📞 0850 304 60 95
|
✉️ bilgi@ybsis.com.tr
|

YBS-Yönetim Bilişim Sistemleri


Destek
Demo Talebi

ISO 27001 ve KVKK Entegrasyonu: Yazılımınızdan Bekleyeceğiniz 6 Özellik

Ferhat CAMGÖZ

ISO 27001 ve KVKK doküman güvenliği

ISO 27001 ve KVKK yan yana gelince çoğu kalite ekibini zorlar. Biri uluslararası bilgi güvenliği standardı, diğeri yerel kişisel veri mevzuatı; farklı disiplinler gibi görünür. Ancak doğru yazılım ve doğru yaklaşımla bu ikisi paralel ve birbirini destekleyen şekilde işletilebilir. ISMS varlık envanteri ile KVKK veri envanteri ortak tabloda tutulabilir; risk değerlendirme, doküman yönetimi ve ihlal bildirimi süreçleri çift kullanımlı tasarlanabilir. Bu yazıda kurumsal yazılımınızdan beklemeniz gereken 8 temel ISMS+KVKK özelliğini, pratik vakalarla anlatıyoruz.

ISO 27001 ve KVKK neden birlikte ele alınmalı?

ISO 27001, bilgi güvenliği yönetim sisteminin (ISMS – Information Security Management System) kurulması için uluslararası standarttır. KVKK ise Türkiye’de kişisel verilerin korunması için yasal çerçeve. İkisinin ortak alanı şudur: bilgi varlıklarınızı tanımlamak, korumak, ihlal durumunda bildirmek ve sürekli iyileştirmek. Yazılımınız bu ortak noktayı tek bir veri modeli üzerinde işletirse iş yükünüz yarıya iner. Aksi takdirde iki ayrı sistem, iki ayrı denetim hazırlığı, iki ayrı eğitim — gereksiz yere ikiye katlanmış maliyet.

1. Varlık envanteri: tek tabloda iki standart

ISO 27001 bilgi varlıklarını talep eder; KVKK kişisel veri envanterini (VERBİS’e bildirilecek). Doğru yazılım, bu ikisini tek tablo içinde tutar; ortak alanlar (sahibi, sınıflandırma, saklama süresi, kritiklik düzeyi) paylaşılır. Örneğin “Müşteri veritabanı” varlığı:

  • ISO 27001 açısından: Kritiklik: Yüksek, Sınıflandırma: Gizli
  • KVKK açısından: Özel nitelikli veri içerir (sağlık verisi), Yurt içi tutulur, 10 yıl saklama
  • Ortak: Sahibi (CRM Müdürü), Erişim listesi, Yedekleme planı, İmha protokolü

2. Risk değerlendirme: ISO Annex A + KVKK DPIA

ISO 27001 Annex A kontrolleri ile risk azaltma yapılır; KVKK ise DPIA (Veri Koruma Etki Değerlendirmesi – Data Protection Impact Assessment) ister. Yazılım, varlık → risk → kontrol → kalan risk akışını her iki standart için ortak işletebilmeli. Aynı veri varlığı için iki ayrı risk değerlendirme yapmak gereksiz iş yüküdür.

Pratik ÖrnekBir e-ticaret firması KVKK + ISO 27001 entegre risk değerlendirmesi yaptığında, aynı kontrolün her iki standardı da karşıladığını tespit etti. Örneğin “müşteri verisi şifrelenmiş tutulur” kontrolü hem ISO Annex A.10 (kriptografi) hem de KVKK madde 12 (güvenlik) gereksinimini karşılıyor.

3. Erişim kontrolü ve izlenebilirlik

Hangi kullanıcı, hangi veriye, ne zaman, nereden erişti? ISO 27001 A.9 (erişim kontrolü) için, KVKK’da ise veri ihlali tespiti için kritik bir kayıt. Yazılım şunları sunmalı:

  • Rol bazlı erişim (RBAC): Pozisyon ve departmana göre yetki
  • Audit log: Her erişim, değişiklik, silme kayıt altında
  • Privileged Access Management (PAM): Yönetici hesapları ayrıcalıklı denetim
  • Tek oturum açma (SSO): Active Directory entegrasyonu
  • İkili faktör (MFA): Hassas işlemlerde ek doğrulama

4. Veri ihlali bildirim süreci (72 saat kuralı)

KVKK’da veri ihlali 72 saat içinde Kurul’a bildirilmek zorunda. Aksi takdirde idari para cezası uygulanır. Yazılımda şu akış hazır olmalı:

  1. İhlal tespit ve kayıt
  2. Etki değerlendirme (kaç veri sahibi etkilendi, hangi veri türü, risk seviyesi)
  3. Kurul’a bildirim (72 saat içinde, standart form)
  4. Veri sahibine bildirim (yüksek risk durumunda)
  5. Düzeltme aksiyonu ve doğrulama
  6. Tüm sürecin kanıt zinciri olarak dökümantasyonu

Bu akış ISO 27001 A.16 (olay yönetimi) ile entegre çalışmalıdır; aynı olay iki sistemde ayrı yönetilmemelidir.

5. Doküman yönetimi: politikalar + aydınlatma metinleri

ISMS politikaları (Bilgi Güvenliği Politikası, Erişim Politikası, Şifre Politikası), aydınlatma metinleri (Web Sitesi, İK, Müşteri), açık rıza formları, gizlilik anlaşmaları — hepsi versiyon kontrollü, onaylı, yayınlanmış, okuma kaydı tutulan dokümanlar olmalı. Çalışan oryantasyonunda imzalanan politikaların elektronik kanıtı arşivlenmeli.

6. Veri aktarımı yönetimi

Kişisel veri yurt dışına aktarılıyorsa KVKK’da özel şartlar gerekir (Bağlayıcı Kurumsal Kurallar, taahhütname, açık rıza). Yazılım şunları sunmalı:

  • Aktarım kayıt defteri
  • Yurt içi/yurt dışı aktarım ayrımı
  • Yeterli koruma kontrolü (Beyaz liste)
  • Taahhütname şablonları
  • Açık rıza yönetimi
  • Bağlayıcı kurumsal kurallar
  • Periyodik aktarım denetimi

7. Saklama süresi ve imha yönetimi

Her veri kategorisinin yasal saklama süresi vardır: çalışan özlük dosyası 10 yıl, müşteri faturası 5 yıl, başvurusu reddedilen aday CV’si 1 yıl… Yazılım bu süreleri kategoriye göre otomatik takip etmeli; süre dolduğunda otomatik imha akışı başlatmalı. Manuel imha yönetimi, KVKK’da en sık denetlenen ve en sık ihlal edilen alandır.

Sıklıkla Atlanan Konu“Sahte” veriler de KVKK kapsamına girer. Test ortamında gerçek müşteri verilerinin anonimleştirilmeden kullanılması, KVKK ihlalidir. Yazılım test ortamı için otomatik anonimleştirme özelliği sunmalı.

8. Tedarikçi yönetimi (3. taraf veri işleyenler)

Verinizi işleyen bulut sağlayıcısı, dış muhasebe firmaları, çağrı merkezi ortağı, bordro hizmeti veren firma — hepsi “veri işleyen sıfatı” taşır ve sözleşmeleri KVKK’ya uygun olmalı. Yazılım, tedarikçi envanteri tutmalı, sözleşme kontrolünü periyodik yapmalı, alt-yüklenici zincirini izlemelidir.

“ISO 27001 + KVKK doğru yazılımla aynı sistemin iki farklı görünümüdür. Yanlış yazılımla iki katı iş yükü, iki katı denetim hazırlığı demek.”

YBS’nin yaklaşımı: tek model, çift uyum

YBS, ISO 27001 ve KVKK modüllerini ortak veri modeli üzerinde işletir. Bilgi varlığı bir kez tanımlanır, hem ISMS hem VERBİS girdisinde kullanılır. Risk değerlendirme, doküman yönetimi, ihlal bildirimi süreçleri tek panelden yönetilir. Müşterilerimizin %78’i ilk yıl sertifikasyona başarıyla geçti; KVKK uyumu için ortalama hazırlık süresi 6 aydan 3 aya indi.

2026’da bilgi güvenliği trendleri

AI destekli güvenlik (anomali tespiti), Zero Trust mimarisi (her erişim doğrulanır), sıfır gün açıkları için otomatik yamalanma, biyometrik doğrulama, yapay zeka destekli sosyal mühendislik tespiti — 2026’da öne çıkan konular. Yazılımınız bu yeniliklere açık olmalı; statik kurumsal yazılım çağı bitti.

ISO 27001 ve KVKK uyumu – SSS

ISO 27001 sertifikası almak ne kadar sürer?
Sıfırdan başlayan bir firma için tipik süre 9-12 ay. Mevcut altyapısı olan firma için 4-6 ay. Hazır yazılım ile bu süre %30-40 kısalır çünkü Annex A kontrolleri için şablonlar hazır gelir.
KVKK’ya uyum nasıl başlar?
Önce veri envanteri ile başlanır. Hangi veriler tutulduğu, nerede, kimler erişebildiği, hangi amaçla işlendiği netleştirilir. Sonra VERBİS bildirimi, aydınlatma metinleri ve açık rıza süreçleri tasarlanır.
KVKK cezaları ne kadar?
2026 itibarıyla aydınlatma yükümlülüğü ihlali için 100.000-2.000.000 TL, ihlal bildirim eksiği için 250.000-5.000.000 TL, veri güvenliği zafiyeti için 1.000.000-10.000.000 TL arasında değişir. Tekrar eden ihlallerde ceza katlanabilir.
Bulut sağlayıcısı kullanırsam KVKK’ya uyumlu olur muyum?
Doğrudan değil. Bulut sağlayıcısı veri işleyendir, sözleşmesi KVKK’ya uygun olmalı, hizmet bedeli karşılığında belirlenen kapsamda çalışmalı. Veriler yurt dışında tutuluyorsa ek şartlar var.
YBS hem ISO 27001 hem KVKK denetimini destekler mi?
Evet. Tek varlık envanteri, ortak risk değerlendirme, bağlantılı doküman yönetimi ve birleşik ihlal bildirimi süreçleri sunar. Müşterilerimizin %78’i ilk yıl her iki sertifikasyonu da başarıyla aldı.

ISMS + KVKK Modüllerini Demo İzleyin

Demo Talep Et →

Ferhat CAMGÖZ

Kategoriler
Son Yazılar



E-Ticaret

Benzer Yazılar