Kişisel verilerin korunması artık sadece yasal bir gereklilik değil, kuruluşlar için stratejik bir sorumluluktur. ISO/IEC 27701, bu ihtiyacı karşılamak için ISO/IEC 27001 ile entegre bir Kişisel Veri Yönetim Sistemi (KVYS/PIMS) sağlar. İlk olarak 2019 yılında ISO/IEC 27701:2019 olarak yayınlanan bu standart, ISO/IEC 27001 çerçevesini genişletmiş ve ISO 27001 ile birlikte belgelendirmeyi zorunlu kılmıştır. Ancak, küresel gizlilik düzenlemelerinin hızlı gelişimi, ortaya çıkan tehditler ve ISO/IEC 27001:2022’de getirilen önemli değişiklikler tam bir revizyon gerektirdi. Şu anda Nihai Taslak (FDIS) aşamasında olan yeni ISO/IEC 27701:2025, daha bağımsız ve esnek bir standart olarak hizmet vermek üzere yeniden yapılandırılmıştır. Kişisel verilerin hem denetleyicileri hem de işleyicileri için daha net rehberlik sağlayarak daha geniş gizlilik uyumluluğunu (sadece GDPR değil, aynı zamanda CCPA, LGPD ve diğerleri) desteklemeyi amaçlamaktadır.
ISO/IEC 27701:2025, kuruluşların gizlilik risklerini daha etkili bir şekilde yönetmelerine, hesap verebilirliklerini göstermelerine ve kişisel verilerin işlenmesinde güveni teşvik etmelerine olanak tanır.
Standardın Adı Güncellendi
ISO/IEC 27701:2025 artık ISO/IEC 27001’in bir uzantısı değildir.
Standardın tam adı şu şekilde değiştirildi:
Information security, cybersecurity and privacy protection — Privacy information management systems — Requirements and guidance.
Bilgi güvenliği, siber güvenliğin ve gizliliğin korunması – Gizlilik bilgi yönetim sistemleri – Gereklilikler ve rehberlik.
Bu, ISO/IEC 27701:2025’in artık ISO/IEC 27001 ve ISO/IEC 27002’nin bir uzantısı olmadığını açıkça belirterek standardın yapısındaki büyük bir değişimi yansıtmaktadır. Yeni sürüm, PIMS’in bağımsız bir sistem olarak çalışmasına izin verirken, istenirse ISO/IEC 27001 ile entegrasyon için uyumlu kalmaktadır.
|
ISO/IEC FDIS 27701 |
ISO/IEC 27701:2019 |
|
Information security, cybersecurity and privacy protection — Privacy information management systems — Requirements and guidance Bilgi güvenliği, siber güvenlik ve gizliliğin korunması – Gizlilik bilgi yönetim sistemleri – Gereklilikler ve rehberlik |
Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines Güvenlik teknikleri – Gizlilik bilgi yönetimi için ISO/IEC 27001 ve ISO/IEC 27002’nin genişletilmesi – Gereksinimler ve kılavuzlar |
Sertifikasyon ve 2025 Sürümüne Geçiş
Yeni bir sertifika almak isteyen veya mevcut ISO/IEC 27701:2019 sertifikasını 2025 versiyonuna yükseltmek isteyen kuruluşların en son prosedürler ve geçerli son tarihler konusunda sertifikasyon kuruluşlarına danışmaları önemle tavsiye edilir. Bu içeriğin hazırlandığı tarih itibariyle, belgelendirme ve revize standarda geçiş için resmi kurallar henüz yayınlanmamıştır.
Tarihsel olarak, bu tür geçiş ve belgelendirme kılavuzu yeni standardın yayınlanmasından yaklaşık bir ila iki ay sonra yayınlanır. Daha sonra, akreditasyon kurumları bu kuralları benimseyecek ve bazı durumlarda kendi özel gereksinimlerini ekleyebileceklerdir.
Uyumluluğu sağlamak ve belgelendirme durumundaki aksaklıkları önlemek için kuruluşlar güncellemeleri yakından takip etmeli ve geçiş için iç hazırlıklara mümkün olduğunca erken başlamalıdır.
Belgelendirme ve geçiş prosedürlerine ilişkin resmi kılavuz yeni baskının yayınlanmasının ardından yayınlanacaktır. Kuruluşlar, gelişen gizlilik ve bilgi güvenliği gereklilikleriyle uyumlu kalabilmek için bu gelişmeleri takip etmelidir.
ISO 27701:2025 Yenilenen Versiyon Neler Getiriyor?
Bağımsız Yönetim Sistemi:
ISO 27701 artık ISO 27001’in bir uzantısı olarak konumlandırılmayacak gibi görünmektedir. Bağımsız bir yönetim sistemi olarak, gizlilik artık kendi başına kritik bir alan olarak kabul edilmektedir. Elbette diğer ISO yönetim sistemleri ile entegrasyon mümkündür, ancak gizliliğe ayrı bir önem verilmektedir.
Genişletilmiş Gereksinimler:
- Kapsam Tanımı (4.3): ISO 27001 ile uyum gerekliliği kaldırılmıştır.
- Gizlilik Politikası (5.2): Artık zorunludur.
- Roller ve Sorumluluklar (5.3): Tanımlanmış roller gereklidir.
- Gizlilik Risk Yönetimi (6.1): Belirli bir risk yönetimi yaklaşımı gereklidir.
- Hedefler ve KPI’lar (6.2, 9.1): Gizlilik hedeflerini netleştiren metrikler ve raporlama vurgulanmaktadır.
Yayınlanma Tarihi ve Geçiş Dönemi:
ISO 27701:2025 için nihai yayınlanma tarihi Mayıs 2025 olarak planlanmıştır. Kuruluşların yeni standartlara uyum sağlamak için 3 yıllık bir geçiş dönemi olacaktır.
Bu güncelleme, gizliliğin bağımsız olarak ele alınmasını kolaylaştırırken, daha geniş yönetişim stratejileriyle sorunsuz bir şekilde uyum sağlar.
- Gizlilik politikalarınızı gözden geçirme
- Risk yönetimi süreçlerinizin güncellenmesi
- Yeni gerekliliklere uyum sağlamak için bir yol haritası oluşturma
Bu versiyon değişikliği ISO 27001’in yeni versiyonunun gelmesi ve yönetim sistemi standartlarında çevresel etkinin öneminin artması nedeniyle yapılmıştır; versiyon geçişi için acele etmenize gerek yoktur.
