ISO 27001, kurumlarda bilgi güvenliği için en temel altlığı barındıran önemli bir yapıdır. Türkiye’de kısa bir süre önce zorunlu olarak uygulanmaya başlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), işletmelerin iş yapış şekillerinde ciddi değişiklikleri getiren önemli bir kanundur. Aslında genel bilgi güvenliği çerçevesi ISO 27001 ile çizilmiş olan bir işletmenin, KVKK uyumluluğunu bu çerçevenin içine yedirmesi; taş dolu kabın içerisindeki boşlukları ince kum veya su doldurmak gibi olacağı söylenebilir.
İşletmelerin sadece KVKK uyumluluğu için temel fonksiyonları ve politikaları tamamlıyor olması ve ISO 27001 Bilgi Güvenliği Standardını görmezden gelmesi, sürdürülebilir güvenli bir modelin kurulmasının önündeki en büyük engel olabilir. Dolayısıyla işletmelerin ISO 27001 ile 6698 sayılı Kişisel Verilerin Korunması Kanununu birbirine harmanlaması ve işletmelerinde işletmesi gerekir.
Veri işleme esnasında kullanılacak verilerin ne şekilde ve hangi amaçla kullanılacağı KVKK ile ilgili kişiye/kişilere aydınlatılmalıdır. Yine aynı şekilde bu verilerin farklı amaçlar içinde kullanılması durumunda bu aydınlatma yükümlülüğün tekrarlanması gerekir. Bu yaklaşım ile ISO 27001 Bilgi güvenliğinin genişletilmesi ve ilgili üçüncü partilerinde dahil edilmesi gerçekleştirilmiş olmaktadır.
0 yorum