarda da faydalar olsa da, bazı yönleri farklıdır.
BS 10012, GDPR ve DPA 2018 ile uyumludur; oysa ISO 27701, herhangi bir belirli veri koruma regülasyonuna uyum sağlamaktan kaçınır. Bu, daha geniş bir uygulama imkanı sunarak, uyumlu kuruluşların çeşitli gizlilik regülasyonlarına uymalarını sağlar.
Kuruluşunuzun yalnızca GDPR ve DPA 2018 ile uyumlu olması gerekiyorsa, BS 10012’nin gereksinimlerinize uygun olduğunu görebilirsiniz.
Bununla birlikte, GDPR ve DPA’yla birlikte KVKK gibi bir veri koruma regülasyonuna uyduğunuzu göstermeniz gerekiyorsa, uluslararası standardı amaçlarınıza daha uygun bulacaksınız.
BT Yönetişimi, hangi standardın ihtiyaçlarınıza daha uygun olduğunu belirlemenize ve ihtiyacınız olan uygulama desteğini sağlamanıza yardımcı olabilir.
ISO 27701 ve ISO 27001 ile GDPR uyumluluğu
ISO 27701 ve ISO 27001’in uygulanması, GDPR ve diğer veri koruma regülasyonlarının gizlilik ve bilgi güvenliği gereksinimlerini karşılamanıza ve işlediğiniz kişisel verileri korumak için “uygun teknik ve organizasyonel önlemler” için yönetim düzenlemelerinizin olduğunu göstermenize olanak tanır. ve veri sahibinin haklarını Yönetmeliğin hesap verebilirlik ilkesine uygun olarak desteklemek (Madde 5 (2)).
GDPR’nin 42. maddesi veri koruma sertifikasyon mekanizmaları ile veri koruma mühürleri ve markalarını tartışmaktadır. Henüz böyle bir mekanizma mevcut değil. Bununla birlikte, ISO 27001’e bağımsız olarak akredite edilmiş bir sertifikasyon elde etmek mümkündür – ve böylece kontrollerini uygularsanız ISO 27701 ek olarak – bu, paydaşlara ve düzenleyicilere, kişisel verilerin / PII’nin güvenliğini sağlama konusunda uluslararası en iyi uygulamaları izlediğini gösterecektir.
Bu yazı Melih Rüştü Çalıkoğlu’nun Linkedin hesabında yayınladığı yazısından hareketle, It Governance sitesinden alıntıdır.