ISO 27001 & 27701 KVK/GDPR Haritalama Rehberi

ISO 27001 & ISO 27701 ile KVK/GDPR Haritalama Rehberi — Amaç, Kapsam ve Yaklaşım

Bu rehber, https://kioscert.com için hazırlanmış, işletmelerin ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) ile ISO/IEC 27701 Gizlilik Bilgi Yönetim Sistemi (PIMS) standartlarını; KVKK (6698) ve GDPR yükümlülükleriyle sistematik biçimde eşleştirmesine yardımcı olan pratik, denetime hazır bir kılavuzdur. Hedef; “uyum belgeleri” üretmekten çok, risk temelli, sürdürülebilir ve ölçülebilir bir yönetim sistemini kalıcılaştırmaktır.

Yaklaşımımız üç eksenlidir: (1) Varlık–Veri Kapsamını doğru tanımlamak ve sınıflandırmak, (2) Risk Metodolojisi ile tedbir seçiminde bağlamı göstermek (ISO 27001 Ek A/ISO 27002 kontrolleri + PIMS ek gereksinimleri), (3) Kanıt Yönetimi ve Denetim İzleri ile uyumu ispatlamak. Böylece mevzuat maddeleriyle tek tek evrak eşlemeye değil, işletme süreçlerine entegre bir yönetişime odaklanırız.

Rehber boyunca sırasıyla; varlık envanteri ve veri kategorileri, risk değerlendirmesi ve kontrol seçimi, PIMS gereksinimlerinin entegrasyonu, tedarikçi/SaaS sözleşme maddeleri, olay müdahalesi ve ihbar süreleri, kayıt tutma–delil yönetimi, DPO rolü ve raporlama, log gereksinimleri (denetim izleri), fark analiz şablonu ve eğitim–farkındalık kampanyası konularını ele alacağız. Her bölümde uygulanabilir örnekler, ölçülebilir çıktılar ve denetim ipuçları yer alacak.

Neden “Haritalama” Yeterli Değil, “Eşgüdüm” Gerek?

Yalnızca ISO maddelerini KVKK/GDPR hükümlerine dizinsel olarak bağlamak, denetimde gösterilebilir olmayı garanti etmez. Eşgüdüm; işlem faaliyetleri (KVKK/GDPR m.30), risk iştahı, kontrol yeterliliği (ISO/IEC 27002), rol ve sorumluluklar (PIMS 5–8) ve kanıt yaşam döngüsünü birlikte ele alır. Bu rehber, her gereksinimi bir yönetim objesine (varlık, kayıt, risk, kontrol, kanıt, log, sözleşme maddesi) bağlayarak izlenebilirliği sağlar.

Hızlı Yol Haritası (Bölüm Özeti)

1) Varlık & Veri: Bilgi varlıkları, kişisel veri kategorileri ve özel nitelikli veri ayrımları — envanter, sahiplik, saklama.
2) Risk & Kontrol: Etki–olasılık, hukuki uyum etkisi, kontrol seçimi ve gerekçelendirme — uygunluk delillerine bağlama.
3) PIMS Entegrasyonu: PIMS bağlamı, rol/sorumluluk, amaçla sınırlılık, DPIA ve gizlilik kontrolleri.
4) Tedarikçi & SaaS: İşleyene aktarımlar, DPA ekleri, sınır ötesi aktarım hükümleri ve denetim hakları.
5) Olay & İhbar: Bildirim akış şeması, iç SLA’ler, karar kayıtları ve 72 saat gereksinimi.
6) Kayıt & Kanıt: Retansiyon, imha, değişmezlik (immutability) ve delil zinciri (chain of custody).
7) DPO & Raporlama: Bağımsızlık, yönetim raporlaması ve çıkar çatışması önlemleri.
8) Log & Denetim İzleri: Kim–ne–ne zaman–nereden çerçevesi, zaman damgası ve doğrulama.
9) Fark Analizi: Şablon, olgunluk puanlaması, önceliklendirme ve yol haritası.
10) Eğitim & Farkındalık: Hedef kitleye göre içerik, ölçme–değerlendirme ve kampanya planı.

Terimler ve Kapsam Notu

Bu metinde “KVK” kavramı, Türkiye’nin KVKK’sını ifade eder; “GDPR” Avrupa Birliği Genel Veri Koruma Tüzüğü’dür. “İşleyen/İşletilen” ayrımı sözleşme ve veri akış modellerinde açıkça belirtilecektir. ISO 27001’in 2022 revizyonu ve ISO 27701 çerçevesi esas alınmıştır; yerel sektör düzenlemeleri (bankacılık, sağlık vb.) ayrıca değerlendirilmeli ve kontrol setine eklenmelidir.

Varlık Envanteri ve Veri Kategorileri — Kapsamı Doğru Çizmek

Varlık envanteri, ISO/IEC 27001’in (A.5 Bilgi Güvenliği Politikaları ve A.8 Varlık Yönetimi ile bağlantılı) temel taşıdır; ISO/IEC 27701 kapsamında ise aynı envanter, kişisel veri işleme faaliyetleriyle ilişkilendirilerek PIMS bağlamında genişletilir. KVK/GDPR haritalaması açısından en kritik hata, “bilgi varlığı” ile “kişisel veri kategorisi”nin birbirine karıştırılmasıdır. Bu bölümde, bilgi varlığı → veri kümesi → kişisel veri kategorisi → işleme amacı → hukuki dayanak → saklama süresi şeklinde izlenebilir bir zincir kuruyor, her halkayı sahiplik, sınıflandırma ve kanıt dokümanlarıyla pekiştiriyoruz.

Varlık Envanteri Nedir, Sınırları Nasıl Çizilir?

Varlık; bilgi (doküman, kayıt, veri tabanı), fiziksel (sunucu, cihaz, yedekleme medyası), yazılım (uygulama, API, lisans), servis (SaaS, IaaS, PaaS), insan (kilit roller), süreç (iş akışı) ve itibar/marka gibi maddi–maddi olmayan bileşenleri kapsar. Envanterde her varlık için tekil kimlik (ID), sahip (asset owner), iş değeri, gizlilik–bütünlük–erişilebilirlik (CBA) sınıfı, lokasyon (on-prem, bulut, bölge), bağımlılıklar (diğer varlıklar, tedarikçiler) ve değişiklik geçmişi tutulur. ISO 27001 denetimlerinde eksik bırakılan nokta, varlıkların iş süreçleri ve kayıt türleri ile bağının kanıtlanamamasıdır; bu yüzden her varlık kaydı bir veya birden fazla işleme faaliyetine ve kayıt şemasına referans içerir.

Veri Kümeleri ve Kişisel Veri Kategorileri

Veri kümesi (dataset), belirli bir amaç için işlenen kayıtların mantıksal grubudur (örn. “Aday Başvuru Formu”, “Müşteri Destek Kaydı”, “Ziyaretçi Logları”). Her veri kümesi için şu alanlar standartlaştırılır: işleme amacı, hukuki dayanak (KVKK m.5/6; GDPR m.6/9), veri sorumlusu/işleyen rolü, veri öznesi grubu (çalışan, müşteri, aday, tedarikçi yetkilisi), kişisel veri kategorileri (kimlik, iletişim, finans, işlem güvenliği, konum, sağlık vb.), özel nitelikli veri varlığı, kaynak (özne, üçüncü taraf), alıcılar/aktarılacak taraflar, yurt dışına aktarım ve saklama–imha süreleri. Böylece ISO 27701’in PIMS gereksinimleri ile KVKK/GDPR işleme faaliyetleri kaydı (ROPA) fiilen aynı tablo üzerinde yönetilir.

Veri Sınıflandırma Politikası ile Uyum

Kişisel veriler sınıflandırma politikasındaki güvenlik etiketleriyle (örn. Genel, İç, Gizli, Kısıtlı) eşleştirilir; “özel nitelikli” veriler (sağlık, biyometrik vb.) otomatik olarak en yüksek koruma seviyesine bağlanır. Bu bağ, erişim kontrolleri, şifreleme (at-rest/in-transit), masking/pseudonymization ve loglama derinliği için karar matrisine dönüşür. Böylece denetimde “neden bu kontrolü seçtiniz?” sorusunun cevabı, sınıflandırma–risk–kontrol üçgeniyle kanıtlanır.

Varlık–Veri–Kayıt Örnek Zinciri

Örnek: “Müşteri İletişim Merkezi Uygulaması” (SaaS) varlığı → “Çağrı Kayıtları” veri kümesi → kişisel veri kategorileri: kimlik, iletişim, işlem güvenliği, ses kaydı (özel nitelikli değil) → işleme amaçları: destek ve kalite denetimi → hukuki dayanak: sözleşme ifası/ meşru menfaat → saklama: 3 yıl → alıcılar: telekom sağlayıcı, çağrı kalite analiz hizmeti → kontroller: erişim yetkilendirmesi, şifreleme, DLP, log korelasyonu, imha senaryosu → kanıt: ROPA kayıt ID, saklama-imha tutanağı, erişim logları, tedarikçi DPA eki.

Envanterde Zorunlu Alanlar (Denetim Odaklı)

Her varlık/veri kümesi kaydı asgari şu alanları içerir: tanım, sahip (iş & teknik), yetki matrisi (rol-temelli), veri öznesi grupları, kişisel veri kategorileri, özel nitelikli veri göstergesi, işleme amaçları, hukuki dayanak, saklama süresi, lokasyon ve sınır ötesi aktarım, tedarikçi/işleyen, kontrol referansları (ISO 27002 ve PIMS), risk kayıt ID, kanıt referansları (politikalar, prosedürler, kayıtlar, loglar). Bu yapı, bir sonraki bölümde anlatılacak risk metodolojisi ve kontrol seçiminin veri bağlamına doğrudan oturmasını sağlar.

RACI ve Sahiplik

Envanter sürdürülebilirliği için RACI matrisi netleştirilir: Responsible (envanter veri girişinden sorumlu süreç sahibi), Accountable (onay mercii — genellikle süreç sahibi yönetici veya bilgi varlığı sahibi), Consulted (DPO/ KVKK Komitesi, Bilgi Güvenliği), Informed (iç denetim, BT operasyon). Sahiplik, değişiklik yönetimi ile ilişkilendirilir; varlıktaki her değişiklik, ilgili kayıt türleri ve işleme faaliyetlerine etki analizi tetikler.

ROPA (İşleme Faaliyetleri Kaydı) ile Birleştirme

KVKK/GDPR gereği tutulan işleme faaliyetleri kaydı, PIMS kontrol seti ve ISO varlık envanteriyle tek ekranda/bileşik kayıt yapısında yönetildiğinde; denetimde izlenebilirlik, tutarlılık ve versiyonlama kolaylaşır. İyi uygulama: ROPA satırına varlık ID, risk ID, kontrol ID ve kanıt ID alanları eklenir; böylece “gereklilik → risk → kontrol → kanıt” zinciri tek tıkla görüntülenir.

Yaşam Döngüsü Yönetimi ve Saklama–İmha

Verinin oluşturma–kullanım–paylaşım–arşiv–imha döngüsü envanter seviyesinde işaretlenir. Saklama planları (retention schedule), yasal yükümlülükler ve iş ihtiyacı ile dengelenir; özel nitelikli veriler için en kısa süre prensibi, otomatik imha tetikleyicileri ve kayıtların değişmezlik (immutability) gereksinimleri tanımlanır. İmha kanıtları (log, tutanak, hash) denetim izleriyle bağlanır.

Bulut ve Sınır Ötesi Aktarım Notları

Bulut varlıkları için bölge (region), yedeklilik, alt-işleyenler, veri yerleşimi (data residency) ve aktarımı hukuki dayanak (standart sözleşme maddeleri, yeterlilik kararları vb.) envanter alanlarının bir parçasıdır. SaaS uygulamalarında, konfigürasyon da bir varlıktır; güvenlik ve gizlilik ayarları değişiklik yönetimine tabi tutulur.

Ölçülebilirlik: KPI/KRI Örnekleri

Olgun bir envanter yönetimi, ölçülebilir göstergelerle desteklenir: tamamlanma oranı (%100 varlık kayıtlı), güncellik (son 90 günde gözden geçirilen varlık yüzdesi), bağımlılık görünürlüğü (kritik varlıkların %’sinin bağımlılık haritası çıkarılmış), saklama uyumu (süresi dolan kayıtların imha oranı), özel nitelikli veri minimizasyonu (gerekli/gereksiz oranı). Bu metrikler yönetim gözden geçirmesine (ISO 27001 9.3) raporlanır.

Denetim İpuçları

Denetçi genelde şu soruları sorar: “Bu veri kümesi hangi varlıkta tutuluyor?”, “Sahibi kim?”, “Saklama süresini nasıl belirlediniz?”, “Hukuki dayanakla kontrol seçimi arasındaki bağ nerede?”, “İmha kanıtı nerede?”. Bu nedenle envanter sayfasında dokümana derin bağlantılar (politikalar, prosedürler, kanıt klasörü) ve log/kanıt ID’leri kolay ulaşılabilir olmalıdır.

Özet

Doğru tasarlanmış varlık envanteri; kişisel veri sınıflandırması, ROPA, risk ve kontrol mimarisiyle tekil bir omurga üzerinde birleştiğinde, ISO 27001 & ISO 27701 ile KVK/GDPR haritalamasının en kritik adımı tamamlanmış olur. Bir sonraki adım, bu omurgayı risk metodolojisi ile kuvvetlendirip kontrol seçimini kanıtlamaktır.

Risk Metodolojisi ve Kontrol Seçimi

ISO 27001 & 27701 KVK/GDPR haritalamasında en kritik adım, risk metodolojisi ile kontrol seçiminin bağlanmasıdır. Denetimlerde en sık sorulan soru, “Bu kontrol neden seçildi ve yeterliliği nasıl kanıtlanıyor?” olur. Yanıtın güçlü olabilmesi için risk–etki–kontrol zinciri şeffaf şekilde dokümante edilmelidir.

Risk Metodolojisinin Temeli

ISO 27005 rehber alınarak risk değerlendirmesi yapılır. Adımlar:

• Bağlamın Belirlenmesi: İş süreçleri, kişisel veri kategorileri, yasal yükümlülükler ve tehdit ortamı tanımlanır.
• Varlık ve Veri Haritalaması: Bir önceki bölümde oluşturulan envanterden beslenir.
• Tehdit ve Zafiyet Analizi: Özel nitelikli veriler için daha yüksek etki katsayıları kullanılır.
• Etki ve Olasılık Skorlaması: Finansal, hukuki, operasyonel, itibari kayıplar ayrı ayrı değerlendirilir.
• Risk Derecelendirmesi: Matris üzerinden düşük, orta, yüksek seviyeler belirlenir.

Hukuki Risk Boyutu

KVKK ve GDPR ihlalleri sadece finansal değil, yasal uyum riskini de doğurur. Bu nedenle risk matrisinde hukuki boyut ayrı bir etki parametresi olarak işlenmelidir. Örneğin, “özel nitelikli sağlık verisinin yetkisiz ifşası” olayı, hem yüksek gizlilik ihlali hem de ciddi yasal yaptırımlar riski içerir.

Kontrol Seçimi İlkeleri

ISO 27001 Ek A (2022 versiyonunda 93 kontrol) ile ISO 27701’in ek kontrolleri (PII Controller ve Processor için) birlikte ele alınır. Kontrol seçiminde şu ilkeler gözetilir:

• Uygulanabilirlik Beyanı (SoA): Seçilen her kontrol için uygulanabilirlik gerekçesi ve kanıt gösterilir.
• Risk–Kontrol Eşlemesi: Her risk kaydı en az bir kontrol ID ile bağlanır.
• Hukuki Referans: Kontrol, ilgili KVKK/GDPR maddesine bağlanarak “uyum kanıtı” oluşturur.
• Kanıt Yönetimi: Kontrolün çıktısı (politika, log, rapor, sözleşme eki) risk kaydına linklenir.

Örnek Risk–Kontrol Haritalaması

Risk: “Müşteri verilerinin SaaS üzerinde yetkisiz erişimle sızdırılması”

• Etki: Yüksek (KVKK/GDPR ihlali, itibar kaybı)
• Olasılık: Orta
• Kontrol Seçimi: A.5.23 “Cloud Services Security”, A.8.12 “Data Leakage Prevention”, PIMS 7.4.7 “Processor Agreements”
• Kanıt: DPA sözleşme eki, DLP raporları, erişim logları

Risk Kabul ve İyileştirme Planı

Düşük riskler “kabul edilebilir” olarak işaretlenebilir, fakat orta ve yüksek riskler için iyileştirme planı hazırlanmalıdır. Plan, kontrol uygulama tarihi, sorumlu kişi, kaynak ihtiyacı ve beklenen etki azaltımı alanlarını içerir.

Denetim Beklentileri

Denetçiler şunları görmek ister: risk kayıtları, kontrol seçim gerekçeleri, SoA belgesi, kanıt referansları ve izlenebilir bağ. Eğer bir kontrol uygulanmıyorsa, gerekçesi mutlaka açıklanmalıdır (örneğin, teknik olarak uygulanamaz, iş bağlamında gereksiz vs.).

PIMS Gereksinimlerinin Eklenmesi

ISO/IEC 27701, ISO/IEC 27001’in bilgi güvenliği yönetim sistemi üzerine gizlilik bilgi yönetim sistemi (PIMS) gereksinimlerini ekler. Bu standart, veri sorumlusu (PII Controller) ve veri işleyen (PII Processor) rollerine özgü ek yükümlülükler tanımlar. Böylece KVKK ve GDPR’ın kişisel veri işleme sorumlulukları ISO çerçevesine entegre edilir.

PIMS’in ISO 27001’e Ek Katkısı

PIMS, ISO 27001’in risk temelli yaklaşımına kişisel veri koruma perspektifini dahil eder. Standartta yer alan gereksinimler, aşağıdaki başlıklarla doğrudan KVK/GDPR uyumuna bağlanır:

• Şeffaflık: Veri öznesinin bilgilendirilmesi (aydınlatma metinleri, gizlilik bildirimleri).
• Amaçla Sınırlılık: Toplanan verilerin yalnızca belirlenen amaçlarla işlenmesi.
• Veri Minimizasyonu: İşleme amacıyla ilgili ve gerekli verilerin toplanması.
• Doğruluk: Verilerin güncel ve doğru tutulması.
• Saklama Süresi Sınırlaması: Gereklilik sona erdiğinde verilerin silinmesi veya anonimleştirilmesi.
• Hakların Kullanılması: Veri öznesi taleplerine (erişim, düzeltme, silme, taşınabilirlik) yanıt mekanizmaları.

Controller ve Processor Gereksinimleri

PIMS gereksinimleri, organizasyonun rolüne göre farklılaşır:

• Controller (Veri Sorumlusu): Kayıt tutma yükümlülükleri, açık rıza yönetimi, veri öznesi başvurularına yanıt verme, üçüncü taraf işleyenlerle sözleşme yönetimi.
• Processor (Veri İşleyen): Veri işleme talimatlarına uyum, veri güvenliği taahhütleri, alt-işleyen yönetimi, ihlal bildirim yükümlülükleri.

DPIA ve Risk Yönetimi

PIMS, GDPR’daki Veri Koruma Etki Değerlendirmesi (DPIA) uygulamalarını ISO çerçevesine entegre eder. Yüksek riskli işleme faaliyetleri için DPIA hazırlanması, risk–kontrol eşleştirmesiyle birlikte PIMS kontrol setinde yer alır.

Politika ve Süreç Gereksinimleri

PIMS uyumlu bir kurumda şu dokümanlar bulunmalıdır:

• Gizlilik Politikası (veri öznelerine açıklama)
• DPIA Prosedürü
• Veri Saklama ve İmha Politikası
• Veri Öznesi Hakları Yanıt Prosedürü
• Sınır Ötesi Veri Aktarımı Prosedürü

Denetim Kanıtı

PIMS denetimlerinde sık sorulan kanıtlar: aydınlatma metinleri, veri işleyen sözleşmeleri, veri öznesi başvuru kayıtları, imha tutanakları, DPIA raporları. Bu kanıtların risk ve kontrol kayıtlarıyla bağlantılı olması gerekir.

Tedarikçi/SaaS Sözleşme Maddeleri

Kişisel verilerin işlendiği tedarikçi ve SaaS hizmetlerinde sözleşme şartları, ISO 27001’in tedarikçi güvenliği kontrolleriyle ISO 27701’in veri işleyen yükümlülüklerini birleştirerek hazırlanmalıdır. KVKK ve GDPR kapsamında veri işleyenler ile yapılacak sözleşmeler (DPA – Data Processing Agreement), veri güvenliği ve uyumun en kritik dayanaklarından biridir.

Zorunlu Sözleşme Maddeleri

Tedarikçi/SaaS sözleşmelerinde şu maddeler mutlaka yer almalıdır:

• İşleme Talimatı: Veri işleyen, yalnızca veri sorumlusunun talimatlarıyla veri işleyebilir.
• Gizlilik Yükümlülüğü: Veri işleyen personelin gizlilik taahhüdü.
• Güvenlik Önlemleri: ISO 27001 kontrollerine uygun teknik ve idari tedbirler.
• Alt-İşleyen Kullanımı: Önceden yazılı onay gerekliliği.
• İhlal Bildirimi: Veri ihlali halinde belirli süreler içinde sorumluya bilgi verilmesi.
• Veri Öznesi Talepleri: Gelen taleplerin sorumluya iletilmesi.
• Denetim Hakkı: Veri sorumlusunun denetim veya bağımsız denetim raporlarına erişim hakkı.
• Veri İmhası veya İadesi: Sözleşme sonunda verilerin imha edilmesi veya iade edilmesi.

Cloud/SaaS Hizmetlerinde Ek Gereksinimler

• Veri Lokasyonu: Hangi bölgede tutulduğu (AB, Türkiye, ABD vs.) açıkça belirtilmelidir.
• Sınır Ötesi Aktarım: GDPR için yeterlilik kararı veya standart sözleşme maddeleri şarttır.
• Log ve İzleme: Erişim loglarının sorumluya sunulabilmesi.
• SLA & Performans: Uptime, erişim güvenliği ve müdahale süreleri net tanımlanmalıdır.
• Şifreleme: At-rest ve in-transit şifreleme şartları belirtilmelidir.

Risk ve Kontrol Bağı

Sözleşme maddeleri, risk kayıtlarıyla doğrudan ilişkilendirilmelidir. Örneğin, “SaaS sağlayıcısında yetkisiz erişim riski” için seçilen kontrol (A.5.23 Cloud Security) sözleşme maddeleriyle desteklenmeli; kanıt olarak imzalı DPA ve ISO 27001/27701 sertifikaları gösterilmelidir.

Denetim Kanıtları

Denetçiler genellikle şu kanıtları talep eder:

• İmzalı sözleşme/DPA ekleri
• Alt-işleyen listesi
• İhlal bildirim prosedürü
• Bağımsız denetim raporları (SOC 2, ISO 27001 sertifikası vb.)
• Veri imha tutanakları

Olay Müdahalesi ve İhbar Süreleri

Bilgi güvenliği ve gizlilik ihlallerinde hızlı tespit, etkili sınırlama ve zamanında bildirim ISO 27001’in olay yönetimi kontrolleri ile ISO 27701’in veri ihlali yükümlülüklerinin merkezindedir. KVK/GDPR uyumu için teknik müdahale adımlarının, karar kayıtlarının ve düzenleyici bildirim eşiklerinin tek bir olay yönetim çerçevesinde birleşmesi gerekir.

Olay Yaşam Döngüsü

Aşağıdaki yaşam döngüsü, güvenlik olayı ve kişisel veri ihlali senaryoları için ortak şablondur. Her adım kanıt ve karar kayıtlarıyla desteklenmelidir:

• Algılama & Tespit: SIEM/EDR uyarıları, kullanıcı bildirimleri, tedarikçi ihbarları. Ön doğrulama ile olay/olay dışı ayrımı yapılır.
• Sınıflandırma & Ciddiyet: Etkilenen varlıklar, kişisel veri kategorileri, kapsam (kayıt adedi), iş/uyum etkisi. S1–S4 ciddiyet skalası önerilir.
• Sınırlama: Erişimlerin kesilmesi, hesapların askıya alınması, ağ segmentasyonu, geçici kural setleri.
• Kök Neden Analizi: TTP’ler, zafiyet zinciri (CVE/konfigürasyon), insan/hata boyutu.
• Giderme & Kurtarma: Yamalar, konfigürasyon düzeltmeleri, veri geri yükleme, servis geri dönüş planı.
• Bildirim & İletişim: Düzenleyici otorite, veri özneleri, iş ortakları ve yönetim raporlaması.
• Sonrası Gözden Geçirme (PIR): Dersler, kontrol iyileştirmeleri, prosedür güncellemeleri, DPIA tetikleme.

İhbar Süreleri ve Eşikler

Bildirim yükümlülükleri “kişisel veri ihlali” olup olmadığına ve riskin özne üzerindeki etkisine bağlıdır. Çerçeveyi önceden dokümante edin ve zaman damgalı karar kayıtları tutun.

• GDPR: Denetim otoritesine 72 saat içinde ihbar (m.33). Yüksek risk varsa veri öznesine gecikmeksizin bildirim (m.34).
• KVKK: Kişisel veri ihlallerinde Kuruma 72 saat içinde bildirim, etkilenen ilgili kişilere en kısa sürede duyuru. (Uygulamada Kurum duyuruları ve form şablonlarına referans verin.)
• Sözleşmesel/Sektörel: DPA/SLA ile belirlenen özel bildirim süreleri (ör. 24 saat ön bildirim, 48 saat detay rapor). Finans/sağlık gibi dikeylerde ek süre kısıtları bulunabilir.

İç SLA’ler ve Zaman Çizelgesi

Operasyonel çeviklik için iç hedef süreler tanımlayın; dış bildirim gerekliliklerini karşılayacak şekilde hizalayın:

• T0–T+15 dk: Olay kabul ve ön doğrulama, vaka ID oluşturma.
• T+60 dk: Ciddiyet sınıflandırması, olay komuta ekibini toplama (IRT).
• T+4 saat: Sınırlama tamamlanmış, etki analizi ilk bulgular.
• T+24 saat: Düzenleyici ön bildirim gerekip gerekmediğine dair karar kaydı.
• T+48–72 saat: Otorite bildirimi (gerekiyorsa), paydaş bilgilendirmeleri, ilk olay raporu.

Roller ve RACI

Net bir RACI, hız ve doğruluğu artırır:

• IRT Lideri (Sorumlu): Olay komuta, karar kaydı, zaman çizelgesi takibi.
• Bilgi Güvenliği (Uygulayıcı): Tespit, sınırlama, kanıt toplama, teknik analiz.
• DPO/KVKK Komitesi (Danışılan): Kişisel veri ihlali eşiği, otorite/özne bildirimi kararı, metin onayı.
• Hukuk (Danışılan): Bildirim metinleri, sözleşmesel yükümlülükler, delil korunması.
• İç İletişim/YK (Bilgilendirilen): Yönetim raporu, basın/SSS koordinasyonu.

Kanıt ve Delil Zinciri

Adli inceleme ihtimaline karşı, kanıt materyali değişmez ortama yazılmalı, hash değerleri kaydedilmeli, chain of custody formu tutulmalıdır. Disk görüntüleri, log paketleri ve konfigürasyon yedekleri tutulurken erişim izleri de loglanmalıdır.

Karar Kayıtları ve Şablonlar

Olay başına karar günlüğü tutulur: ihlal eşiği değerlendirmesi (var/yok), bildirimin kime, ne zaman, hangi içerikle yapıldığı, istisna gerekçeleri. Ek olarak aşağıdaki şablonlar standartlaştırılmalıdır:

• Otorite bildirim formu taslağı (GDPR/KVKK gereksinimlerine uygun alanlar)
• İlgili kişi bilgilendirme metni şablonu (risk, alınan önlemler, haklar, iletişim)
• Tedarikçi ihbar şablonu (SLA, DPA maddeleriyle uyumlu)

İyileştirme ve Öğrenme

Her olay sonrası Post-Incident Review yapılır; kök neden, erken uyarı boşlukları, kontrol eksikleri ve prosedür güncellemeleri çıkarılır. Gerekirse DPIA güncellenir, risk kaydı revize edilir, eğitim/farkındalık kampanyasında vurgular yenilenir.

Kayıt Tutma ve Delil Yönetimi

ISO 27001 & 27701 çerçevesinde kayıt tutma ve delil yönetimi, hem denetim uyumunun hem de olay sonrası hukuki süreçlerin temelini oluşturur. KVKK ve GDPR kapsamında da her işleme faaliyeti için şeffaf ve doğrulanabilir kayıtların tutulması yasal bir zorunluluktur. Bu nedenle kayıt ve delil yönetimi sistematik bir yapı ile ele alınmalıdır.

Kayıt Tutma Zorunlulukları

• İşleme Faaliyetleri Kaydı: GDPR m.30 ve KVKK’ya göre, hangi veri kategorilerinin hangi amaçla işlendiği, saklama süreleri ve aktarım bilgileri kayıt altına alınmalıdır.
• Veri Öznesi Talepleri: Erişim, düzeltme, silme, taşınabilirlik gibi hak taleplerine verilen yanıtların kayıtları tutulmalıdır.
• İhlal Bildirimleri: İlgili otoritelere ve kişilere yapılan bildirimlerin kopyaları ve zaman damgaları saklanmalıdır.
• Denetim İzleri: Log kayıtları, kullanıcı faaliyetleri, erişim denemeleri, yetkilendirme ve kimlik doğrulama işlemleri arşivlenmelidir.

Delil Yönetimi İlkeleri

Delil yönetimi, olay müdahalesi sonrasında veya denetimlerde kullanılacak kanıtların güvenilirliğini garanti altına alır. Temel ilkeler:

• Doğruluk: Kanıtlar değiştirilmemiş, bütünlüğü korunmuş olmalıdır.
• İzlenebilirlik: Kanıtın elde edildiği, işlendiği ve saklandığı tüm adımlar kayıt altına alınmalıdır.
• Erişim Kontrolü: Kanıtlara yalnızca yetkili personel erişebilmelidir.
• Hash & Zaman Damgası: Dijital kanıtların bütünlüğünü doğrulamak için kullanılmalıdır.

Log Yönetimi

ISO 27001 A.12.4 kontrol seti, logların korunması ve izlenmesini zorunlu kılar. GDPR ve KVKK bağlamında loglar, kişisel veri içerebileceği için gizlilik dostu bir şekilde tutulmalıdır. Önerilen uygulamalar:

• Kritik sistemler için merkezi log toplama (SIEM).
• Logların en az 2–3 yıl süreyle saklanması.
• Anonimleştirme veya maskeleme yöntemlerinin uygulanması.
• Erişim loglarının DPO ve denetim ekibi tarafından periyodik gözden geçirilmesi.

Denetim Kanıtları

Denetimlerde şu belgeler talep edilebilir:

• İşleme faaliyetleri kayıt defteri (RoPA)
• Veri ihlali bildirim formları ve yazışmaları
• DPO raporları ve veri öznesi taleplerine verilen yanıtlar
• SIEM logları, hash kayıtları ve delil zinciri belgeleri

Hukuki Uyum ve Delil Kabulü

Delillerin mahkemede kabul edilebilir olması için zincir kayıtlarının eksiksiz olması şarttır. Bu nedenle ISO 27037’de tanımlı digital evidence handling ilkeleri benimsenmelidir. Türkiye’de KVKK Kurumu ve Avrupa’da denetim otoriteleri, delil bütünlüğüne büyük önem verir.

DPO Rolü ve Raporlama

ISO 27701 ve GDPR çerçevesinde Veri Koruma Görevlisi (DPO), organizasyonun kişisel veri işleme faaliyetlerinin bağımsız şekilde izlenmesini sağlar. Türkiye’de KVKK doğrudan DPO zorunluluğu getirmese de, büyük ölçekli veri işleyen kurumlarda benzer bir rolün atanması iyi uygulama olarak kabul edilir.

DPO’nun Sorumlulukları

• KVKK ve GDPR uyumunun sağlanmasını denetlemek.
• Veri işleme faaliyetleri hakkında üst yönetime düzenli rapor sunmak.
• Veri öznesi başvurularının yönetimini izlemek.
• DPIA (Veri Koruma Etki Değerlendirmesi) süreçlerini gözetmek.
• Otoritelerle (KVKK Kurumu, Avrupa Denetim Otoriteleri) iletişimi yürütmek.

Raporlama Süreci

DPO raporlaması üç kademede yapılmalıdır:

• Aylık: Veri öznesi talepleri, ihlal bildirimleri, eğitim katılım oranları.
• Çeyrek Dönem: Risk ve kontrol durumu, DPIA sonuçları, tedarikçi denetim bulguları.
• Yıllık: Kapsamlı uyum raporu, yönetim gözden geçirmesi için özet.

Bağımsızlık ve Kaynak

DPO, operasyonel kararlardan bağımsız hareket edebilmelidir. Kaynak ve yetki eksikliği, denetimlerde sık görülen bulgulardandır. Bu nedenle DPO’ya gerekli bütçe, araç ve raporlama hattı sağlanmalıdır.

Denetim İzleri: Log Gereksinimleri

Denetim izleri, bilgi güvenliği ve kişisel veri koruma uyumunun kanıtlanmasında kritik öneme sahiptir. ISO 27001’in log yönetimi kontrolleri ve ISO 27701’in PII odaklı gereksinimleri birlikte ele alınmalıdır.

Zorunlu Log Türleri

• Erişim Logları: Kim, ne zaman, hangi veriye erişti?
• Yetkilendirme Logları: Rol değişiklikleri, eklenen/çıkarılan yetkiler.
• Sistem Olay Logları: Sunucu yeniden başlatma, yama yükleme, yapılandırma değişiklikleri.
• İhlal Tespit Logları: IDS/IPS, DLP, antivirüs ve SIEM çıktıları.

Log Yönetim İlkeleri

Log yönetiminde şu prensipler uygulanmalıdır:

• Loglar değiştirilemez formatta tutulmalı (WORM, hash, imzalama).
• Merkezi log yönetimi (SIEM) ile bütünleştirilmeli.
• Kişisel veri içeren loglar maskeleme veya anonimleştirme ile saklanmalı.
• Saklama süresi minimum 2–3 yıl olmalı, kritik sistemlerde daha uzun süre önerilir.

Denetim Beklentileri

Denetçiler genellikle şu kanıtları talep eder:

• Log saklama politikası ve prosedürleri.
• Log bütünlüğü için kullanılan hash kayıtları.
• SIEM raporları ve uyarı kayıtları.
• Yetkilendirme değişiklik logları.

Fark Analiz Şablonu

ISO 27001 & 27701 uyum sürecinde fark analizi (gap analysis), mevcut uygulamaların standart ve yasal gereksinimlerle karşılaştırılmasını sağlar. Bu adım, hangi alanlarda eksik veya zayıf kalındığını net şekilde gösterir.

Adım Adım Fark Analizi

• Mevcut Durumun Belirlenmesi: Politikalar, prosedürler, teknik kontroller listelenir.
• Standart Gereksinimlerin Haritalanması: ISO 27001 Annex A kontrolleri ve ISO 27701 PIMS kontrolleri eklenir.
• KVK/GDPR Gereksinimlerinin Eklenmesi: İlgili madde numaralarıyla eşleştirilir.
• Uygunluk Derecesi: “Uygulanıyor”, “Kısmen”, “Uygulanmıyor” olarak sınıflandırılır.
• Eylem Planı: Eksikler için sorumlu, zaman çizelgesi ve kaynak belirlenir.

Tablo Formatı

Fark analizini tablo formatında dokümante etmek en iyi yöntemdir:

Eğitim ve Farkındalık Kampanyası

ISO 27001 & 27701 uyumunun sürdürülebilirliği, yalnızca teknik kontrollerle değil, insan faktörünün güçlendirilmesiyle mümkündür. Bu nedenle sürekli eğitim ve farkındalık kampanyaları kritik önem taşır.

Eğitim Programı

• Zorunlu Oryantasyon: Yeni başlayanlara KVKK/GDPR ve bilgi güvenliği temel eğitimi.
• Yıllık Güncelleme: Mevzuat değişiklikleri, yeni riskler ve güncellenmiş politikalar.
• Rol Bazlı Eğitim: DPO, IT, hukuk, operasyon birimlerine özel modüller.
• Simülasyonlar: Phishing testleri, olay müdahale tatbikatları, veri sızıntısı senaryoları.

Farkındalık Kampanyaları

Farkındalık, yalnızca formal eğitimlerle değil, günlük iş hayatına entegre kampanyalarla pekiştirilir:

• E-posta bültenleri ve kısa ipuçları.
• Posterler, dijital ekran içerikleri, intranet duyuruları.
• Kısa video ve quiz yarışmaları.
• “Data Privacy Week” gibi tematik kampanyalar.

Ölçümleme ve İzleme

Eğitim ve farkındalık çalışmalarının etkinliği ölçülmelidir. Katılım oranları, quiz başarıları, phishing simülasyonu sonuçları KPI olarak kullanılabilir. Denetçiler, bu KPI’ların yönetim raporlarına yansıtılmasını bekler.