ISO/IEC 27701:2019, ISO/IEC 27001’in BGYS bilgi güvenliği
yönetim sisteminin “privacy" eki ya da genişletmesidir. Bu gizlilik ek gereksinimleri ifade eder ve
kurumun PIMS’i oluşturmasını, uyarlamasını ve sürdürmesini sağlar.
ISO 27701 gizliliği koruması kılavuzluğu kurumun kişisel
verileri nasıl yöneteceğini ve kişisel veri güvenliğine uyumu (KVKK) sağlar.
Gizli bilgi yönetim sistemi PIMS’nin ISO 27701’in yanında
kurulmasını açıklar.
Bilişim çağında en önemli şey "bilgi güvenliği"ni iş yaşamına uygulamaktır. (FÇ).
ISO 27001 A.6.1.2 Görevlerin Ayrılığı?
Görevlerin ayrılığı genellikle ihmal edilen bir konu:
Taleplerin bölünmesi, işlemlerin belli adımlara ayrılması
(farklı kişiler tarafından ve farklı yetkilendirme sistemleri tarafından
desteklenmeli) gerekir.
En temel prensip:
Bir işlemin yapılması için birden çok kişi (en az iki kişi)
onay vermeli. Ödeme onayı ya da sistemin değiştirilmesi gibi teknik bir konu.
ISO 27001 4.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması
İlgili taraflar genel olarak paydaşlardır. Yani BGYS’den
yarar sağlayacak ve etkilenecek taraflar. Kurumun kendisi, çalışanları, müşteri
ve diğer bağlamlar temelinde iç ve dış unsurlardır.
Data protection by design (tasarımda koruma)
Teknoloji alt yapısında ve iletişim ortamlarında gizlilik esas alınmalı. Anonimleştirme ve kriptografik teknikler kullanılmalıdır. Her aşamada gizlilik düşünülmeli.
Data protection by default (varsayım korum)
Bir ürün ya da bir servis kullanıma açıldığında gizlilik ayarları varsayım olmalı. Örneğin bir fc kullanıcı hesabı açıldığında kullanıcının minimum bilgileri olmalı ve güvenliği tehdit edecek birçok özelliğe kapalı olmalı. Örneğin paylaşımlar ya da başkaları tarafından görülme gibi.
