KVKK TEKNİK TEDBİRLERİN SINIRLARININ BELİRLENMESİ
MADDE 12- (1) Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
ISO27001 BGYS, KVKK gibi veri güvenliği uygulamalarında ilk aşamalarından biri veri veya varlık envanterleri kılavuzluğunda sınırların belirlenmesidir. Tanımlanmış sınırlar ile verinin giriş-çıkışının yapıldığı, işlendiği, transfer edildiği, yedeklendiği, arşivlendiği süreçler eksiksiz olarak adreslenmiş olur. Bu süreçler içerisinde verinin uğradığı evre ve operasyonlara ait iş akışlarının oluşturulması, alınması gereken güvenlik tedbirleri, kontrol ve izleme noktaları belirlenebilir hale gelir.
Sınırlar kurumsal yapı, süreç ve operasyonlara göre değişse de temel olarak aşağıdaki gibi tablolamak mümkün olabilir.
|
Fiziksel Ortamlar |
Elektronik Ortamlar |
|
Sistem odaları |
Uygulamalar (CRM, IK, Muhasebe, Satış, Anket…vb) |
|
Dosya Arşivleri |
Ağ paylaşımları |
|
İdari alanlar ( IK,Muhasebe, Finans…vb) |
Depolama birimleri, sunucu ve iş istasyonları |
|
Yerel,Uzak Ofisler |
E-Posta kutuları, E-posta arşivleri |
|
Dış hizmetler ( Sunucu Barındırma) |
FTP, SFTP, web sunucu, Bulut Depolama |
|
Dolaplar |
Yedekler |
|
Toplantı Odaları |
|