Günümüzde bilgiler elektronik ortamda dağıtılmakta ve işlenmektedir, bu sebeple kişisel verileri korumak için adımlar atılması kaçınılmaz hale gelmiştir. 4 Nisan 2016 tarihinde Resmi Gazete’de yayımlanan ve 7 Ekim 2016’da yürürlüğe giren 6698 sayılı Kişisel Verileri Koruma Kanunu’nun asıl amacı ülkemizdeki kişisel verilerin kanuna uygun şekilde işlenmesi  ve korunmasını sağlamaktır. Kişisel Verileri Koruma Kurulu, kişisel verilerin yasa kapsamında korunmasına ilişkin hususlar, bu konudaki önemli kavramlar, kişisel verilerin işlenme koşulları, veri sahibinin hakları, verilerin silinmesi, imhası, anonimleştirmesi, devri ve veri sorumlusunun sorumlulukları ile ilgili duyuruları düzenli olarak yapmaktadır.

Kanundaki 12. Maddeye göre, yasalara uymak isteyen şirketlerin kişisel verilere yetkisiz erişimi engellemek ve bunları korumak için idari ve teknik önlemler almaları gerekmektedir. Bu bağlamda, veri denetleyicisinin kişisel verileri ve kişisel verilerle ilgili riskleri ve bu risklerin ortaya çıkması durumunda neden olabileceği zararları tespit etmesi çok önemlidir. Bilgi güvenliği yönetim sistemini kendi kültürünün bir parçası olarak benimseyen bir kurumun bu konuda zorluk çekmeyeceğini söyleyebiliriz. ISO 27001’de uygulanması gereken bazı kontrollerin, Kişisel Veri Koruma Kurulu tarafından yayınlanan Kişisel Veri Güvenliği Kılavuzu’ndaki kriterleri karşıladığını açıkça görebiliyoruz.

Bilgi güvenliği risk değerlendirme sürecinin uygulanması ve risk sahiplerinin tanımlanması, ISO 27001’e göre bilgi güvenliği yönetim sistemi kapsamında yer alan bilgilerin gizlilik, bütünlük ve erişilebilirlik ilkeleri ile ilgili riskleri belirlemek için gereklidir. Risklerin, gerçekçi bir analiz ve değerlendirme sürecinden geçirilmesi, risk işlem sürecinin uygun şekilde ele alınması beklenir. Veri Güvenliği Kılavuzu’nda vurgulanan bir diğer nokta, çalışanlara bilgi güvenliği bilinçlendirme eğitimi sağlamaktır. İnsanların rol ve sorumlulukları tanımlanmalı, işe alım sürecinde gizlilik sözleşmeleri imzalanmalı, çalışanların güvenlik politika ve prosedürlerine uymamaları durumunda uygulanacak disiplin süreçleri ve tanımları oluşturulmalıdır. Bu politika ve prosedürlerde bir değişiklik olursa çalışanlara bildirilmelidir. Tüm bu süreçleri ISO 27001 kontrolleri altında görüyoruz.

Güvenlik duvarları, ağ geçitleri, anti-virüs, anti-spam uygulamaları gibi çözümler teknik tarafa bakarsanız, siber güvenliğin sağlanmasında temel önlemler olarak görülmektedir. Yazılımlar güncel ve güvenli olmalı, yama yönetimi uygulanmalı ve güvenlik açıkları düzenli aralıklarla kontrol edilmeli ve düzeltilmelidir. Parola ile ilgili bir politikanın oluşturulması, erişim yetkisi, kontrol matrisi ve erişim kontrol politikaları diğer beklentiler arasındadır. BGYS’de, yaptıklarınızı belgelemek ve belgelemiş olduklarınızı yapmak çok önemlidir. Kurumlar, sadece yasal zorunluluklar için değil, aynı zamanda veri sahiplerinin haklarını ve kurumun itibarını korumak için veri güvenliğini en üst seviyede sağlamalıdır.