ISO 27001 & 27701 KVK/GDPR Xəritələmə Bələdçisi

Varlıq inventarı və məlumat kateqoriyaları

ISO 27001 və ISO 27701 uyğunluğunun əsası varlıq inventarının dəqiq hazırlanmasıdır. Buraya yalnız texniki varlıqlar (serverlər, tətbiqlər, şəbəkə avadanlıqları) deyil, həm də məlumat varlıqları daxil edilir. KVKK və GDPR uyğunluğunda fərdi məlumatların kateqoriyalara bölünməsi əsasdır.

Məlumat kateqoriyalarının təsnifatı

• Adi fərdi məlumatlar: Ad, soyad, ünvan, e-poçt.
• Xüsusi kateqoriyalar: Sağlamlıq məlumatları, biometrik məlumatlar, dini inanclar.
• Texniki məlumatlar: IP ünvanları, log qeydləri, cihaz identifikatorları.

İnteqrasiya

ISO 27001 varlıq inventarı ilə ISO 27701 məlumat emalı reyestrlərinin birləşdirilməsi lazımdır. Bu cədvəl hər bir aktivin həm təhlükəsizlik, həm də məxfilik baxımından izlənməsini təmin edir.

Risk metodologiyası və nəzarət seçimi

ISO 27001 çərçivəsində risklərin müəyyən edilməsi və idarəsi vacibdir. ISO 27701 isə bu yanaşmanı məxfilik riskləri ilə genişləndirir. KVKK və GDPR isə “məxfilik təsir qiymətləndirilməsi” (DPIA) tələb edir.

Risk qiymətləndirmə addımları

• Təhdidlərin müəyyən edilməsi: Məlumat sızması, icazəsiz giriş, məlumatın silinməsi.
• Təsir dərəcəsi: Yüksək, orta, aşağı təsir.
• Ehtimal: Təkrar baş vermə ehtimalı.
• Risk dəyəri: Təsir × Ehtimal.

Nəzarət seçimi

ISO 27001 əlavəsində göstərilən nəzarətlərin (Annex A) və ISO 27701-in əlavə məxfilik nəzarətlərinin uyğun risklərə tətbiqi. KVKK/GDPR maddələri ilə uyğunluq qurulmalıdır.

PIMS tələblərinin əlavə edilməsi

ISO 27701, ISO 27001-in genişləndirilməsi olaraq Privacy Information Management System (PIMS) tələblərini təqdim edir. Bu, məlumatların məxfilik baxımından idarəsini təmin edir.

PIMS əsas komponentləri

• Məlumat sahibinin hüquqları: Əlaqə saxlamaq, düzəliş, silmə tələblərinin idarəsi.
• Emalın qanuniliyi: Hüquqi əsasların sənədləşdirilməsi (razılıq, müqavilə, qanuni öhdəlik).
• Şəffaflıq: Məxfilik bildirişlərinin hazırlanması və dərc olunması.
• Üçüncü tərəflərlə əməkdaşlıq: Müqavilələrdə məxfilik öhdəliklərinin yer alması.

KVKK/GDPR ilə xəritələndirmə

ISO 27701 PIMS tələbləri ilə GDPR maddələri arasında paralellər qurularaq uyğunluq təmin edilir. KVKK da oxşar prinsipləri tələb edir.

Təchizatçı/SaaS müqavilə maddələri

ISO 27001 və 27701 uyğunluğu yalnız daxili proseslərdə deyil, həm də təchizatçılar və SaaS xidmətləri

Mütləq müqavilə maddələri

• Məlumatın emalı şərtləri: Emal yalnız yazılı təlimat əsasında aparılmalıdır.
• Sub-prosessorların istifadəsi: Müştərinin əvvəlcədən razılığı tələb olunur.
• Təhlükəsizlik tədbirləri: ISO 27001 Annex A nəzarətlərinə uyğun tədbirlərin təmin edilməsi.
• Məlumatların saxlanma müddəti və silinməsi: Müqavilə bitdikdə məlumatlar dərhal silinməlidir.
• Audit hüququ: Müştəriyə audit və yoxlama aparmaq imkanı tanınmalıdır.

Hadisə müdaxiləsi və xəbərdarlıq müddətləri

İnsident idarəetməsi həm ISO 27001-in, həm də GDPR/KVKK-nın kritik tələblərindən biridir. Xüsusilə GDPR-a görə məlumat pozuntuları 72 saat ərzində tənzimləyici orqanlara bildirilməlidir.

Hadisə müdaxiləsi addımları

• Aşkarlanma: SIEM, DLP və ya istifadəçi bildirişləri ilə hadisələrin müəyyən edilməsi.
• Təsnifat: Təhlükəsizlik insidenti, məlumat sızıntısı, daxili səhv.
• Təcili tədbir: Sistemlərin izolə edilməsi, şəbəkənin kəsilməsi, girişlərin bağlanması.
• Bildirilmə: GDPR üçün 72 saat, KVKK üçün isə “ən qısa müddətdə”.

Bildiriş məzmunu

• Hadisənin xarakteri və təsirlənən məlumat kateqoriyaları.
• Təsirlənən subyektlərin sayı.
• Görülən tədbirlər və gələcək risklərin azaldılması planı.

Qeydiyyat və dəlil idarəetməsi

ISO 27001 və 27701 uyğunluğunda sənədləşmə və dəlil idarəetməsi auditorların ilk yoxladığı sahələrdən biridir. Qeydiyyatlar yalnız hüquqi uyğunluq üçün deyil, həm də əməliyyat şəffaflığı üçün vacibdir.

Qeydiyyat tələbləri

• Giriş və çıxış qeydləri: Kim, nə vaxt və hansı məlumatlara daxil olub.
• Hadisə qeydləri: Təhlükəsizlik insidentləri və görülən tədbirlər.
• Müqavilə qeydləri: Təchizatçı ilə imzalanmış müqavilələrin və əlavə öhdəliklərin saxlanması.
• Təlim qeydləri: İşçilərin məlumat təhlükəsizliyi və məxfilik üzrə aldıqları təlimlər.

Dəlil idarəetməsi

Dəlillər dəyişdirilməz formada saxlanmalı, yalnız səlahiyyətli şəxslər tərəfindən idarə edilməlidir. Elektron dəlillər üçün rəqəmsal imza və zaman damğaları istifadə olunmalıdır.

DPO rolu və hesabatlıq

ISO 27701 və GDPR çərçivəsində Data Protection Officer (DPO) müstəqil şəkildə məlumatların emalı fəaliyyətlərinə nəzarət edən əsas fiqurdur. Türkiyədə KVKK çərçivəsində DPO təyinatı məcburi deyil, lakin böyük müəssisələr üçün yaxşı təcrübə hesab olunur.

DPO vəzifələri

• GDPR və KVKK uyğunluğuna nəzarət etmək.
• İdarə heyətinə mütəmadi hesabatlar təqdim etmək.
• Məlumat subyektlərinin müraciətlərinə nəzarət etmək.
• Data Protection Impact Assessment (DPIA) proseslərini nəzərdən keçirmək.
• Tənzimləyici orqanlarla əlaqə qurmaq.

Hesabat prosesi

• Aylıq: Subyekt müraciətləri, insident hesabatları, təlim göstəriciləri.
• Rüblük: Risk və nəzarət vəziyyəti, DPIA nəticələri, təchizatçı auditləri.
• İllik: Ümumi uyğunluq hesabatı və idarəetmə baxışı.

Audit izləri: log tələbləri

Audit izləri uyğunluğun sübutu üçün əsas elementdir. ISO 27001 və ISO 27701 birlikdə həm təhlükəsizlik, həm də məxfilik üçün log idarəçiliyini tələb edir.

Məcburi log növləri

• Giriş logları: Kim daxil olub, nə vaxt və hansı məlumatlara baxıb.
• İcazə logları: Rol dəyişiklikləri və səlahiyyət idarəsi.
• Sistem hadisələri: Serverin yenidən işə salınması, təhlükəsizlik yamaları.
• İnsident aşkarlama logları: IDS/IPS, DLP və SIEM çıxışları.

Log idarəetmə prinsipləri

• Loglar dəyişdirilməz formada saxlanmalıdır (WORM və ya rəqəmsal imza ilə).
• Mərkəzləşdirilmiş idarə üçün SIEM sistemlərindən istifadə olunmalıdır.
• Şəxsi məlumatlar loglarda maskalanmalı və ya anonimləşdirilməlidir.
• Loglar ən azı 2–3 il saxlanmalıdır.

Fərq analizi şablonu

Fərq analizi təşkilata hazırkı vəziyyəti ISO 27001 & 27701 və GDPR/KVKK tələbləri ilə müqayisə etməyə, boşluqları müəyyənləşdirməyə və fəaliyyət planı hazırlamağa imkan verir.

Fərq analizi addımları

• Mövcud vəziyyətin müəyyənləşdirilməsi: Siyasətlər, prosedurlar, nəzarətlər.
• Tələblərin uyğunlaşdırılması: ISO 27001 və ISO 27701 nəzarətləri.
• GDPR/KVKK ilə əlaqələndirmə: Müvafiq maddələrin müəyyən edilməsi.
• Uyğunluq qiymətləndirilməsi: Tətbiq olunub, qismən, tətbiq olunmayıb.
• Fəaliyyət planı: Cavabdehlər və zaman planı.

Cədvəl ilə sənədləşmə

Təlim və fərqindəlik kampaniyası

ISO 27001 & 27701 uyğunluğunun davamlılığı yalnız texniki nəzarətlərlə deyil, həm də insan faktorunun gücləndirilməsi ilə mümkündür. Buna görə təlim proqramları və fərqindəlik kampaniyaları məlumatların qorunması mədəniyyətinin formalaşmasında əsas rol oynayır.

Təlim proqramı

• Məcburi başlanğıc təlimi: Yeni işçilərə GDPR/KVKK prinsipləri və informasiya təhlükəsizliyi mövzularında giriş təlimi.
• İllik yeniləmə: Qanuni dəyişikliklər, yeni risklər və yenilənmiş siyasətlərin nəzərdən keçirilməsi.
• Rol əsaslı təlim: DPO, IT, hüquq və əməliyyat komandaları üçün fərqli modullar.
• Praktik ssenarilər: Phishing testləri, insident müdaxiləsi məşqləri, məlumat sızıntısı simulyasiyaları.

Fərqindəlik kampaniyaları

Təlimlər yalnız formal sessiyalarla məhdudlaşmamalıdır, gündəlik iş fəaliyyətlərinə də inteqrasiya edilməlidir:

• Daxili bülletenlər və qısa məlumat vərəqləri.
• Poster və ekran panellərində məlumatlandırıcı mesajlar.
• Qısa videolar və interaktiv yarışmalar.
• “Məlumatların qorunması həftəsi” kimi xüsusi tədbirlər.

Ölçmə və monitorinq

Təlimlərin effektivliyi KPI-larla ölçülməlidir. Məsələn:

• Təlimlərdə iştirak faizləri.
• Bilik yoxlama testlərinin nəticələri.
• Phishing testlərində uğurlu cavab dərəcələri.

Auditorlar bu göstəricilərin uyğunluq hesabatlarında təqdim olunmasını gözləyirlər.