Menu

We provide Audit, Certification and Training services to clients worldwide

website-contact@cfecert.co.uk

Bağımsız bir standart haline gelen güncellenmiş ISO/IEC 27701, şirketlerin gizlilik bilgi yönetimlerini iyileştirmelerine yardımcı olacaktır.

Kişisel Veri Yönetim Sistemi standardı ISO/IEC 27701’in yeni sürümü için bekleyiş sona erdi. Uluslararası Standardizasyon Örgütü (ISO) ve Uluslararası Elektroteknik Komisyonu (IEC), 14 Ekim 2025’te yeni sürümün onaylandığını ve yayınlandığını duyurdu.

Yeni standart, ISO 9001 (kalite), ISO/IEC 27001 (bilgi güvenliği) ve ISO/IEC 42001 (yapay zeka) gibi diğer mevcut yönetim sistemleriyle entegre olacak şekilde yapılandırılmıştır ve bu da onu her şekil, boyut ve karmaşıklıktaki kuruluşlar için uyarlanabilir ve esnek hale getirmektedir.

Hukuk ve uyum uzmanları için ISO/IEC 27701:2025, hem bir uyum aracı hem de bir uygulama zorluğu sunmaktadır. Kontrolleri, Genel Veri Koruma Yönetmeliği (GDPR), Kaliforniya Tüketici Gizliliği Yasası (CCPA) ve Brezilya Genel Veri Koruma Yasası (LGPD) gibi küresel düzenlemelerle yakından uyumludur. Ancak, yargısal açıdan tarafsızlığını koruyarak yerel yasal nüansları ele almak için ek uzmanlığa ihtiyaç duymaktadır. Avukatlar ve uyum görevlileri artık savunulabilir gizlilik programlarının mimarları olup, düzenleyici talepleri operasyonel gerçekliğe dönüştürmektedir.

İşte en önemli güncellemeler:

ISO/IEC 27701:2025’teki Önemli Değişiklikler

  1. Artık Bağımsız bir Standartdır
  • ISO/IEC 27001’in bir uzantısı olan 2019 sürümünden farklı olarak, 2025 sürümü artık tamamen bağımsız bir standarttır.
  • Kuruluşlar artık ISO/IEC 27001 sertifikasına ihtiyaç duymadan ISO/IEC 27701:2025 sertifikası alabilirler.
  1. Güncellenen Yapı
  • Standart, ISO 9001, ISO/IEC 20000-1 ve ISO/IEC 42001 gibi diğer yönetim sistemi standartlarıyla uyumlu olarak ISO’nun üst düzey yapısını (HLS) benimsemiştir.
  1. Madde 4-10 artık Gizlilik Bilgi Yönetim Sistemi (PIMS) için tüm gereklilikleri tanımlamaktadır.
  2. Geliştirilmiş Gizlilik Riski Yönetimi
  • Gizlilik riskleri artık güvenlik riskleriyle eşit olarak ele alınmakta ve risk tanımlama, ele alma ve izleme için zenginleştirilmiş gereklilikler bulunmaktadır.
  • AI, otomatik işleme ve üçüncü taraf veri paylaşımı gibi yeni tehdit vektörleri açıkça ele alınmaktadır.
  1. Genişletilmiş Kapsam
  • Standart artık biyometrik verileri, sağlık verilerini, IoT verilerini kapsamakta ve rıza, şeffaflık ve sınır ötesi veri aktarımları için daha güçlü gereklilikler içermektedir.
  1. Modernize Edilmiş Kontroller

ISO/IEC 27001’in Uygulanabilirlik Beyanına olan bağımlılık kaldırılmıştır.

Şunları getirir:

  • PII Denetleyicileri için 31 kontrol
  • PII İşleyicileri için 18 kontrol
  • Her ikisi için de geçerli 29 ortak kontrol bulunmaktadır.

“Ek kontrollere izin verilebilir” hükmü açık şekilde vurgulanmaktadır; yani listelenen kontroller zorunlu kapsamda sınırlayıcı olmayacaktır.

Bazı kontrollerin isim değişiklikleri ve küçük düzeltmeler yapılmıştır (örneğin, “Obligations to PII principals” kontrollerinden birinin ismi “Comply with obligations to PII principals” olarak yeniden tanımlanmıştır).

Yeni versiyonla birlikte, Ek B (Annex B) adıyla normatif uygulama rehberliği ekleniyor; PII controller’lar ve processor’lar için uygulama önerileri sunuluyor.

Eskiden ayrı ayrı eklerde verilen controller/processor rehberliği ve kontroller, daha sistematik şekilde yeniden yapılandırılıyor.

Bilgi güvenliği normlarına referans verme yaklaşımı değişiyor — ISO 27001 / 27002 referansları, bağımlılık içermeksizin “destekleyici referanslar” şeklinde ele alınacaktır.

  1. Küresel Düzenlemelerle Uyum
  • GDPR (AB) ve CCPA/CPRA (ABD) gibi gizlilik yasaları ve Afrika ve Asya’da ortaya çıkan düzenlemelerle uyumludur.
  1. Yönetişim ve Hesap Verebilirlik
  • Tanımlanmış gizlilik rolleri, ölçülebilir KPI’lar ve sürekli performans izleme üzerinde daha fazla vurgu.
  • Denetlenebilir ve kanıtlanabilir gizlilik hesap verebilirliğini desteklemek için tasarlanmıştır.
  • Özellikle üçüncü taraf hizmet sağlayıcıların (örneğin SaaS / bulut sağlayıcıları) neden olduğu riskler, veri akışı ve kontrol zinciri açısından daha güçlü şekilde ele alınacaktır.
  1. Geçiş Rehberi
  • Eğer kurumunuz hâlihazırda ISO 27701:2019 sertifikasına sahipse, yeni versiyona geçiş için GAP analizi yapmak faydalı olacaktır. Bunun için check list oluşturmalı yada CFECERT gibi bağımsız bir denetim kuruluşundan GAP Analizi talep edebilirsiniz.
  • Organizasyonunuz ISO 27001’e sahip değilse bile, 2025 versiyonuyla birlikte doğrudan ISO 27701’e geçme imkânı olacağı için bu fırsatı değerlendirmek mantıklı olabilir. İşletmenizin yasal regülasyonlar nezdinde gerekliliklerini tekrar gözden geçirebilirsiniz. ISO 27001 sizin için artık zorunlu değil ise direk ISO 27701 sürecine bizimle iletişime geçerek girebilirsiniz.
  • Yeni risk değerlendirme metotlarını, bulut / AI / veri akışı senaryolarını kapsayacak şekilde güncellemek gerekecektir.

Versiyon Geçiş için Yol Haritasını Özetleyecek Olursak;

  1. Mevcut uygulamalar ile ISO/IEC 27701:2025’teki yeni gereklilikler arasında kapsamlı bir fark değerlendirme çalışması gerçekleştirin (GAP Analizi). Sektöre özgü ve yetki alanları arası kılavuzları kullanarak öncelikleri belirleyebilirsiniz yada CFECERT ile iletişime geçebilirsiniz.
  2. Yönetim kurulu ve üst düzey yöneticileri, hem uyumluluk hem de marka değeri üzerinde durarak, gizlilik sorumluluklarının artırılması konusunda bilgilendirebilirsiniz.
  3. Kişisel veri ve gizlilik yönetimini daha geniş kapsamlı kurumsal risk ve güvenlik stratejilerine entegre edin.
  4. Uyumluluk ve kanıt oluşturmayı otomatikleştirmek için şifreleme, güvenli denetim izleri ve sürekli izleme gibi gizliliği artıran teknolojilerden yararlanabilirsiniz.
  5. Kuruluş genelinde gizlilik yetkinliği oluşturmalısınız. İşlevsel rollere uygun eğitim ve sürekli farkındalık çalışmalarına yatırım yapabilirsiniz. CFE Academy olarak ISO 27701:2025 Versiyon Geçiş, Baş Tetkikçi Geçiş ve Bilinçlendirme eğitimlerimiz için bize info@cfecert.co.uk adresinden ulaşabilirsiniz.
  6. İç tetkik döngülerinizi ve prosedür/politikalarınızı gözden geçirerek güncelleyebilirsiniz. İşletmenizi sürekli iyileştirme prensibi ile ihtiyacınız olan kontrolleri/politika ve prosedürleri sürekli olarak güncelleyebilirsiniz.

 

 

Posted in Bilgi GüvenliğiTagged
Dünya çapındaki müşterilerimize Denetim, Belgelendirme ve Eğitim hizmetleri sunuyoruz
Keşfedin
İLETİŞİM
© copyright CFECERT (2025)