KVKK ve İSO 27001 Denetimlerinde Uygulanabilirlik belgesi nedir ?

KVKK denetiminde “Uygulanabilirlik Bildirgesi” (Statement of Applicability – SoA) genellikle bilgi güvenliği ve veri koruma denetimlerinde kullanılan bir dokümandır. Özellikle ISO 27001 + KVKK uyum denetimlerinde denetçilere sunulan temel kanıtlardan biridir.

Uygulanabilirlik Bildirgesi; kurumun bilgi güvenliği ve kişisel veri koruma kapsamında hangi güvenlik kontrollerini uyguladığını, hangilerini uygulamadığını ve nedenlerini gösteren resmi dokümandır.

Başka bir ifadeyle:

  • Risk analizi sonucunda seçilen güvenlik kontrollerinin listesi

  • Bu kontrollerin uygulanıp uygulanmadığı

  • Uygulanmıyorsa gerekçesi

  • Uygulanıyorsa nasıl uygulandığı

tek bir tabloda açıklanır.

Denetimde kurumdan şu soruların cevabı beklenir:

  • Hangi veri güvenliği kontrolleri uygulanıyor?

  • Risk analizi yapıldı mı?

  • Güvenlik tedbirleri nasıl seçildi?

Uygulanabilirlik bildirgesi bu soruların kanıt dokümanı olarak kullanılır.

Uygulanabilirlik Bildirgesinde Genelde Bulunan Alanlar

Kontrol NoKontrol TanımıUygulanabilir miDurumGerekçeİlgili Politika/Prosedür
A.5.1Bilgi güvenliği politikasıEvetUygulanıyorKurum politikası varBGYS Politikası
A.9.1Erişim kontrolüEvetUygulanıyorAD ve rol bazlı erişimErişim Yönetimi
A.11.1Fiziksel güvenlikEvetUygulanıyorKartlı geçiş sistemiFiziksel Güvenlik
A.18KVKK uyumEvetUygulanıyorKVKK prosedürleri varKVKK Politikası

KVKK Denetiminde Bağlı Olduğu Dokümanlar

Genelde aşağıdaki dokümanlarla birlikte sunulur:

  • Kişisel Veri Envanteri

  • KVKK Politikası

  • Veri Saklama ve İmha Politikası

  • Risk Analizi

  • Erişim Yönetimi Prosedürü

  • Log ve Güvenlik Politikası

  • İç Denetim Raporları

Denetçiler Ne Kontrol Eder?

Denetimde özellikle şu noktalar incelenir:

  • Risk analizi ile SoA arasında tutarlılık

  • “Uygulanmıyor” yazılan kontrollerin mantıklı gerekçesi

  • Kontrollerin gerçekten uygulanıp uygulanmadığı

  • Politika ve prosedürlerle bağlantısı

ISO 27001’de Uygulanabilirlik Bildirgesi (SoA)

ISO 27001 Ek-A’daki güvenlik kontrollerinden hangilerinin kurum için gerekli olduğunu belirleyen ve uygulanma durumunu gösteren resmi listedir.

Bu doküman:

  • Risk değerlendirme sonuçlarına dayanır

  • Seçilen kontrolleri açıklar

  • Uygulanmayan kontroller için gerekçe verir

SoA’nın amacı şunları göstermektir:

  • Riskleri azaltmak için hangi kontroller seçildi

  • Neden seçildi

  • Uygulanıyor mu

  • Hangi politika veya prosedür ile uygulanıyor

Yani SoA, risk analizi ile güvenlik kontrolleri arasındaki bağlantıyı kurar.

ISO 27001’de Zorunlu Mudur?

Evet.

ISO 27001 standardında zorunlu dokümantasyon kapsamındadır.

Standardın ilgili maddesi:

ISO 27001 Madde 6.1.3 d) : Kuruluş, uygulanabilir bilgi güvenliği kontrollerini belirlemeli ve bunları Uygulanabilirlik Bildirgesi içinde belgelendirmelidir.

KontrolKontrol AçıklamasıUygulanabilir miUygulama DurumuGerekçeReferans Doküman
A.5.1Bilgi güvenliği politikalarıEvetUygulanıyorKurum politikası mevcutBGYS Politikası
A.6.1Organizasyonel güvenlikEvetUygulanıyorBilgi güvenliği rolü tanımlıGörev Tanımları
A.9.1Erişim kontrolüEvetUygulanıyorRol bazlı erişimErişim Prosedürü
A.11.1Fiziksel güvenlikEvetUygulanıyorKartlı giriş sistemiFiziksel Güvenlik
A.14Sistem güvenliğiEvetUygulanıyorYazılım güvenliği prosedürüYazılım Güvenliği

Uygulanabilirlik Bildirgesi Nasıl Oluşturulur?

Genellikle şu adımlarla hazırlanır:

1️⃣ Risk analizi yapılır
2️⃣ Riskleri azaltmak için kontroller seçilir
3️⃣ ISO 27001 Ek-A kontrol listesi incelenir
4️⃣ Her kontrol için:

  • uygulanır

  • uygulanmaz

  • alternatif uygulanır

kararı verilir

Denetimde Denetçiler Neye Bakar?

Denetçiler özellikle şu noktaları inceler:

  • Risk analizi ile SoA uyumlu mu

  • Kontroller gerçekten uygulanıyor mu

  • “Uygulanmıyor” denilen kontroller mantıklı mı

  • Kontroller ilgili politika ve prosedürlere bağlı mı

SoA’nın Önemi

Uygulanabilirlik Bildirgesi:

  • ISO 27001 BGYS’nin merkez dokümanıdır

  • Denetimde ilk incelenen belgelerden biridir

  • Tüm güvenlik kontrollerinin özet haritasıdır

ISO 27001 Uygulanabilirlik Bildirgesi, kurumun risk analizi sonucunda seçtiği bilgi güvenliği kontrollerini ve uygulanma durumlarını gösteren resmi dokümandır.

AlanAçıklama
Control IDISO 27001 kontrol numarası
Control NameKontrolün adı
ApplicableUygulanabilir mi (Yes / No)
Implementation StatusImplemented / Planned / Not Implemented
JustificationUygulanmıyorsa gerekçe
Reference Policyİlgili politika veya prosedür
ResponsibleSorumlu birim
NotesAçıklamalar

Denetçiler genelde şu alanlara bakar:

  • Applicable (Yes/No)

  • Justification

  • Reference Policy

  • Implementation Status

Bu tablo risk analizi ile birlikte sunulur.

Tipik bir SoA tablosunda şu alanlar bulunur:

KontrolAçıklamaUygulanabilirUygulama DurumuGerekçeReferans
5.1Bilgi güvenliği politikasıEvetUygulanıyorKurum politikası mevcutBGYS Politikası
6.1Personel güvenliğiEvetUygulanıyorİş sözleşmelerinde varİK Prosedürü
7.2Fiziksel giriş kontrolüEvetUygulanıyorKartlı giriş sistemiFiziksel Güvenlik
8.5Kimlik doğrulamaEvetUygulanıyorAD sistemi kullanılıyorErişim Politikası

SO/IEC 27001:2022 Ek-A’da toplam 93 güvenlik kontrolü bulunmaktadır. Bunlar 4 ana gruba ayrılır: Organizational (5), People (6), Physical (7), Technological (8).

Organizasyonel Kontroller (37 kontrol)

  1. 5.1 Information security policies

  2. 5.2 Information security roles and responsibilities

  3. 5.3 Segregation of duties

  4. 5.4 Management responsibilities

  5. 5.5 Contact with authorities

  6. 5.6 Contact with special interest groups

  7. 5.7 Threat intelligence

  8. 5.8 Information security in project management

  9. 5.9 Inventory of information and other associated assets

  10. 5.10 Acceptable use of information and other associated assets

  11. 5.11 Return of assets

  12. 5.12 Classification of information

  13. 5.13 Labelling of information

  14. 5.14 Information transfer

  15. 5.15 Access control

  16. 5.16 Identity management

  17. 5.17 Authentication information

  18. 5.18 Access rights

  19. 5.19 Information security in supplier relationships

  20. 5.20 Addressing information security within supplier agreements

  21. 5.21 Managing information security in the ICT supply chain

  22. 5.22 Monitoring, review and change management of supplier services

  23. 5.23 Information security for use of cloud services

  24. 5.24 Information security incident management planning and preparation

  25. 5.25 Assessment and decision on information security events

  26. 5.26 Response to information security incidents

  27. 5.27 Learning from information security incidents

  28. 5.28 Collection of evidence

  29. 5.29 Information security during disruption

  30. 5.30 ICT readiness for business continuity

  31. 5.31 Legal, statutory, regulatory and contractual requirements

  32. 5.32 Intellectual property rights

  33. 5.33 Protection of records

  34. 5.34 Privacy and protection of personally identifiable information (PII)

  35. 5.35 Independent review of information security

  36. 5.36 Compliance with policies and standards for information security

  37. 5.37 Documented operating procedures

İnsan Kaynakları Kontrolleri (8 kontrol)

  1. 6.1 Screening

  2. 6.2 Terms and conditions of employment

  3. 6.3 Information security awareness, education and training

  4. 6.4 Disciplinary process

  5. 6.5 Responsibilities after termination or change of employment

  6. 6.6 Confidentiality or non-disclosure agreements

  7. 6.7 Remote working

  8. 6.8 Information security event reporting

Fiziksel Kontroller (14 kontrol)

  1. 7.1 Physical security perimeters

  2. 7.2 Physical entry controls

  3. 7.3 Securing offices, rooms and facilities

  4. 7.4 Physical security monitoring

  5. 7.5 Protecting against physical and environmental threats

  6. 7.6 Working in secure areas

  7. 7.7 Clear desk and clear screen

  8. 7.8 Equipment siting and protection

  9. 7.9 Security of assets off-premises

  10. 7.10 Storage media

  11. 7.11 Supporting utilities

  12. 7.12 Cabling security

  13. 7.13 Equipment maintenance

  14. 7.14 Secure disposal or re-use of equipment

Teknolojik Kontroller (34 kontrol)

  1. 8.1 User endpoint devices

  2. 8.2 Privileged access rights

  3. 8.3 Information access restriction

  4. 8.4 Access to source code

  5. 8.5 Secure authentication

  6. 8.6 Capacity management

  7. 8.7 Protection against malware

  8. 8.8 Management of technical vulnerabilities

  9. 8.9 Configuration management

  10. 8.10 Information deletion

  11. 8.11 Data masking

  12. 8.12 Data leakage prevention

  13. 8.13 Information backup

  14. 8.14 Redundancy of information processing facilities

  15. 8.15 Logging

  16. 8.16 Monitoring activities

  17. 8.17 Clock synchronization

  18. 8.18 Use of privileged utility programs

  19. 8.19 Installation of software on operational systems

  20. 8.20 Network security

  21. 8.21 Security of network services

  22. 8.22 Segregation of networks

  23. 8.23 Web filtering

  24. 8.24 Use of cryptography

  25. 8.25 Secure development life cycle

  26. 8.26 Application security requirements

  27. 8.27 Secure system architecture and engineering principles

  28. 8.28 Secure coding

  29. 8.29 Security testing in development and acceptance

  30. 8.30 Outsourced development

  31. 8.31 Separation of development, test and production environments

  32. 8.32 Change management

  33. 8.33 Test information

  34. 8.34 Protection of information systems during audit testing

ISO 27001:2022 kontrolleri ile KVKK (6698 sayılı Kanun) teknik ve idari tedbirleri arasında doğrudan birebir resmi bir eşleşme standardı yoktur. Ancak KVKK rehberleri ve denetim uygulamalarında ISO 27001 kontrolleri KVKK tedbirlerinin karşılığı olarak kullanılır.

Aşağıda ISO 27001 kontrol grupları ile KVKK gereksinimleri arasındaki pratik eşleşme verilmiştir.

ISO 27001 Kontrolleri – KVKK Eşleşme Tablosu

ISO 27001 KontrolKontrol AçıklamasıKVKK Karşılığı
5.1Information security policiesKVKK politika ve prosedürleri
5.2Information security rolesVeri sorumlusu ve görev tanımları
5.3Segregation of dutiesYetki ayrımı
5.8Security in project managementKVKK uyum süreçleri
5.9Asset inventoryKişisel veri envanteri
5.10Acceptable useBilgi sistemleri kullanım politikası
5.12Information classificationVeri sınıflandırma
5.13LabellingVeri etiketleme
5.14Information transferVeri aktarım güvenliği
5.15Access controlErişim kontrolü
5.16Identity managementKimlik yönetimi
5.17Authentication informationParola politikası
5.18Access rightsYetkilendirme
5.19Supplier relationshipsVeri işleyen sözleşmeleri
5.20Supplier agreementsKVKK veri işleyen sözleşmesi
5.23Cloud securityBulut veri güvenliği
5.24Incident management planningVeri ihlali yönetimi
5.26Incident responseVeri ihlali bildirimi
5.29Security during disruptionİş sürekliliği
5.30ICT readinessFelaket kurtarma
5.31Legal requirementsKVKK mevzuat uyumu
5.33Protection of recordsKayıt güvenliği
5.34Protection of PIIKişisel veri koruma

İnsan Kaynakları Kontrolleri – KVKK

ISO KontrolAçıklamaKVKK Karşılığı
6.1ScreeningPersonel güvenlik araştırması
6.2Employment termsGizlilik yükümlülüğü
6.3Security awarenessKVKK eğitimleri
6.5Responsibilities after terminationİşten ayrılan personel erişimi
6.6NDAGizlilik sözleşmesi
6.7Remote workingUzaktan çalışma güvenliği
6.8Event reportingVeri ihlali bildirimi

Fiziksel Kontroller – KVKK

ISO KontrolAçıklamaKVKK Karşılığı
7.1Physical security perimetersFiziksel güvenlik
7.2Entry controlsYetkisiz giriş engelleme
7.3Securing facilitiesVeri merkezleri güvenliği
7.4Security monitoringKamera sistemleri
7.7Clear deskAçık masa politikası
7.9Off-premise assetsMobil cihaz güvenliği
7.14Secure disposalVeri imha

Teknolojik Kontroller – KVKK

ISO KontrolAçıklamaKVKK Karşılığı
8.1Endpoint securityUç nokta güvenliği
8.2Privileged accessYönetici hesap kontrolü
8.5Secure authenticationGüçlü kimlik doğrulama
8.7Malware protectionAntivirüs
8.8Vulnerability managementZafiyet yönetimi
8.10Information deletionVeri silme
8.11Data maskingMaskeleme
8.12Data leakage preventionVeri sızıntısı önleme
8.13BackupYedekleme
8.15LoggingLog kayıtları
8.16MonitoringGüvenlik izleme
8.20Network securityAğ güvenliği
8.24CryptographyŞifreleme

KVKK Teknik ve İdari Tedbirler – ISO 27001 Karşılıkları

KVKK’nın teknik/idari tedbirleri ISO kontrolleri ile şu şekilde örtüşür:

KVKK TedbiriISO Kontrolleri
Yetki matrisi5.15 – 5.18
Log kayıtları8.15 – 8.16
Veri sınıflandırma5.12
Erişim kontrolü5.15
Ağ güvenliği8.20
Şifreleme8.24
Antivirüs8.7
Yedekleme8.13
Zafiyet yönetimi8.8
Eğitim6.3
Gizlilik sözleşmesi6.6
Facebook
Pinterest
Twitter
LinkedIn

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir