ISO 27701 nədir və ISO 27001-dən fərqi nədir?
ISO 27701, şəxsi məlumatların məxfiliyini idarə etmək və qorumaq məqsədilə hazırlanmış beynəlxalq standartdır. ISO 27001-in əlavəsi kimi inkişaf etdirilən bu sistem, xüsusilə Şəxsi Məlumatların Qorunması Qanunu (KVKK) və Avropa Ümumi Məlumatların Qorunması Qaydaları (GDPR) kimi qanuni tənzimləmələrə uyğunlaşmaq istəyən təşkilatlar üçün rəhbərdir.
ISO 27001 əsasən informasiya təhlükəsizliyi idarəetmə sistemini müəyyən edir və təşkilatın bütün informasiya aktivlərini qorumağa yönəlib, ISO 27701 isə bu strukturda şəxsi məlumatların emalı və qorunması ilə bağlı xüsusi tələbləri əlavə edir. Bu fərq xüsusilə məlumatları işləyən və məlumat məsuliyyəti daşıyan təşkilatlar üçün kritik əhəmiyyət kəsb edir. ISO 27701 sayəsində həm texniki nəzarətlər, həm də proses tələbləri sistemli şəkildə inteqrasiya olunur.
Tərif
ISO 27701, şəxsi məlumatların emalına yönəlmiş təhlükəsizlik və məxfilik nəzarətlərini əhatə edən, beynəlxalq səviyyədə tanınan idarəetmə sistemi standartıdır.
Şəxsi məlumatların emalının necə sənədləşdirilməsi
Təşkilatların şəxsi məlumatların emalı fəaliyyətlərini sənədləşdirməsi yalnız qanuni tələbləri yerinə yetirməklə kifayətlənmir; həmçinin şəffaflıq, hesabatlılıq və korporativ etibar baxımından böyük üstünlüklər təmin edir. ISO 27701 standartı bu fəaliyyətlərin necə sənədləşdiriləcəyinə dair ətraflı çərçivə təqdim edir. Sənədləşdirmə prosesi toplanan məlumatlar, emal məqsədləri, saxlanma müddəti və paylaşılan tərəflər kimi detalları qeydə almağı əhatə edir.
Effektiv sənəd idarəetməsi üçün şəxsi məlumat inventarı yaradılmalı, emal fəaliyyətləri detallandırılmalı və bu fəaliyyətlər təşkilatın informasiya təhlükəsizliyi siyasətləri ilə inteqrasiya edilməlidir. Bu sənədlər həm daxili, həm də rəsmi auditlərdə şəffaflıq təmin edir. Həmçinin işçilərin məlumat emalı prosedurlarına dair məlumatlılığı artırılır. Sənəd strukturları müntəzəm olaraq yenilənməli və dəyişən qanuni tələblərə uyğunlaşdırılmalıdır.
ISO 27701 ilə KVKK/GDPR uyğunluğu
ISO 27701, təşkilatların KVKK və GDPR kimi şəxsi məlumatların qorunmasına dair qanuni tələblərə uyğunlaşmasında güclü bir vasitə təqdim edir. Bu standart, məlumatları emal edən və məsuliyyət daşıyan təşkilatların əməl etməli olduğu prinsiplərə sistemli bir çərçivə verir. Şəffaflıq, məlumat minimallaşdırılması, məhdud saxlanma müddəti və giriş nəzarətləri kimi çoxlu prinsip ISO 27701 ilə əməliyyat səviyyəsinə gətirilir.
Həm Türkiyədəki KVKK, həm də Avropadakı GDPR tənzimləmələri məlumat sahiblərinin hüquqlarının qorunmasını əsas götürür. ISO 27701 isə bu hüquqların necə tətbiq olunacağını, qeydə alınacağını və davamlı idarə olunacağını müəyyən edir. Beləliklə, şirkətlər yalnız tənzimləmələrə əməl etmir, həm də mümkün inzibati cəzaların qarşısını alır. Standart xüsusilə açıq razılıq idarəsi, məlumatlandırma öhdəlikləri və üçüncü tərəflərlə məlumat paylaşımının nəzarəti üzrə ətraflı rəhbərlik təmin edir.
Qanuni uyğunluğun sənədləşdirilməsi
KVKK və GDPR tələbləri sistemli nəzarətlərlə tətbiq edilir.
Məlumat sahibinin hüquqlarının idarə olunması
Məlumat giriş tələbləri, silmə sorğuları və razılığın geri çəkilməsi qeydə alınır.
Risk əsaslı məlumat təhlükəsizliyi yanaşması
ISO 27701, ənənəvi nəzarət siyahıları əvəzinə risk əsaslı yanaşmanı qəbul edir. Bu yanaşma hər təşkilatın özünəməxsus təhdid mühitinə uyğun elastik tədbirlər görməsini təmin edir. Yəni bütün firmalar üçün vahid təhlükəsizlik protokolu əvəzinə, fəaliyyət sahəsinə, texnoloji infrastruktura, işçi profili və məlumat həcminə görə fərqli tədbirlər müəyyən edilir. Beləliklə, yalnız lazımsız resurs sərfiyyatının qarşısı alınmır, həm də effektiv qorunma təmin olunur.
Risk əsaslı yanaşma, təhdidlərin müəyyən edilməsini, bu təhdidlərin ehtimal və təsirlərinə görə qiymətləndirilməsini, sonra isə bu risklərin azaldılması üçün nəzarət tədbirlərinin hazırlanmasını əhatə edir. Məlumat sızması, icazəsiz giriş və razılıqsız əməliyyat kimi risklər prioritetləşdirilir. Hər risk üçün tədbirlər görülərkən monitorinq, qiymətləndirmə və yaxşılaşdırma dövrü aktiv saxlanılır. Bu struktur yalnız təhlükəsizliyi təmin etmir, həm də sistemin hər zaman güncəl qalmasını mümkün edir.
Qeyd
Risk əsaslı idarəetmə, məlumat təhlükəsizliyi tədbirlərinin ölçülə bilən, yoxlanıla bilən və davamlı inkişaf etdirilə bilən olmasını təmin edir.
ISO 27701 sənədləşdirmə addımları
ISO 27701 sənədləşdirmə prosesi, təşkilatın şəxsi məlumat idarəçiliyi və məxfilik tətbiqlərinin sistemli şəkildə təmin olunduğunu göstərmək məqsədi daşıyır. Bu prosesdə atılan addımlar yalnız texniki tələbləri deyil, həm də təşkilati və hüquqi uyğunluğu əhatə edən kritik mərhələləri özündə birləşdirir. Təşkilatlar bu prosesi yalnız sənəd almaq üçün yox, həm də məlumat məxfiliyini davamlı saxlamaq üçün vasitə kimi qiymətləndirməlidir.
İlk addım mövcud informasiya təhlükəsizliyi idarəetmə sisteminin ISO 27001-ə uyğunluğunun nəzərdən keçirilməsidir. Sonra şəxsi məlumatların emalı prosesləri, məlumat qoruma siyasətləri və hüquqi öhdəliklərə uyğun sənədlər hazırlanır. Daxili nəzarətlər aparılır, çatışmazlıqlar müəyyən edilir və təkmilləşdirmələr tamamlandıqdan sonra xarici audit prosesi başlayır. Audit nəticəsində uyğunluğu təsdiq olunan təşkilatlar ISO 27701 sertifikatını almağa layiq görülür.
- Hazırlıq mərhələsi: Mövcud sistemlərin təhlili və tələb olunan sənədlərin hazırlanması.
- Tətbiq və daxili nəzarət: Siyasət və prosedurların həyata keçirilməsi və daxili auditin aparılması.
- Audit və hesabat: Müstəqil qurum tərəfindən yerində audit və hesabatın təqdim olunması.
KIOSCERT-in ekspert audit prosesi
ISO 27701 çərçivəsində aparılan auditlər yalnız sertifikat almaq üçün deyil, həm də təşkilatın şəxsi məlumat idarəetmə olgunluğunu qiymətləndirmək üçün vacib rol oynayır. KIOSCERT bu prosesdə ətraflı təhlil və sistemli yanaşma ilə təşkilatların həm hüquqi, həm də texniki uyğunluğunu qiymətləndirir. Audit prosesi sənədlərin yoxlanılması, aidiyyəti şəxslərlə müsahibələr və yerində tətbiqlərin müşahidəsini əhatə edir.
Audit mərhələsində məlumat inventarının düzgünlüyü, saxlanma müddətlərinin idarəsi, razılıq proseslərinin işləkliyi və üçüncü tərəflərlə məlumat paylaşımı protokolları diqqətlə yoxlanılır. Nəticələr yalnız çatışmazlıqları deyil, güclü tərəfləri də göstərir. Beləcə, təşkilatlar risklərini görə və bu sahədə güclü praktikalarını sənədləşdirə bilər. KIOSCERT-in ekspert audit yanaşması yalnız uyğunluq yoxlaması deyil, həm də yaxşılaşdırıcı təhlil təqdim etməyi hədəfləyir.
Davamlı təkmilləşdirmə və davamlı məxfilik siyasəti
ISO 27701-in ən əsas prinsiplərindən biri məxfilik idarəetmə sisteminin statik yox, dinamik struktura malik olmasıdır. Bu kontekstdə təşkilatlar yalnız mövcud riskləri idarə etməklə kifayətlənmir, həm də gələcəkdə yarana biləcək təhdidlərə hazır olmalıdırlar. Buna görə də davamlı təkmilləşdirmə yanaşması təşkilatların davamlı məxfilik siyasəti hazırlamasına imkan yaradır.
Davamlı təkmilləşdirmə periodik daxili audilər, işçi rəyləri, hadisə qeydlərinin analizi və qanunvericilik dəyişikliklərinə operativ uyğunlaşma ilə təmin edilir. Hər bir yeniləmə daha effektiv məxfilik idarəçiliyinə yönəldilməlidir. Həmçinin işçilərin məxfilik siyasətlərinə uyğunluq səviyyəsi, təlim nəticələri və monitorinq məlumatları müntəzəm qiymətləndirilməlidir. Beləcə, sistem yalnız kağız üzərində deyil, həm də praktikada effektiv fəaliyyət göstərir.
"Məxfilik bir dəfə görüləcək tədbir deyil, davamlı inkişaf etdirilən bir mədəniyyətdir."