ISO 27001 standardı bilgi güvenliği yönetim sistemleri için kullanılan önemli bir standarttır. Çoğu işletmeler ISO 27001 BGYS Risk yaklaşımıyla tehditleri değerlendirmekte ve önlemlerini bu analizlere göre almaktadırlar. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile birlikte birtakım başlıkların detaylı olarak ISO 27001 süreçleri içerisinde işlenmesi ve dikkate alınması gerekmektedir. Kısaca en temel olarak yeni gelen ihtiyaçları belirtelim.
6698 sayılı KVKK ile hayatımıza birtakım sorumluluklar dolayısıyla yeni politikalar ve prosedürler girmiştir. Veri işleyen ve veri sorumlusu olarak kişisel veri işlemesinin rol ve sorumlulukları bu kanun çerçevesinde çizilmiştir. En temel anlamda ISO 27001 özelinde bu işlevsel yenilikleri tanımlamak gerekirse Kişisel Veri Koruma Politikası, Çalışan Gizlilik Bildirimi, Veri Saklama Politikası, Tedarikçi Veri İşleme Anlaşması, Veri İhlali Yanıtı ve Bildirim Prosedürü ve Veri Koruma Etki Değerlendirmesidir.
Özellikle Tedarikçi Veri İşleme anlaşması, Veri İhlali Yanıtı ve Bildirim Prosedürü ISO 27001 çerçevesinde bulunması ve detaylandırılması gereken eklerden bir kaçıdır. Risk analizi yanında kişisel verilerin korunması etki değerlendirilmesinin de tıpkı risk analizine benzer gerçeklenmesi beklenmektedir.
Yeni süreçte birçok unsurun tekrar değerlendirileceği bu süreçte ISO 27001’in de KVKK ile entegre olması kaçınılmazdır.