Veri Güvenliği & ISO Standartları • 2025
Veri Güvenliği Yönetim Sistemi (VGYS) Nasıl Kurulur?
Veri Güvenliği Yönetim Sistemi (VGYS), kurumların bilgi varlıklarını koruma, erişim güvenliğini sağlama ve kişisel verilerin işlenme süreçlerini standart hale getirme sürecidir. ISO 27001 ve ISO 27701 standartlarına dayanan bu yapı, sadece teknik değil aynı zamanda yönetsel bir sistem yaklaşımıdır.
1. VGYS’nin Temel Dayanakları: ISO 27001 & ISO 27701
Bu iki standart, bilgi güvenliği ve gizlilik yönetimi için uluslararası kabul görmüş çerçeveleri oluşturur:
| Standart | Odak Noktası | Uygulama Alanı |
|---|---|---|
| ISO 27001 | Bilgi güvenliği yönetimi | Sistem, erişim, şifreleme, loglama |
| ISO 27701 | Gizlilik ve kişisel veri yönetimi | KVKK, GDPR ve veri koruma süreçleri |
“ISO 27001 güvenliği inşa eder, ISO 27701 gizliliği yönetir.”
2. Adım Adım VGYS Kurulum Süreci
- Varlık Envanteri Oluşturma: Tüm dijital ve fiziksel bilgi varlıklarını listeleyin (sunucular, bulut hizmetleri, sözleşmeler vb.).
- Risk Değerlendirmesi: Her varlık için gizlilik, bütünlük, erişilebilirlik risklerini analiz edin.
- Politika ve Prosedürler: Şifre politikası, veri paylaşım protokolü, erişim yetkilendirme dokümanlarını hazırlayın.
- Erişim Kontrolü: Role-based access (RBAC) sistemi kurun. Her kullanıcının yalnızca kendi yetkisine erişimi olmalı.
- Loglama ve İzleme: Sistem erişimleri, veri aktarımları ve yönetici hareketleri günlük olarak kaydedilmeli.
- Sızma Testi Döngüsü: Yılda en az 2 defa penetration test uygulanmalı, sonuçlar raporlanmalı.
- İhlal Yönetimi: Veri ihlali bildirim prosedürü (72 saat kuralı) hazırlanmalı.
- Fiziksel Güvenlik: Sunucu odaları, arşiv alanları ve cihaz erişimleri kontrollü olmalı.
- Eğitim: Tüm personel, yılda en az bir defa bilgi güvenliği farkındalık eğitimi almalı.
- Denetim: İç tetkikler ve yönetim gözden geçirme toplantıları ile sürekli iyileştirme sağlanmalıdır.
3. Kurumsal “Data Protection Board” Kurulumu
Kurumsal veri güvenliği sürdürülebilirliği için bir Data Protection Board (Veri Koruma Kurulu) oluşturulmalıdır. Bu kurulun amacı, güvenlik kararlarını yönetim düzeyinde almak ve düzenli denetimi sağlamaktır.
- Başkan: Bilgi Güvenliği Yöneticisi (CISO veya IT Direktörü)
- Üyeler: Hukuk, İnsan Kaynakları, Operasyon, Pazarlama ve Veri Sorumlusu temsilcileri
- Görevler:
- Yıllık güvenlik stratejisini belirlemek,
- Risk analiz raporlarını incelemek,
- İhlal ve log kayıtlarını denetlemek,
- İç ve dış denetim sonuçlarını onaylamak,
- Yeni teknolojilerin güvenlik etkisini değerlendirmek.
“Veri güvenliği bir IT konusu değil, bir yönetim sorumluluğudur.”
4. B10 Digital Agency Önerisi: “Entegre VGYS Yaklaşımı”
B10, kurumlara özel VGYS yapılandırmasında üç katmanlı bir yaklaşım benimser:
- Teknik Katman: ISO 27001 altyapısı + sızma testleri + log izleme sistemleri
- Yönetsel Katman: Veri koruma politikaları, görev tanımları, onay döngüleri
- Uyum Katmanı: KVKK ve GDPR entegrasyonu, veri aktarım kayıtları, DPA sözleşmeleri
VGYS kurulumuna hazır mısınız?
B10 Digital Agency, ISO 27001 & 27701 standartlarına uygun VGYS yapılandırması, log yönetimi, erişim politikaları ve sızma testi danışmanlığı sağlar.
