Kuruluşlar, ISO 27701 ve ISO 27001’i birleştirerek güven oluşturabilir, gizlilik ve kişisel veri koruma düzenlemelerini hazırlanabilir.
Kişisel Verileri Koruma Kurumu (KVKK), İngiltere’nin Veri Koruma Komiserliği (ICO) ve AB’nin Genel Veri Koruma Yönetmeliği (GDPR) gibi hızla büyüyen bir dizi gizlilik düzenlemesine uyum, artık birçok şirket ve devletler için büyük bir endişe kaynağıdır. İşletmeniz kişisel bilgileri (PI) saklar ve/veya işliyorsa, muhtemelen yakında onu koruyabileceğinizi kanıtlamanız gerekecektir.
Güvenilir bir uluslararası veri gizliliği standardı olarak, 27001 bilgi güvenliği standardına ISO 27701 kişisel verileri koruma uzantısı ile uyum sağlamak, birden fazla örtüşen gizlilik düzenlemeleriyle uyumluluğu yönetmenin en kolay yollarındadır.
27001 standardı gibi, ISO 27701 de kuruluşların her durumda her kontrolü benimsemesini beklemez. Bunun yerine, kuruluşların PII’yi işledikleri belirli bağlamı anlamalarını ve belirli kontroller setini ve bu kontrollerin ilgili uygulamalarını işleme faaliyetlerine uygun bir şekilde ayarlamalarını gerektirir.
ISO 27701 sertifikasını almanın en önemli dört avantajı şunlardır:
- Dış Paydaşlarla Güven Oluşturur
Bugün, ister uygulamalar, web siteleri veya diğer form faktörleri aracılığıyla olsun, kişisel yaşamlarımızın ve çalışmalarımızın çoğu internette gerçekleşmektedir. Herkes kişiyi tanımlanayabilen bilgilerle (PII) ilgilenir ve hiç kimse bu bilgilerin yanlış ellere geçmesini istemez. Her gün sıklıkla güvenlik ve gizlilik endişelerini artıran veri ihlalleri yaşanıyor. Rıza, şeffaflık ve güvenlik her zamankinden daha önemli.
Hem düzenleyiciler hem de tüketiciler arasında gizlilik endişeleri artmaya devam ettikçe, kuruluşlar gizlilik politikalarını iyileştirmeye ve gizliliği ciddiye aldıklarını gösteren kanıtlar sunmaya giderek daha fazla ilgi gösteriyor. Veri gizliliğini kapsayan birçok siber güvenlik çerçevesi olsa da bunların hiçbiri özel bir gizlilik sertifikası sağlamaz. Kuruluşlar uygunluk gösterebilir, ancak bir yönetim organından resmi bir sertifika almazlar.
Uluslararası saygınlığa sahip ISO 27001 çerçevesiyle birlikte ISO 27701’e sahip olmak, kuruluşunuzun gizliliğe olan bağlılığını gösterir. ISO 27701 sertifikasına sahip kuruluşlar, her yıl gözetim denetimlerinden geçmelidir, böylece dış paydaşlarınız, kuruluşunuzun resmi bir Kişisel Veri Gizliliği Standardı ile ISO standartlarına uygun olarak en iyi uygulamaları uyguladığından emin olabilir.
Microsoft, kendi Tedarikçi Güvenlik ve Gizlilik Güvencesi (SSPA) program gereksinimlerinin yerine ISO 27701 ve ISO 27001’i kabul ediyor. Son dönem buna Amazon ve alt kuruluşlarıda dahil oldular. Bu, Microsoft ve Amazon’un ISO 27701’in gizlilik kontrollerine ve veri koruma önlemlerine olan güveni ve değeri göstermektedir.
- İşletmenizin Departmanlarını Uluslararası Belgelendirme ile Onaylayın
Veriler, birden çok faktöre bağlı olarak kuruluşlar arasında farklı şekillerde hareket eder. Hiçbir kuruluş birbirinin aynısı değildir ve bazı durumlarda aynı kuruluş, aynı anda hem denetleyici hem de PII işlemcisi olabilir.
Bir kuruluşun kontrolör ve/veya işleyici olarak statüsünü etkileyen faktörlerden bazıları şunları içerebilir:
- Hizmet verilen endüstriler
- Hizmet olarak yazılım (SaaS) gibi iş modeli
- Ortaklıklar ve taşeron ilişkileri
…ve dahası.
Ancak, bir kuruluş aynı anda hem veri sorumlusu hem de veri işleyicisi olabileceğinden, belirli ticari faaliyetlerle nasıl kesiştiğine bağlı olarak, verileri aynı kontrollere tabi olmayabilir.
ISO 27001 ve ISO 27701 birlikte, kuruluşların, işletmelerinin en katı gizlilik koruması gerektiren bölümlerini stratejik olarak sertifikalandırmasını sağlar.
- Çeşitli Gizlilik Yasalarını ve Düzenlemelerini Destekler
Belirtildiği gibi, mahremiyet hem düzenleyiciler hem de tüketiciler için büyüyen bir endişe kaynağıdır. Yeni gizlilik yasalarının ve düzenlemelerinin yükselişi, kuruluşları kişisel veri koruma programları hakkında farklı düşünmeye zorladı.
Son dönem yapılan araştırmalarda gösteriyor ki kuruluşların yüzde 48’in de gizlilik düzenlemeleri fazladan iş yükü yaratmaktadır. Bu artış aynı zamanda kuruluşları ihtiyaç duydukları kontroller konusunda daha bilinçli hale getirmektedir. Artan iş yükünde ki en büyük faktör kuruluşların ve devlet kurumlarının siber saldırılara karşı sistemlerinin hazır olmayışı.
ISO 27701, şirketlerin temel düzenlemelere daha kolay ve stratejik bir şekilde uymasını sağlayan birkaç önemli gizlilik düzenlemesine karşı yardımcı olur.
- Mevcut Uygulamakta Olduğunuz Standartlarla Entegresi Kolaydır
Araştırmalar gösteriyor ki işletmeler en az bir den fazla standartta akredite olma ihtiyacı duyuyorlar. Bu ihtiyaçları doğrultusunda uyguladıkları tüm standartlar birbiri ile uyumlu ve kolay entegre olabilmeli.
ISO 27001’e sahip kuruluşlar, ISO 27701’i mevcut ISO denetim ve değerlendirmelerine kolayca entegre edebilir.
