ISO 27701 kurulumundaki temel prensip

Data protection by design

Tasarlarken güvenlik: Teknoloji alt yapısında ve iletişim ortamlarında gizlilik esas alınmalı. Anonimleştirme ve kriptografik teknikler kullanılmalıdır. Her aşamada gizlilik düşünülmeli.

Bütün projelerde; yazılım geliştirme, fç bilgi işlem çözümleri, vb.

Data protection by default

Ayarlarda güvenlik: Bir ürün ya da bir servis kullanıma açıldığında gizlilik ayarları varsayım olmalı. Örneğin bir kullanıcı hesabı açıldığında kullanıcının minimum bilgileri olmalı ve güvenliği tehdit edecek birçok özelliğe kapalı olmalı. Örneğin fc sitesindeki kullanıcı yönetim panelindeki ayarlarda; paylaşımlar ya da başkaları tarafından görülme gibi ayarların varsayım olarak kapalı olması.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

KVYS risk değerlendirme

ISO/IEC 27001 2013 6.1.2 de verilen gereklilikler şu şekilde genişletilmiştir: Kuruluş KVYS kapsamında ve kişisel verinin işlenmesiyle ilgili olarak kişisel verilerin gizlilik-bütünlük-erişilebilirlik kaybına ilişkin riskleri tanımlamalı, işlemeli ve değerlendirmelidir. Risk değerlendirme işlemi BGYS içerisinde (entegre) yapılabileceği gibi KVYS için ayrı olarak da yapılabilir.
Devamı

ISO 27701 KVYS

 Organizasyonlar (şirketler, kurumlar) öncelikle ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi’ni (BGYS) kurmalı, ardından ISO/IEC 27701 ile güvenlik önlemlerini «kişisel verilerin mahremiyeti» temelinde genişletmeliler. Gizlilik düzenlemeleri kişisel verilerin (PII / personally identifiable information) işlenmesini içerir. Bu düzenlemeleri ilgili kişisel verilerin korunması yasalarına uygun olmalıdır. Personal Information Management Systems (PIMS) kişisel verilerin kontrol etmeyi sağlayan bir sistemdir. PIMS bu anlamda KVYS olarak düşünülebilir. 
Devamı

ISO/IEC 27701:2019

ISO/IEC 27701:2019 SECURITY TECHNIQUES — EXTENSION TO ISO/IEC 27001 AND ISO/IEC 27002 FOR PRIVACY INFORMATION MANAGEMENT — REQUIREMENTS AND GUIDELINES Güvenlik teknikleri - ISO/IEC 27001 and ISO/IEC 27002 için genişletme – MAHREMİYET / Kişisel veri yönetimi (Gereksinimler ve kılavuzlar)
Devamı