VERBİS İçin İdari ve Teknik Tedbirler
21/10/2019
VERBİS Sicil Kayıt Sistemine bildirim yapılırken, Kişisel Verilerin Korunması Kanununa (KVKK) göre her veri kategorisi için istenen idari ve teknik tedbirler aşağıda sıralanmıştır:
İdari Tedbirler |
| 1) Kişisel Veri İşleme Envanteri Hazırlanması |
| 2) Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.) |
| 3) Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında ) |
| 4) Gizlilik Taahhütnameleri |
| 5) Kurum İçi Periyodik ve/veya Rastgele Denetimler |
| 6) Risk Analizleri |
| 7) İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi) |
| 8) Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.) |
| 9) Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun) |
| 10) Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim |
Teknik Tedbirler |
| 1. Ağ güvenliği ve uygulama güvenliği sağlanmaktadır. |
| 2. Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır. |
| 3. Anahtar yönetimi uygulanmaktadır. |
| 4. Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır. |
| 5. Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır. |
| 6. Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur. |
| 7. Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır. |
| 8. Çalışanlar için yetki matrisi oluşturulmuştur. |
| 9. Erişim logları düzenli olarak tutulmaktadır. |
| 10. Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar |
| hazırlanmış ve uygulamaya başlanmıştır. |
| 11. Gerektiğinde veri maskeleme önlemi uygulanmaktadır. |
| 12. Gizlilik taahhütnameleri yapılmaktadır. |
| 13. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır. |
| 14. Güncel anti-virüs sistemleri kullanılmaktadır. |
| 15. Güvenlik duvarları kullanılmaktadır. |
| 16. İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir. |
| 17. Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir. |
| 18. Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir. |
| 19. Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır. |
| 20. Kişisel veri güvenliğinin takibi yapılmaktadır. |
| 21. Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır. |
| 22. Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır. |
| 23. Kişisel veri içeren ortamların güvenliği sağlanmaktadır. |
| 24. Kişisel veriler mümkün olduğunca azaltılmaktadır. |
| 25. Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır. |
| 26. Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır. |
| 27. Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır. |
| 28. Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır. |
| 29. Mevcut risk ve tehditler belirlenmiştir. |
| 30. Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır. |
| 31. Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir. |
| 32. Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir. |
| 33. Saldırı tespit ve önleme sistemleri kullanılmaktadır. |
| 34. Sızma testi uygulanmaktadır. |
| 35. Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir. |
| 36. Şifreleme yapılmaktadır. |
| 37. Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişisel veriler şifrelenerek aktarılmaktadır. |
| 38. Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır. |
| 39. Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır. |
| 40. Veri kaybı önleme yazılımları kullanılmaktadır. Yedekleme alınıyor mu? |
| 41. Diğer |
