ISO 27001 ve ISO 27701: Bilgi Güvenliği Nerede Biter, Mahremiyet Nerede Başlar

İzmir'deki bir yazılım firması ISO 27001 denetimini geçti, belgeyi çerçeveletti ve bu belgeye dayanarak bir Alman kurumsal müşterinin ihalesini kazandı. Üç ay sonra aynı alıcı, belgenin yanıtlayamadığı bir veri işleme soru formu gönderdi: kişisel veriler nasıl sınıflandırılıyor, ilgili kişiler kimler, her bir işleme faaliyetinin hukuki dayanağı nedir. Bilgi güvenliği yönetim sistemi sağlamdı. Eksik olan, mahremiyet yönetimiydi. İşte ISO 27001 ile ISO 27701 arasındaki sınır tam olarak burası, ve çoğu firma bu sınırı bir müşteri çizene kadar fark etmiyor.

ISO 27001 ve ISO 27701 çoğu zaman birer alternatifmiş gibi sunulur. Değiller. Biri bağımsız olarak belgelendirilebilir bir bilgi güvenliği standardı. Diğeri ise yalnızca onun üzerinde var olabilen bir genişletme. İkisini iki ayrı ürün arasında bir seçim gibi okumak, yanlış satın almaya yol açar. Asıl soru hangisi değil, güvenlik sisteminizin bir mahremiyet katmanına ihtiyacı olup olmadığı ve bunun ne zaman ekleneceğidir.

Her standart gerçekte neyi yönetir

ISO 27001 bir bilgi güvenliği yönetim sistemi, kısaca BGYS tanımlar. Görevi, her türden bilgi varlığını gizlilik, bütünlük ve erişilebilirlik kaybına karşı korumaktır. Müşteri kayıtları, kaynak kod, finansal veriler, sözleşmeler, fikri mülkiyet: BGYS bunların hepsini, risk değerlendirmesine tabi tutulup kontrol edilecek birer varlık olarak ele alır. Standart, bir varlığın kişisel veri içerip içermediği ya da ilgili kişiye ne borçlu olunduğu konusunda neredeyse hiçbir şey söylemez. Varlığı korur. Verinin kime ait olduğunu sormaz.

ISO 27701 ise aynı yönetim sistemini alır ve üzerine bir mahremiyet merceği ekler. Resmî olarak ISO 27001'e (ve ISO 27002'ye) bir genişletmedir ve bir mahremiyet bilgi yönetim sistemi, kısaca PIMS, kurar. Güvenlik standardının sahip olmadığı kavramları getirir: kişisel veri, veri sorumlusu, veri işleyen, ilgili kişi, hukuki dayanak, saklama süresi ve bireyin hakları. ISO 27001 bu varlığı nasıl koruruz diye sorarken, ISO 27701 bu kişisel veri kime ait, neden elimizde tutuyoruz ve onunla ilgili yükümlülüğümüz nedir diye sorar. Güvenlik temel katmanına giriş için ISO 27001 bilgi güvenliği sayfamız BGYS kapsamını ayrıntılı biçimde ortaya koyar.

ISO 27701 neden tek başına ayakta duramaz

Bu karşılaştırmadaki en önemli gerçek budur ve hızlı bir web aramasında en sık gözden kaçan noktadır. ISO 27701'e tek başına belge alamazsınız. Standart, çalışan bir BGYS'ye eklenen ek ve değiştirilmiş gereklilikler bütünü olarak yazılmıştır. Altında bir ISO 27001 temeli olmadan ISO 27701 belgesi diye bir şey yoktur. Uygulamada mahremiyet genişletmesi mevcut güvenlik kapsamınıza eklenir ve denetim ikisini birden kapsar.

Bu bağımlılık, planlamanın çoğunu yanıltan sıralama sorusunu çözer. ISO 27001'i ISO 27701'e karşı tartıp birini seçmezsiniz. Önce BGYS'yi kurar, belgelendirir, sonra onu genişletip genişletmeyeceğinize karar verirsiniz. Sıfırdan başlıyorsanız ve mahremiyetin kapsamda olduğunu daha baştan biliyorsanız, ikisini birlikte kurup tek bir değerlendirmede belgelendirebilirsiniz, ancak yük taşıyan yapı yine de güvenlik sistemidir.

Mahremiyet genişletmesine gerçekte kimin ihtiyacı var

Belge sahibi her kuruluşun ISO 27701'e ihtiyacı yoktur. Kapsamı büyük ölçüde kuruma özel ve operasyonel veriden oluşan, içinde az kişisel veri bulunan bir BGYS, bir PIMS'ten sınırlı ek değer görür. Genişletme, kişisel veri yaptığınız ya da sattığınız işin merkezinde olduğunda yerini hak eder.

• Kişisel veriyi temel faaliyet olarak büyük ölçekte işleyen kuruluşlar: pazarlama platformları, insan kaynakları ve bordro sağlayıcıları, sağlık teknolojisi, finans teknolojisi, reklam teknolojisi.
• Kurumsal müşteriler adına kişisel veri işleyen ve alıcının kendi KVKK ya da GDPR hesap verebilirliğinin sözleşmelerle kendisine aktarıldığı veri işleyenler.
• AB'ye satış yapan ya da AB'deki ilgili kişilerle çalışan ve her ciddi tedarik sürecinde veri işleme incelemesiyle karşılaşan ihracatçılar.
• Hem veri sorumlusu hem veri işleyen rolünde olup bu iki rolü ayırdığını ve belgelediğini göstermesi gereken firmalar.

İşiniz bu tanıma uyuyorsa, mahremiyet genişletmesi mevzuat açısından gönüllü kalsa da ticari açıdan isteğe bağlı olmaktan çıkar. Alıcılar bunu giderek adıyla istiyor ve bir PIMS belgesi, bir mahremiyet soru formunu bir klasör dolusu politikadan çok daha hızlı yanıtlıyor. Dijital bir işletmenin genellikle bir araya getirdiği geniş sistem standartları ailesi için sistem belgelendirme genel bakışımız bunların nasıl birbirine oturduğunu gösterir.

ISO 27701'in sizi yapmaya zorladığı sorumlu ve işleyen ayrımı

İki standart arasındaki en somut pratik fark, bir veri akışındaki rolünüzü nasıl ele aldıklarında ortaya çıkar. ISO 27001, verinin neden toplandığına siz mi karar veriyorsunuz yoksa onu yalnızca bir başkası adına mı saklıyorsunuz, bununla ilgilenmez. ISO 27701 ise bu ayrımı tüm mahremiyet sisteminin omurgası hâline getirir. Gerekliliklerini iki rayda ayırır: işlemenin amaç ve araçlarına karar verdiğiniz veri sorumlusu olduğunuzda geçerli yükümlülükler ve bir müşterinin talimatıyla hareket ettiğiniz veri işleyen olduğunuzda geçerli yükümlülükler. Pek çok firma aynı anda ikisidir, kendi personel ve pazarlama verileri için sorumlu, barındırdığı müşteri verileri için işleyen, ve standart her rolü ayrı ayrı belgelemenizi ister.

Güvenlik odaklı bir belge tam da burada bir tedarik incelemesinde sessizce yetersiz kalır. Kendi hesap verebilirlik programını yürüten kurumsal bir alıcı, hangi veri faaliyetlerinizin sizi sözleşmeleri kapsamında işleyen yaptığını ve buradan hangi güvencelerin doğduğunu bilmek ister. BGYS kapsam beyanı bu bilgiyi içermez. PIMS kapsam beyanı içerir. Bir ISO 27001 sistemini ISO 27701 ile genişlettiğinizde, her bir işleme faaliyeti için kimin sorumlu olduğunu, hangi hukuki dayanağa dayandığını ve verinin ne kadar süre saklandığını yazmaya zorlanırsınız. Çoğu zaman bir alıcının en baştan belgeyi istemesinin asıl nedeni bu tek disiplindir.

İki belge kâğıt üzerinde nasıl katmanlanır

Bir BGYS'yi bir PIMS ile genişlettiğinizde, iki ayrı süreçten iki ayrı belge almazsınız. Güvenlik sistemi için bir ISO 27001 belgeniz olur ve aynı sistemin mahremiyet gerekliliklerini de karşıladığına dair bir ISO 27701 beyanınız bulunur. Belgelendirme kapsamı bir kez tanımlanır ve bir kez değerlendirilir; mahremiyet kontrolleri aynı denetim programının içine katmanlanır. Pratikte bu, boşluk analizinin, iç tetkikin ve Aşama 1 ile Aşama 2 değerlendirmesinin hepsinin ikinci bir proje olarak yürümek yerine mahremiyeti kapsayacak şekilde genişlemesi demektir. ISO 27001 sistem belgelendirme hizmetimiz güvenlik temelini yürütür, mahremiyet genişletmesi de bunun üzerine kapsamlandırılır.

ISO 27701 veri koruma mevzuatıyla nerede buluşur, nerede buluşmaz

ISO 27701, mahremiyet mevzuatıyla eşleştirilebilecek biçimde tasarlandı ve ekleri doğrudan GDPR maddelerine atıf yapıyor. Belgeye sahip olmak, mahremiyete yapılandırılmış ve denetlenmiş bir yaklaşımınız olduğunun güçlü bir kanıtıdır ve hem GDPR hem de KVKK kapsamındaki hesap verebilirlik yükünün büyük bölümünü taşır. Ancak bir belge, hukuki bir uygunluk kararı değildir. Bir denetçi, PIMS'inizin standardı karşıladığını teyit eder. Mevzuata uyup uymadığınıza ise bir düzenleyici karar verir. İkisi büyük ölçüde örtüşür ve belge hukuki durumu kolaylaştırır, yine de aynı araç değildirler.

Türk kuruluşları için pratik okuma şudur: ISO 27701, KVKK yükümlülüklerinin rahatça oturduğu yönetim sistemi iskeletini verir, ama her yükümlülüğün karşılandığını teyit etmek için yine de yerel bir hukuki eşleştirmeye ihtiyacınız vardır. KVKK danışmanlığımız bu eşleştirmeyi yaparak belgeli PIMS ile yasal yükümlülüklerinizin birbirine yalnızca benzemek yerine tam olarak örtüşmesini sağlar.

Zamana ve bütçeye mal olan üç yanlış okuma

İlk yanlış okuma, ISO 27701'i ISO 27001'in daha zengin ya da daha yeni bir alternatifi gibi görmektir. Hiçbir şeyin yerini almaz. Güvenlik belgesini bırakırsanız mahremiyet belgesi de onunla düşer, çünkü mahremiyet gereklilikleri güvenlik temeline göre fark olarak yazılmıştır. İkincisi, genişletmenin 27001 belgeli her firmanın bir haftada alabileceği küçük bir ek olduğunu varsaymaktır. Mahremiyet kontrolleri, güvenlik projesinin hiç dokunmamış olabileceği hukuk, insan kaynakları ve ürün ekiplerine uzanır, ve ciddi bir işleme envanteri hazırlamak gerçek emek ister. Üçüncüsü, belgenin hukuki sorumluluğunuzu bitirdiğine inanmaktır. Bitirmez. Konumunuzu güçlendirir, gerekli özeni gösterir ve denetimleri kısaltır, ancak KVKK ve GDPR'ye uyma yükümlülüğü duvarda hangi belge asılı olursa olsun sizde kalır.

İki standardı doğru okumak, işi nasıl bütçelediğinizi ve görevlendirdiğinizi değiştirir. Bağımlılığı anlayan bir firma BGYS'yi bir kez kurar, kapsamı geniş tutar ve ticari gerekçe geldiğinde mahremiyete genişler; sistemi sonradan yeniden açmaz. İkisini bir menü gibi görense iki kez öder.

Yolunuzu seçmek

Kapsamınız büyük ölçüde kişisel olmayan bilgiden oluşuyorsa ve alıcılarınız size mahremiyet soruları sormuyorsa, tek başına ISO 27001 eksiksiz ve savunulabilir bir konumdur. Kişisel veri ürününüzün merkezindeyse, müşterileriniz kendi hesap verebilirliklerini size aktarıyorsa ya da AB'ye satış yapıyorsanız, mahremiyet genişletmesini en baştan planlayın ve BGYS'yi bir PIMS'i göz önünde tutarak kurun. Her iki durumda da sıra sabittir: güvenlik yönetim sistemi temeldir ve ISO 27701, elinizdeki veri mahremiyeti bir dipnottan çok birinci sınıf bir risk hâline getirdiğinde eklediğiniz mahremiyet katmanıdır.