ISO 27701 NEDİR VE NEDEN İHTİYACIMIZ VARDIR?
ISO 27701 Danışmanlığı ile elde edilecek kazanımları anlatmadan önce “ISO 27701 nedir?” sorusunu cevaplayalım:
- ISO/IEC 27001 Standardına bağlı olarak kişisel verilerin korunması için uygulanan sistem, sürekli iyileştirme sağlamak için rehberlik sağlayan bir kılavuzdur.
- ISO 27701 belgesine sahip olduğunuzda; şirketinizin ve verilerinizin uygun şekilde korunup korunmadığına dair bağımsız bir kuruluş tarafından değerlendirildiğiniz, bilgi güvenliğinin en iyi uygulamalarını takip ettiğiniz ve uyguladığınız anlaşılır.
ISO/IEC HAKKINDA
- ISO ve IEC harflerinin ne anlama geldiğini açıklayarak başlayalım. ISO, “International Organization for Standardization” yani “Uluslararası Standardizasyon Teşkilat” anlamına gelir.
- IEC, herhangi bir hükümetten bağımsız olarak çalışan ve kâr amacı gütmeyen bir kuruluş olan “Uluslararası Elektroteknik Komisyonu” anlamına gelir.
ISO 27701 TARİHSEL GELİŞİM
- 16.12.2019 tarihinde TSE tarafından kabul edilmiştir.
ISO 27701 FAYDALARI
ISO 27701 Danışmanlığı Süreci Nasıl İşliyor?
1. Adım - GAP Analizi
Kurumun belirlediği hedef doğrultusunda inceleme yapılarak hedeflenen şartlar ile mevcut durum arasındaki farklar raporlanır ve eksikliklerin giderilmesi için yöntemler ortaya konur. Proje kapsamında hızlı, verimli, hedefe yönelik çalışmayı planlamak ve sonraki adımların maliyetini belirgin şekilde düşürmek amaçlanır.
2. Adım - Kapsam Belirlenmesi
Kuruluş bünyesinde iç ve dış hususların belirlenmesi, Kişisel Veri Yönetim Sistemi (KVYS) ile ilgili tarafların belirlenmesi ve bu ilgili tarafların etkileşiminin belirlenmesi ile birlikte KVYS’nin kapsamının tam olarak belirlenmesi sağlanır (KVYS’nin kapsamını, kuruluşun tamamını veya kuruluşun bir bölümünü kapsayacak şekilde tanımlamak mümkündür).
3. Adım - KİŞİSEL VERİ YÖNETİM SİSTEMİ EKİBİNİN BELİRLENMESİ
Kuruluş bünyesinde Kişisel Veri Yönetim Sistemi (KVYS) proje ekibi ve sorumlulukları belirlenir (Bu aşamada, yönetiminizi temsil edecek ve Kişisel Veri Yönetim Sistemini koordine edecek kişilerin ataması yapılarak çalışanlara duyurulacaktır).
4. Adım - Proje Planının Oluşturulması
Kişisel Veri Yönetim Sistemi Ekibi ile bir Gantt proje planı hazırlanır (Bir projenin başarılı bir şekilde sonuçlanabilmesi için planlı bir yönetim gereklidir. Projede görev alanlar arasındaki bağların kurulması, iş paketlerinin detaylı bir şekilde tanımlanması ve süreç takibinin yapılması gerekmektedir).
5. Adım - Eğitimlerin Planlanması
Kişisel Veri Yönetim Sistemi (KVYS) için temel eğitimlerin verilmesinden oluşur (Eğitimlerin içeriği hedef kitleleri ile uyumlu olacaktır. Temel eğitimlerin amacı, “Ne?” ve “Nasıl?” sorularına cevap kapasitesinin geliştirilmesi olacaktır). Kuruluş içerisinde tüm çalışanlar ve gerektiği durumda üçüncü taraflara da Kişisel Veri Yönetim Sistemi farkındalık eğitiminin verilmesi sağlanır.
6. Adım - Risk Değerlendirme
Kapsam dahilindeki birimlerle risk değerlendirme metodolojisinin oluşturulması ve risk değerlendirme işlemlerinin gerçekleştirilmesi sağlanır. Hedefler ve fırsatlar tanımlanır.
7. Adım - Dokümantasyon ve Uygulama
ISO/IEC 27701:2019 Kişisel Veri Yönetim Sistemi içerisinde standardın gerektirdiği yazılı bilgilerin oluşturulmasında destek rolü oynayacak dokümantasyonun hazırlanmasında danışman önderliğinde birebir çalışma yapılır ve hazırlanan dokümanların kurum içinde yayımlanmasıyla uygulama aşamasına geçilir.
8. Adım - İÇ DENETİM VE YÖNETİMİN GÖZDEN GEÇİRMESİ
Proje planında belirtilen tarihlerde Baş Denetçi Sertifikasına sahip personelimiz ile planlı iç tetkikler (denetimler) gerçekleştirilecek ve uygulamada karşılaşılan bulgular raporlanacaktır. İç denetim akabinde ISO/IEC 27701:2019 Danışmanlık sürecinin son adımı olan standardın “Yönetim Gözden Geçirme (YGG)” maddesinde bulunan gereksinimler danışmanlığın başından sonuna gerçekleştirilen tüm aksiyonlar ve çalışmalar bir sunum haline getirilerek Üst Yönetim ile birlikte toplantı yapılarak gözden geçirilmesi sağlanır.
9. Adım - Belgelendirme Denetimi
ISO 27701:2019 Kişisel Veri Yönetim Sisteminin belgelendirilmesi için belgelendirme firmasının seçilmesi konusunda önerilerimizi firmaya sunuyoruz. Denetim sırasında sizlere eşlik ediyoruz.