ISO/IEC 27701 nedir?
ISO/IEC 27701, bir Kişisel Veri Yönetim Sisteminin (KVYS) kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için gereksinimleri belirtir ve rehberlik sağlar. ISO/IEC 27001, bilgi güvenliği yönetim sistemi standardındaki gereksinimleri ve ISO/IEC 27002’deki bilgi güvenliği kontrolleri için uygulama kurallarını temel alır.
ISO/IEC 27701, kişisel olarak tanımlanabilir bilgileri (PII) korumak için düzenlenmiş yönetim sistemidir. Kuruluşların kişisel bilgileri nasıl yönetmesi gerektiğini kapsar ve geçerli olabilecek gizlilik düzenlemelerine uygunluğu göstermeye yardımcı olur.
ISO/IEC 27001’i uyguladıysanız, ISO/IEC 27701’i uygulamak sizin için oldukça kolay olacaktır.
ISO/IEC 27001 ile uyumlu bir bilgi güvenliği yönetim sistemine sahip olmayan kuruluşlar için, iki standardı tek bir projede uygulamak mümkündür.
ISO / IEC 27701 sizin için neden önemli?
Kişisel bilgilerin toplanmasındaki hızlı artış, siber saldırılar ve veri ihlalleri gizlilik endişelerine yol açmıştır. Bu nedenle, ISO / IEC 27701’in gerekliliklerine ve kılavuzluğuna uygun bir Kişisel Veri Yönetim Sistemi uygulamak, kuruluşların kişisel bilgilerin toplanması, saklanması ve işlenmesiyle ilgili riskleri değerlendirmesine ve veri ihlal kayıplarının önüne geçmesi için olanak sağlamaktadır. Bu standart, verilerin nasıl yönetileceğine ve işleneceğine ve gizliliğin nasıl korunacağına ilişkin gereksinimler sağladığından, kişisel veri alan ve saklayan her kuruluş için gereklidir.
ISO/IEC 27001 ve ISO/IEC 27701 arasındaki fark
ISO/IEC 27001, Bilgi Güvenliği ve Bilgi Güvenliği Yönetim Sistemini ele alır. Bilgi Güvenliği, bir kuruluşun verileri kesin, erişilebilir ve yalnızca onaylı çalışanların kullanımına sunma biçimiyle ilgilidir.
ISO/IEC 27701, Gizlilik ve bir Kişisel Veri Yönetim Sisteminin uygulanmasıyla ilgilenir. Veri Gizliliği, bir kuruluşun kişisel ve özel verileri toplama yöntemiyle ilgilidir ve yetkisiz olarak ifşayı engeller.
ISO/IEC 27701, ISO/IEC 27001’in bir gizlilik uzantısı olduğundan, tek bir belgelendirme kuruluşu, bir müşteri için her iki standardı da tetkik etmelidir – yani, bir belgelendirme kuruluşu BGYS’yi ve bir diğeri PIMS’i tetkik edemez.
Tek başına ISO/IEC 27701 sertifikası alamazsınız. Halihazırda ISO/IEC 27001 sertifikasına sahip olmanız ya da her iki standardı birlikte sertifikalandırmanız gerekir.
ISO/IEC 27701, Kişisel Veri Yönetim Sisteminin kurulması, uygulanması, sürdürülmesi ve iyileştirilmesi için gereksinimleri detaylandırır ve gerekli rehberliği sağlar. Standart, ISO/IEC 27001 standardının gereksinimlerine, kontrol amaçlarına ve kontrollerine dayanır ve bir dizi gizlilik gereksinimleri, kontroller ve kontrol hedefleri içerir.
Bilgi güvenliği kavramları, hali hazırda operasyonel bir Bilgi Güvenliği Yönetim Sistemine sahip olan kuruluşlara aşinadır. Yeni PIMS/KVYS, kuruluşların kendi yetki alanlarının yasal gereklilikleriyle doğrudan eşleşen kapsamlı ve evrensel olarak uygulanabilir veri yönetişimine sahip olmalarını sağlayacaktır.
Dünyadaki birçok gizlilik yasasında olduğu gibi, GDPR ile uyumlu süreçlerin nasıl uygulanacağına dair çok az rehberlik vardır. Standart, Avrupa Veri Koruma Kurulu da dahil olmak üzere dünyanın dört bir yanından uzmanlardan ve veri koruma otoritelerinden gelen girdilerle hazırlanmıştır. Tüm kıtalardan veri koruma mevzuatı dikkate alınmıştır. GDPR’ye yakındır ve her madde, ilgili GDPR maddelerine eşlenir.
Ancak ISO 27701, GDPR’ye özgü değildir; küresel bir standarttır. Ve gizlilik koruması açısından en son teknolojiyi temsil eder. Bunu uygulayan kuruluşlar, kişisel verilerin korunmasına yönelik proaktif bir yaklaşım sergileyecektir.
Belgelendirme tetkiki 2 aşamadan oluşmaktadır. Kuruluşunuzun büyüklüğü, lokasyon sayınız ve belgelendirme kapsamınıza göre tetkik süresi belirlenmektedir.
