Kişisel Verilerin Korunması Kanununa (KVKK) Uyum Danışmanlığı
6698 Sayılı KVK Kanunu kapsamında veri sorumlularına yönelik belirlenmiş olan İdari ve Teknik Tedbirler başlığı altında sayılan yükümlülüklerin karşılanması amacına yönelik olarak ; Veri Sorumlusu Tarafından Alınması Gereken İdari Tedbirler Kapsamında:
Veri Sorumlusu Tarafından Alınması Gereken İdari Tedbirler Kapsamında:
Kişisel Veri İşleme Envanteri Hazırlanması
Kurumsal Politikalar ( Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
Sözleşmeler ( Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri işleyen arasında)
Gizlilik Taahütnameleri
Kurum İçi Periyodik ve/veya Rastgele Denetimler
Risk Analizleri
İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
Kurumsal İletişim ( Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi)
Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
Veri Sorumlusu Sicil Bilgi Sistemine ( VERBİS) Bildirim
Veri Sorumlusu Tarafından Alınması Gereken Teknik Tedbirler Kapsamında:
Yetki Matrisi
Yetki Kontrol
İç Erişim Logları
Kullanıcı Hesap Yönetimi
Ağ Güvenliği
Uygulama Güvenliği
Şifreleme
Sızma Testi
Saldırı, Tespit ve Önleme Sistemleri
Log Kayıtları
Veri Maskeleme
Veri Kaybı Önleme Yazılımları
Yedekleme
Güvenlik Duvarları
Güncel Antivirüs Sistemleri
Silme, Yok Etme ve Anonim Hale Getirme
Anahtar Yönetimi
Yükümlülüklerinin yerine getirilmesine yönelik olarak destek sunulmaktadır.
DANIŞMANLIK HİZMETLERİMİZİN KAPSAMI
1.Başlıkta nispi çalışmalar yapılmış olmakla birlikte eksiklikler ve yapılan çalışmaların yeterliliğinin değerlendirilmesine yöneliktir.
2. Başlıkta ise kanuna tam uyum kapsamında verilen tüm hizmetler sayılmıştır.
3. Başlıkta ise yapılan çalışmalar sonunda firmaya teslim edilecek olan dokümantasyon sayılmıştır.
1-GAP Analizi ve Durum Tespiti
İşletme Faaliyetlerinin ve Süreç/İş akışlarının Analiz Edilmesi ve bu kapsamda alınan İdari ve Teknik Tedbirlerin Tespiti,
Çalışan, Müşteri, Ziyaretçi ve Tedarikçi Verilerine İlişkin Süreçlerin Analizi (Veri Türleri, İşleme Amaçları, Toplama Kanalları, Hukuksal Nedenler, Yurtiçi ve Yurtdışı Aktarım)
İşletmede bulunan bilgi güvenliği ve kişisel verilerin korunmasına ilişkin politika ve prosedürlerin incelenerek, yeterlilik analizi ve iyileştirme noktalarının belirlenmesi
Tüm sözleşme tiplerinin (Müşteri sözleşmeleri, tedarikçi sözleşmeleri, personel sözleşmeleri vb.) KVKK kapsamında uyum durumunun incelenmesi ve uygunluğunun sağlanması için iyileştirme yapılacakların belirlenmesi.
2-Proje Süreçlerine İlişkin İş Adımları ve Uygulama Desteği
Kişisel veri yönetimine ilişkin kurumsal görevlendirme, iletişim yapısı ve başvuru yönetimine ilişkin organizasyon, görev tanımı ve süreç yönetimi oluşturulacaktır.
Yasal uyumluluk, KVKK ve buna ilişkin ikincil mevzuatın taleplerinin karşılanması ve iş ihtiyaçları doğrultusunda önerilerinde bulunulacaktır,
Şirketin mevcut süreç ve faaliyetleri incelenerek, süreç sahipleriyle birlikte kişisel verilerin tespit edilmesine ve veri envanteri oluşturulmasına yönelik olarak analizler yapılacaktır.
Veri amaçları kategorize edilecek ve süreçlerin süreç ve bilgi güvenliği açısından kanun ile olan uyumluluğu (istisnalar, açık rıza gereksinimi, aktarım süreçleri, saklama süreleri vs.) analiz edilerek, nihayetinde veri envanteri oluşturulacaktır.
Bilgi Teknolojileri alanında kullanılan sistem, uygulama ve bilgi güvenliği risklerinin özdeğerlemesi yapılacaktır.
“Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” e uygun şekilde Aydınlatma ve Açık Rıza metinleri oluşturulacaktır. (Çalışan, Çalışan Adayı, Ziyaretçi, Müşteri, Tedarikçi vs. için ayrı ayrı)
Bilgi Güvenliği kapsamında sözleşmeler gözden geçirilecek ve Gizlilik Taahhütnameleri oluşturulacaktır. (Personel, Tedarikçi, Müşteri vs.)
Kişisel Verilerin Koruma Kurumunun yayınlamış olduğu Kişisel Veri Güvenliği Rehberindeki idari tedbirleri karşılayacak şekilde şirket için Kişisel Verilerin İşlenmesi ve Korunması Politikası, Veri Saklama ve İmha Politikası, Özel Nitelikli Kişisel Verilere İlişkin Önlem Politikaları, Bilgi Güvenliği Politikaları ve prosedürler oluşturulacaktır.
Şirket çalışanlarına KVKK Farkındalık Eğitimi verilecektir.
İdari tedbirler başlığında sayılan Risk Analizi ve Denetim Raporu hazırlanacaktır. (Tespit edilen hususların iyileştirilmesi amacıyla önceliklendirme ve yol haritası hazırlanacaktır.)
Teknik tedbirler kapsamında şirketin yapması gereken çalışmalara ilişkin öneriler paylaşılacak, 27001 Bilgi Güvenliği örnek dokümanları paylaşılacaktır.
Hazırlanan Veri Envanterinin VERBİS’e kaydı şirket ile birlikte yapılacaktır. (25 milyon aktif ya da 50 çalışan sayısının altında olan firmalar hariç)
3-Proje Kapsamında Hazırlanan Dokumanlar
Açık rıza metinleri
Aydınlatma Metinleri
Kurumsal Politikalar
Gizlilik Taahhutnameleri
Eğitim Dokumanları
Veri Envanteri
Veri Sorumluları Sicil Kayıt Formları
Denetim Raporu
Risk Analizi
Talep, Şikayet, İhlal Yönetim ve Görev Tanımları
Sunmuş olduğumuz hizmetler 6698 Sayılı Kanunun emrettiği tüm başlıkları karşılayacak kapsamdadır.
Aynı zamanda sunduğumuz hizmet ISO 27001 ve Kişisel Verilerin Korunması Kanunu (KVKK) İlişkisi ve Uygulamalarının tamamını içerkmekte olup, sertifikalandırılacaktır.
İSO 27001 sertifaka kapsamında KVKK danışmanlığı uzmanlığımızdan faydalanmak için tıklayınız. ( iletişim)
İSO 27001 Nedir? ( alt başlık yada tıklayınca gelen bir sekme olmalı)
ISO 27001 ve Bilgi Güvenliği Yönetim Sistemi
ISO 27001, bilgi güvenliği yönetim sistemi (BGYS) için uluslararası bir standarttır. Bu standart, bir kuruluşun bilgi varlıklarını korumak, riskleri yönetmek ve bilgi güvenliği süreçlerini etkin bir şekilde yönetmek için gereken gereksinimleri belirler. ISO 27001, kuruluşların bilgi güvenliği politikalarını oluşturmasına, risk değerlendirmesi yapmasına, güvenlik kontrollerini uygulamasına ve sürekli iyileştirme sağlamasına yardımcı olur.
Bir kuruluş ISO 27001’i uyguladığında, bilgi güvenliği yönetim sistemi oluşturur ve bu sistem, bilgi varlıklarının gizlilik, bütünlük ve erişilebilirliğini sağlamak için tasarlanmıştır. ISO 27001, kuruluşların bilgi güvenliği risklerini belirlemesine ve bu riskleri yönetmesine yardımcı olan bir çerçeve sunar.
ISO 27001 standartı, bir kuruluşun bilgi güvenliği süreçlerini etkin bir şekilde yönetmesine yardımcı olurken aynı zamanda birçok avantaj da sunar. Bu avantajlardan biri, kuruluşun müşterilerine ve iş ortaklarına güven vermesidir. ISO 27001 sertifikasına sahip bir kuruluş, bilgi güvenliği konusunda belirli bir standardı karşıladığını gösterir ve bu da müşteriler ve iş ortakları tarafından takdir edilir.
Ayrıca, ISO 27001 standartı, kuruluşların yasal ve düzenleyici gerekliliklere uyum sağlamasına yardımcı olur. Bilgi güvenliği, birçok sektörde yasal düzenlemelere tabidir ve ISO 27001 sertifikası, kuruluşların bu gerekliliklere uyum sağladığını kanıtlar. Bu da kuruluşun itibarını artırır ve yasal sorumluluklarını yerine getirmesine yardımcı olur.
ISO 27001’in bir diğer önemli faydası, kuruluşların riskleri yönetme yeteneklerini geliştirmesidir. Standart, kuruluşlara risk değerlendirmesi yapma ve riskleri etkin bir şekilde yönetme süreçleri oluşturma konusunda rehberlik eder. Bu da kuruluşun bilgi güvenliği açısından daha proaktif bir yaklaşım benimsemesini sağlar ve potansiyel tehditlere karşı daha iyi hazırlıklı olmasını sağlar.
Sonuç olarak, ISO 27001 standartı, bir kuruluşun bilgi güvenliği yönetim sistemini oluşturmasına ve bu sistem üzerinden bilgi varlıklarını korumasına yardımcı olan uluslararası bir standarttır. ISO 27001 sertifikasına sahip olmak, kuruluşun müşterilere ve iş ortaklarına güven vermesini sağlar, yasal ve düzenleyici gerekliliklere uyumu kanıtlar ve risk yönetimi yeteneklerini geliştirir. Bu nedenle, birçok kuruluş ISO 27001’i benimsemekte ve uygulamaktadır.
ISO 27001 standardı, bir kuruluşun bilgi güvenliği yönetim sistemi oluşturmasına yardımcı olurken, KVKK ise kişisel verilerin korunması konusunda spesifik gereklilikler belirler. ISO 27001’in KVKK ile olan ilişkisi, kuruluşların bilgi güvenliği süreçlerini KVKK’nın gerekliliklerini dikkate alarak yönetmelerini sağlar.
Bir kuruluş, ISO 27001’i uygulayarak bilgi güvenliği süreçlerini yönetirken aynı zamanda KVKK’nın da gerekliliklerini yerine getirmelidir. KVKK, kişisel verilerin işlenmesi sırasında alınması gereken önlemleri ve kişisel verilerin güvenli bir şekilde saklanması için gerekli teknik ve organizasyonel tedbirleri belirler.
ISO 27001’in KVKK ile uyumlu bir şekilde uygulanması, kuruluşların kişisel verilerin güvenliğini sağlamak için etkili bir yöntem sunar. Bu standart, bilgi güvenliği risklerini belirlemek, riskleri yönetmek ve bilgi güvenliği süreçlerini sürekli iyileştirmek için bir çerçeve sunar. Bu çerçeve, kuruluşlara KVKK’nın gerekliliklerini yerine getirmek için gerekli olan politika ve prosedürleri oluşturma ve uygulama konusunda rehberlik eder.
Bu sayede, kuruluşlar hem bilgi güvenliği süreçlerini etkin bir şekilde yönetirken hem de KVKK’nın gerekliliklerini yerine getirerek kişisel verilerin korunmasını sağlar. ISO 27001’in KVKK ile uyumlu bir şekilde uygulanması, kuruluşlara hem yasal gerekliliklere uyum sağlama hem de bilgi güvenliği konusunda en iyi uygulamaları takip etme fırsatı sunar.
ISO 27001 ve KVKK Uygulamaları
ISO 27001’i uygulayan bir kuruluş, bilgi güvenliği yönetim sistemi oluştururken aşağıdaki KVKK gerekliliklerini dikkate almalıdır:
1. Veri Güvenliği
ISO 27001, bir kuruluşun bilgi varlıklarını korumasını sağlar. Bu, kişisel verilerin güvenliğini de içerir. Bir kuruluş, ISO 27001’i uygulayarak kişisel verilerin güvenliğini sağlamak için gerekli olan güvenlik kontrollerini uygulamalıdır. Örneğin, veri şifreleme, yetkilendirme ve erişim kontrolü gibi güvenlik önlemleri alınmalıdır.
2. Risk Değerlendirmesi
ISO 27001, bir kuruluşun bilgi güvenliği risklerini belirlemesini sağlar. Bu, KVKK gerekliliklerini yerine getirmek için önemlidir. Bir kuruluş, kişisel verilerin işlenmesi sırasında ortaya çıkabilecek riskleri belirlemeli ve bu riskleri yönetmek için uygun önlemleri almalıdır. Örneğin, veri kaybı veya yetkisiz erişim gibi risklerin belirlenmesi ve bu risklere karşı koruyucu önlemlerin alınması gerekmektedir.
3. Sürekli İyileştirme
ISO 27001, bir kuruluşun sürekli olarak bilgi güvenliği süreçlerini iyileştirmesini sağlar. Bu, KVKK gerekliliklerine uyumu sağlamak için önemlidir. Bir kuruluş, ISO 27001’i uygulayarak sürekli iyileştirme faaliyetlerini gerçekleştirmeli ve KVKK gerekliliklerine uyum sağlamak için gerekli düzeltici ve önleyici önlemleri almalıdır.
ISO 27001’in KVKK ile ilişkisi, bir kuruluşun bilgi güvenliği yönetim sistemi oluştururken KVKK’nın gerekliliklerini dikkate almasını sağlar. ISO 27001’i uygulayan bir kuruluş, bilgi güvenliği risklerini belirler, kişisel verilerin güvenliğini sağlar ve sürekli olarak iyileştirme faaliyetleri gerçekleştirirken aynı zamanda KVKK gerekliliklerini de yerine getirmiş olur.
ISO 27001 ve KVKK uygulamaları, bir kuruluşun bilgi güvenliği ve kişisel verilerin korunması konusunda önemli adımlar atmasını sağlar. ISO 27001 standartları, bir kuruluşun bilgi varlıklarını korumak için gerekli olan güvenlik kontrollerini belirlemesine ve uygulamasına yardımcı olur. Bu kontroller arasında, veri şifreleme, yetkilendirme ve erişim kontrolü gibi önlemler yer alır.
Bununla birlikte, ISO 27001’in KVKK ile ilişkisi, kuruluşun kişisel verilerin güvenliğini sağlamak için gereken adımları atmasına yardımcı olur. KVKK, kişisel verilerin işlenmesi sırasında ortaya çıkabilecek risklerin belirlenmesini ve bu risklere karşı uygun önlemlerin alınmasını gerektirir. ISO 27001’in risk değerlendirmesi süreci, kuruluşun KVKK gerekliliklerini yerine getirmesine yardımcı olur.
Ayrıca, ISO 27001’in sürekli iyileştirme prensipleri, bir kuruluşun bilgi güvenliği süreçlerini sürekli olarak gözden geçirmesini ve iyileştirmesini sağlar. Bu da KVKK gerekliliklerine uyumu sağlamak için önemlidir. Kuruluş, ISO 27001’i uygulayarak sürekli iyileştirme faaliyetlerini gerçekleştirir ve KVKK gerekliliklerine uyum sağlamak için gerekli düzeltici ve önleyici önlemleri alır.
ISO 27001 ve KVKK uygulamaları, bir kuruluşun bilgi güvenliği yönetim sistemi oluştururken KVKK gerekliliklerini dikkate almasını sağlar. Bu sayede kuruluş, bilgi güvenliği risklerini belirler, kişisel verilerin güvenliğini sağlar ve sürekli olarak iyileştirme faaliyetleri gerçekleştirirken aynı zamanda KVKK gerekliliklerini de yerine getirmiş olur.