دليل مواءمة ISO 27001 & 27701 مع قوانين KVK/GDPR

  • Home
  • دليل مواءمة ISO 27001 & 27701 مع قوانين KVK/GDPR
dün - 10/17/2025 4:28:45 PM15 dakika okuma
iso 27001 27701 kvkgdpr

جرد الأصول وفئات البيانات

يُعتبر جرد الأصول وفئات البيانات الخطوة الأولى في ربط ISO 27001 مع ISO 27701 ومواءمتهما مع قوانين KVK/GDPR. يتيح هذا الجرد فهمًا شاملاً لأنواع البيانات الشخصية والأنظمة التي تتم معالجتها فيها.

خطوات جرد الأصول

  • تحديد الأصول: الخوادم، قواعد البيانات، تطبيقات SaaS، الأجهزة المحمولة.
  • تحديد أصحاب الأصول: من هو المسؤول عن كل أصل (قسم تكنولوجيا المعلومات، الموارد البشرية، التسويق).
  • تقييم التصنيف: تصنيف الأصول حسب حساسيتها (سري، داخلي، عام).

تصنيف فئات البيانات

يجب أن يشمل الجرد جميع فئات البيانات:

  • بيانات الهوية (الاسم، رقم الهوية، جواز السفر).
  • بيانات الاتصال (الهاتف، البريد الإلكتروني، العنوان).
  • البيانات الحساسة (الصحة، الدين، البيانات البيومترية).
  • البيانات المالية (البطاقات المصرفية، الحسابات).

ملاحظة مهمة

الجرد غير الكامل لفئات البيانات يؤدي غالبًا إلى ثغرات كبيرة في الامتثال.

منهجية المخاطر واختيار الضوابط

تُعتبر إدارة المخاطر الركيزة الأساسية في ISO 27001 وتُكملها متطلبات الخصوصية في ISO 27701. الهدف هو ربط فئات البيانات بالأصول وتحديد المخاطر المحتملة واختيار الضوابط المناسبة وفقًا لمعايير KVK/GDPR.

خطوات منهجية المخاطر

  • تحديد التهديدات: الوصول غير المصرح به، فقدان البيانات، التلاعب.
  • تحديد نقاط الضعف: كلمات مرور ضعيفة، إعدادات غير آمنة، غياب التشفير.
  • تقييم التأثير: مدى تأثير فقدان أو تسريب البيانات على الأفراد والشركة.
  • تقدير الاحتمالية: احتمالية حدوث التهديد وفقًا للتاريخ والبيئة.

اختيار الضوابط

يتم اختيار الضوابط استنادًا إلى مصفوفة المخاطر:

  • ISO 27001 الملحق A (الضوابط التقنية والإدارية).
  • ISO 27701 (ضوابط معالجة البيانات الشخصية).
  • مواد KVK/GDPR ذات الصلة (مثل م.32 من GDPR الخاصة بالأمن).

مفتاح

ينبغي أن تُوثّق الضوابط المختارة مع المبررات، ويجب أن تكون قابلة للتدقيق لاحقًا.

متطلبات PIMS

يضيف معيار ISO 27701 طبقة إضافية إلى نظام إدارة أمن المعلومات (ISMS) من خلال نظام إدارة معلومات الخصوصية (PIMS). يركز هذا النظام على خصوصية البيانات الشخصية والتزامات المنظمات تجاه أصحاب البيانات.

المتطلبات الأساسية

  • تحديد أدوار المعالجة: مسؤول البيانات (Controller) ومعالج البيانات (Processor).
  • الشفافية: إعلام الأفراد بكيفية جمع بياناتهم واستخدامها.
  • حقوق أصحاب البيانات: الوصول، التصحيح، الحذف، نقل البيانات.
  • إدارة الموافقات: تسجيل ومتابعة الموافقات الممنوحة من أصحاب البيانات.

التكامل مع ISO 27001

يجب ربط متطلبات PIMS مع الضوابط الأمنية لـ ISO 27001. على سبيل المثال: ربط آليات التشفير (27001) مع حماية الخصوصية (27701).

ملاحظة

يضمن PIMS أن الامتثال لا يقتصر على أمن المعلومات فحسب، بل يمتد أيضًا إلى حماية الخصوصية وفقًا لـ KVK/GDPR.

بنود عقود الموردين/خدمات SaaS

عند معالجة البيانات الشخصية من خلال الموردين أو خدمات SaaS، يجب أن تتضمن العقود مزيجًا من ضوابط أمن المعلومات وفقًا لـ ISO 27001 والتزامات معالجة البيانات في ISO 27701. إن عقود معالجة البيانات (DPA) تعد من أهم ركائز الامتثال لـ KVK وGDPR.

البنود الأساسية الإلزامية

  • تعليمات المعالجة: لا يجوز للمعالج معالجة البيانات إلا وفقًا لتعليمات المسؤول عن البيانات.
  • الالتزام بالسرية: تعهد موظفي المعالج بالحفاظ على سرية البيانات.
  • إجراءات الأمان: تطبيق التدابير التقنية والإدارية وفق ISO 27001.
  • استخدام المعالجات الفرعية: يتطلب موافقة خطية مسبقة.
  • الإخطار بالانتهاكات: إبلاغ المسؤول عن البيانات في فترة زمنية محددة.
  • طلبات أصحاب البيانات: تمرير الطلبات فورًا إلى المسؤول عن البيانات.
  • حق التدقيق: السماح بالوصول إلى تقارير التدقيق أو إجراء مراجعة مباشرة.
  • حذف أو إعادة البيانات: عند انتهاء العقد، يجب حذف أو إعادة جميع البيانات.

متطلبات إضافية في خدمات السحابة/SaaS

  • موقع البيانات: يجب تحديد مكان تخزين البيانات (الاتحاد الأوروبي، تركيا، الولايات المتحدة...).
  • النقل عبر الحدود: وفقًا لـ GDPR، يشترط قرار كفاية أو بنود تعاقدية قياسية.
  • التسجيل والمراقبة: تمكين توفير سجلات الوصول للمسؤول.
  • SLA والأداء: تحديد واضح لمستويات الخدمة ومدة الاستجابة.
  • التشفير: تحديد التشفير أثناء النقل وفي حالة السكون.

نقطة حرجة

يجب ألا تبقى بنود العقود حبرًا على ورق؛ بل ينبغي متابعتها وتوثيقها كأدلة أثناء عمليات التدقيق.

الاستجابة للحوادث وفترات الإخطار

الاستجابة الفعالة لحوادث أمن المعلومات وحماية البيانات جزء لا يتجزأ من متطلبات ISO 27001، بينما يحدد ISO 27701 وGDPR/KVK الأطر الزمنية للإبلاغ. إن غياب خطة واضحة يؤدي غالبًا إلى عقوبات جسيمة.

مكونات خطة الاستجابة

  • الكشف: استخدام أنظمة SIEM وIDS للكشف المبكر.
  • التقييم: تحديد نوعية الحادث ونطاقه وتأثيره على البيانات الشخصية.
  • الاحتواء: عزل الأنظمة أو الحسابات المتأثرة.
  • المعالجة: إصلاح الثغرات وتنفيذ إجراءات تصحيحية.
  • التعافي: إعادة الخدمات إلى وضعها الطبيعي.

فترات الإخطار

  • GDPR: يجب إبلاغ السلطة المختصة خلال 72 ساعة من اكتشاف الانتهاك.
  • KVKK: الإبلاغ إلى مؤسسة حماية البيانات التركية في غضون 72 ساعة.
  • إخطار الأفراد: إذا كان الانتهاك عالي الخطورة، يجب إعلام أصحاب البيانات مباشرة.

ملاحظة أساسية

يجب أن تكون خطة الاستجابة مجربة مسبقًا من خلال تمارين محاكاة عملية، وليس فقط وثيقة نظرية.

حفظ السجلات وإدارة الأدلة

يشكل حفظ السجلات وإدارة الأدلة أساس الامتثال والتدقيق في ISO 27001 & 27701، كما أن قوانين GDPR وKVKK تفرض تسجيلًا شفافًا لكل أنشطة المعالجة. يُعد هذا المحور حاسمًا لإثبات الامتثال وللدفاع القانوني في حال وقوع حوادث.

متطلبات حفظ السجلات

  • سجل أنشطة المعالجة: توثيق الأغراض، فئات البيانات، فترات الاحتفاظ، وأطراف النقل.
  • طلبات أصحاب البيانات: حفظ الاستجابات لطلبات الوصول أو الحذف أو التصحيح.
  • إخطارات الانتهاك: الاحتفاظ بنسخ من البلاغات والتواريخ الزمنية.
  • آثار التدقيق: أرشفة سجلات الوصول، محاولات الدخول، أنشطة التحقق.

مبادئ إدارة الأدلة

  • السلامة: ضمان أن الأدلة لم يتم تعديلها.
  • التتبع: توثيق جميع خطوات جمع وحفظ الأدلة.
  • التحكم في الوصول: السماح فقط للموظفين المصرح لهم بالوصول.
  • التحقق: استخدام التجزئة والطوابع الزمنية لضمان النزاهة.

إدارة السجلات (Logs)

تفرض ضوابط ISO 27001 حفظ السجلات، لكن بما أن السجلات قد تحتوي على بيانات شخصية، فيجب التعامل معها بطرق تحافظ على الخصوصية.

  • تجميع مركزي للسجلات عبر SIEM.
  • الاحتفاظ بالسجلات لمدة لا تقل عن 2–3 سنوات.
  • تطبيق تقنيات الإخفاء أو إخفاء الهوية عند الحاجة.
  • مراجعة دورية للسجلات من قبل مسؤول حماية البيانات (DPO).

ملاحظة حرجة

السجلات والأدلة الناقصة قد تضعف الموقف القانوني وتؤدي إلى غرامات باهظة. يجب أن تكون شاملة وموثوقة دائمًا.

دور مسؤول حماية البيانات (DPO) والتقارير

وفقًا لـ ISO 27701 وGDPR، يُعتبر مسؤول حماية البيانات (DPO) نقطة محورية لمراقبة أنشطة معالجة البيانات بشكل مستقل. بينما لا يفرض قانون KVK التركي تعيين DPO بشكل إلزامي، يُعد هذا الدور ممارسة مثالية للمؤسسات الكبيرة.

مسؤوليات DPO

  • مراقبة الامتثال لـ GDPR وKVKK.
  • تقديم تقارير منتظمة للإدارة العليا.
  • الإشراف على إدارة طلبات أصحاب البيانات.
  • مراجعة تقييمات أثر حماية البيانات (DPIA).
  • التواصل مع السلطات الرقابية.

عملية التقارير

  • شهريًا: عدد طلبات أصحاب البيانات، تقارير الانتهاكات، معدلات التدريب.
  • ربع سنوي: حالة المخاطر والضوابط، نتائج DPIA، تقارير تدقيق الموردين.
  • سنويًا: تقرير شامل عن الامتثال لمراجعة الإدارة.

ملاحظة

فعالية DPO تُقاس بمدى أخذ الإدارة تقاريره على محمل الجد وتحويلها إلى تحسينات عملية.

آثار التدقيق: متطلبات السجلات (Logs)

تُعتبر آثار التدقيق دليلاً أساسيًا على الامتثال. تجمع ISO 27001 وISO 27701 بين ضوابط السجلات ومتطلبات حماية البيانات لتوفير شفافية كاملة.

أنواع السجلات الإلزامية

  • سجلات الوصول: من دخل ومتى وإلى أي بيانات.
  • سجلات التفويض: تغييرات الأدوار وإدارة الصلاحيات.
  • سجلات أحداث النظام: إعادة تشغيل الخادم، تحديثات الأمان.
  • سجلات الكشف عن الانتهاكات: مخرجات IDS/IPS وDLP وأنظمة SIEM.

مبادئ إدارة السجلات

  • يجب حفظ السجلات بشكل غير قابل للتغيير (WORM أو التوقيع الرقمي).
  • الاعتماد على أنظمة SIEM للإدارة المركزية.
  • إخفاء أو إخفاء هوية البيانات الشخصية داخل السجلات.
  • الاحتفاظ بالسجلات لفترة لا تقل عن 2–3 سنوات.

ملاحظة حرجة

غياب السجلات أو نقصها قد يُعتبر عدم امتثال جوهري خلال عمليات التدقيق.

قالب تحليل الفجوات

يساعد تحليل الفجوات المؤسسات على مقارنة الوضع الحالي بمتطلبات ISO 27001 & 27701 وGDPR/KVK، وتحديد أوجه القصور ووضع خطط عمل لسدها.

خطوات تحليل الفجوات

  • تحديد الوضع الحالي: السياسات، الإجراءات، الضوابط المطبقة.
  • مطابقة المتطلبات: ضوابط ISO 27001 وISO 27701.
  • ربطها بـ GDPR/KVK: تحديد المواد ذات الصلة.
  • تقييم الامتثال: مُطبّق، جزئيًا، غير مطبّق.
  • خطة العمل: تحديد المسؤولين والجداول الزمنية.

التوثيق في جداول

الضابط/المتطلبمادة KVK/GDPRالوضع الحاليالنقصخطة العمل
A.5.23 خدمات السحابةGDPR م.28جزئيعقد DPA غير محدثمراجعة العقود – الربع الثاني 2025
PIMS 7.4.7 اتفاقيات المعالجKVKK م.12غير مطبّقغياب عقود المعالجات الفرعيةإعداد عقود جديدة

توصية

قم بتحديث تحليل الفجوات مرة واحدة على الأقل سنويًا وربطه بنتائج إدارة المخاطر.

التدريب وحملات التوعية

استدامة الامتثال لـ ISO 27001 & 27701 لا تعتمد فقط على الضوابط التقنية، بل أيضًا على تعزيز العامل البشري. لذلك تُعتبر برامج التدريب وحملات التوعية عنصرًا أساسيًا في بناء ثقافة حماية البيانات.

برنامج التدريب

  • التوجيه الإلزامي: تدريب الموظفين الجدد على مبادئ GDPR/KVKK وأمن المعلومات.
  • التحديث السنوي: مراجعة التغييرات التشريعية والمخاطر الجديدة والسياسات المحدثة.
  • التدريب حسب الدور: وحدات مخصصة لفِرق DPO، تقنية المعلومات، الشؤون القانونية، والعمليات.
  • المحاكاة العملية: اختبارات تصيّد (Phishing)، تمارين الاستجابة للحوادث، سيناريوهات تسرب البيانات.

حملات التوعية

يجب ألا تقتصر التوعية على التدريب الرسمي فقط، بل ينبغي دمجها في الأنشطة اليومية:

  • نشرات بريدية تتضمن نصائح سريعة.
  • ملصقات وشاشات رقمية داخلية.
  • مقاطع فيديو قصيرة ومسابقات تفاعلية.
  • أيام أو أسابيع مخصصة مثل "أسبوع خصوصية البيانات".

القياس والمتابعة

من المهم قياس فعالية برامج التدريب والتوعية. يمكن استخدام مؤشرات الأداء (KPI) مثل:

  • نسب المشاركة في الدورات التدريبية.
  • نتائج اختبارات المعرفة.
  • معدلات الاستجابة في اختبارات التصيّد.

يتوقع المدققون أن تُعرض هذه المؤشرات في تقارير إدارة الامتثال.

ملاحظة نهائية

غياب التوعية يمكن أن يُفشل حتى أقوى الضوابط التقنية. التدريب والحملات المستمرة هما حجر الأساس لثقافة الامتثال.

dün - 10/17/2025 4:28:45 PM
ıso 27001 ıso 27701 اللائحة العامة لحماية البيانات gdpr قانون حماية البيانات kvk حماية البيانات أمن المعلومات نظام إدارة أمن المعلومات pıms دور مسؤول حماية البيانات dpo إدارة السجلات الاستجابة للحوادث إدارة الأدلة تحليل الفجوات سجلات التدقيق التدريب والتوعية

Please Wait