tr en

Regülasyon ve Standartlara Uyum Danışmanlığı

ISO standartları, KVKK ve GDPR süreçlerinde kurumunuzu sadece bir belgeye değil, yaşayan bir güvenlik ve uyum mimarisine kavuşturuyoruz. Yasal riskleri minimize ederek kurumsal itibarınızı global normlar çerçevesinde güvenceye alıyoruz.

Regülasyon ve Standartlara Uyum Danışmanlığı

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi

“Bilgiyi Korumak, Geleceği Güvenceye Almak.”

ISO/IEC 27001

Dijital dünyada güven, en değerli sermayedir. Luvi Bilişim, ISO 27001 Bilgi Güvenliği Yönetim Sistemi(BGYS) danışmanlığı ile kurumunuzu sadece bir belgeye değil, her türlü siber tehdide karşı anında tepki veren “yaşayan bir güvenlik mimarisine” kavuşturur.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Uygulama Metodolojimiz

ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS), kurumun hassas verilerini korumak amacıyla insan, iş süreçleri ve teknoloji bileşenlerini kapsayan sistematik bir yaklaşımdır. Luvi Bilişim olarak metodolojimizi, uluslararası geçerliliğe sahip iki temel standart üzerine kurguluyoruz:

  • ISO/IEC 27002: Sistem kurulumu, uygulama prensipleri ve iyileştirme için temel rehberimizdir.
  • ISO/IEC 27001: Kurulan sistemin denetlenmesi ve belgelendirilmesi için gerekli olan temel gereksinimleri belirler.

Bu standartlar teknoloji bağımsızdır; dolayısıyla Luvi Bilişim, kurumunuzun ihtiyaçlarına en uygun yöntem ve teknolojileri seçme esnekliğini sunar.

Sürekli İyileştirme: PUKÖ Modeli

Sistemin kurulumundan işletilmesine kadar olan tüm aşamalarda Planla – Uygula – Kontrol Et – Önlem Al (PUKÖ) döngüsünü kullanıyoruz. Bu model, ilgili tarafların beklentilerini girdi olarak alır ve bu beklentileri karşılayan somut güvenlik çıktıları üretir. Luvi Bilişim, PUKÖ döngüsünün her aşamasında profesyonel danışmanlık sağlayarak, işletmenizin BGYS’yi kendi başına sürdürebilmesi için gerekli tüm bilgi transferini başarıyla gerçekleştirir.

Bu Hizmetin Somut Çıktıları Neler Olacak?

  • Sertifikasyon denetimine %100 hazırlık.
  • Üst Yönetim Farkındalığının Sağlanması
  • BGYS Kapsamının Belirlenmesi
  • Varlık Yönetimi Yaklaşımı
  • Risk Yönetimi Yaklaşımı
  • Uygulanabilirlik Bildirgesi
  • ISO27001 BGYS Süreç, Prosedür, Plan Hazırlama ve Devreye Alma
  • Kullanıcı Eğitimleri
  • İç Denetim
  • Yönetimin BGYS’yi Gözden Geçirmesi
  • Belgelendirme Süreci

ISO/IEC 27701 Kişisel Veri Yönetim Sistemi

” Kişisel Veriyi Kurumsal Güvenle Mühürleyin.”

ISO/IEC 27701

Kişisel verilerin korunması, günümüz iş dünyasında yalnızca yasal bir yükümlülük değil; kurumların itibarını, güvenilirliğini ve sürdürülebilirliğini doğrudan etkileyen stratejik bir gerekliliktir. ISO/IEC 27701 standardı, veri gizliliği yönetimini kurumsal düzeye taşıyarak kişisel veri işleme süreçlerinin güvenli, şeffaf ve kontrol edilebilir şekilde yönetilmesini sağlar. ISO/IEC 27001 altyapısı üzerine inşa edilen bu yapı sayesinde kuruluşlar, gizlilik risklerini etkin biçimde azaltırken KVKK ve GDPR gibi regülasyonlara uyumlu bir sistem oluşturabilir. Artan veri ihlalleri ve regülasyon baskısı karşısında güçlü bir gizlilik yönetimi artık bir tercih değil, rekabet avantajı sağlayan kritik bir zorunluluk haline gelmiştir; bu noktada Luvi Bilişim, kurumların veri gizliliği süreçlerini uçtan uca yapılandırarak güvenilir, sürdürülebilir ve uluslararası standartlara uyumlu bir yönetim altyapısı oluşturmasına katkı sağlar.

ISO/IEC 27701 belgelendirmesi ile:

  • Kişisel veri koruma süreçlerinizi yapılandırabilir ve şeffaf hale getirebilirsiniz.
  • Veri gizliliği risklerini etkin şekilde tanımlayabilir ve kontrol altına alabilirsiniz.
  • Yasal düzenlemelere uyumunuzu belgeleyerek güvenilirliğinizi artırabilirsiniz.
  • Müşteri ve paydaş güvenini kazanarak marka itibarınızı güçlendirebilirsiniz.
  • Uluslararası iş ortaklıklarında veri transferine uygunluğunuzu gösterebilirsiniz.

ISO/IEC 27701 Belgelendirme Süreci

Sertifikasyon süreci aşağıdaki adımlardan oluşur:

  1. Başvuru ve Teklif – Belgelendirme sürecinin resmi olarak başlatılması
  2. 1. Aşama Denetim – Yönetim sisteminin uygunluğunun ön değerlendirmesi
  3. 2. Aşama Denetim – KVYS süreçlerinin standarda tam uygunluğunun denetlenmesi
  4. Sertifikasyon – Başarılı sonuçlanan süreç sonrası belgelendirme aracılığı
  5. Sürekli İyileştirme – Periyodik gözetimlerle sistemin sürdürülebilirliği

“ISO 27001’in veri gizliliği katmanı olan 27701, kurumunuzun KVKK ve GDPR uyumundaki en güçlü kanıtıdır.”

ISO/IEC 22301 İş Sürekliliği Yönetim Sistemi

“İşinizi Her Şartta Ayakta Tutun.”

ISO/IEC 22301

Kuruluşların operasyonel dayanıklılığı ve risk yönetimi, günümüz iş dünyasında kritik bir rekabet unsuru haline gelmiştir. ISO 22301 standardı, kritik iş süreçlerini kesinti durumlarında dahi sürdürebilmeyi ve kabul edilebilir süreler içinde yeniden devreye almayı sağlayan kapsamlı bir yönetim çerçevesi sunar. Mevcut durum analizleri, risk değerlendirmeleri ve iş etki analizleri ile süreçler önceliklendirilir ve aksiyon alınabilir çözümler geliştirilir. Luvi Bilişim, uluslararası deneyime sahip uzman kadrosu ile İş Sürekliliği Yönetim Sistemi kurulumu ve ISO 22301 belgelendirme sürecinde kurumlara uçtan uca destek sağlayarak sürdürülebilir, güvenilir ve standartlara uyumlu bir yapı oluşturur.

ISO 22301 İş Sürekliliği Yönetim Sistemi Uygulama Metodolojimiz

ISO 22301 İş Sürekliliği Yönetim Sistemi, kurumların kritik ürün ve hizmetlerinin olağanüstü durumlarda devamını sağlamak üzere sistematik bir yaklaşım sunar. Sistem, çalışanlar, iş süreçleri ve bilgi teknolojileri altyapısını kapsar. İSYS uygulamalarında temel referanslarımız ISO 22313 rehber standardı ile ISO 22301 belgelendirme standardıdır. Bu standartlar, iş sürekliliği yönetiminin kurulması, uygulanması, izlenmesi, sürdürülmesini ve sürekli iyileştirilmesi için gereksinimleri tanımlar. Kurumlar, uygulamada kullanacakları yöntem ve teknolojileri özgürce seçebilir; teknik çözümler için ITIL, ISO 27031 ve BS25777 gibi standartlar entegre edilebilir. Luvi Bilişim, İSYS projelerinde PUKÖ (Planla–Uygula–Kontrol Et–Önlem Al) modelini temel alarak tüm süreçlerde uçtan uca danışmanlık sağlar. Böylece, iş sürekliliği gereksinimlerinizi karşılayan, ölçülebilir ve sürdürülebilir bir yönetim sistemi kurmanıza destek olur.

  • Üst Yönetim Farkındalığının Sağlanması
  • ISO 22301 İş Sürekliliği Yönetim Sistemi Kapsamının Belirlenmesi
  • İş Sürekliliği Yönetimi Politikası
  • İş Sürekliliği Organizasyonunun Oluşturulması
  • İş Etki analizi ve Risk Değerlendirmesi
  • Risk Değerlendirmesi ve İşlemesi
  • İş Sürekliliği Stratejilerinin Belirlenmesi
  • İş Sürekliliği ve Acil Durum Planları
  • Eğitim ve Farkındalık
  • Tatbikatlar ve Testler
  • İç Denetim
  • Belgelendirme

ISO/IEC 42001 Yapay Zekâ Yönetim Sistemi

“Yapay Zekâyı Güvenle Yönetin, Değeri Sürdürülebilir Kılın.”

ISO/IEC 42001

Kuruluşların yapay zekâ uygulamalarını güvenilir, etik ve sorumlu şekilde yönetmesi, günümüz dijital ekonomisinde kritik bir gereklilik haline gelmiştir. ISO/IEC 42001 standardı; yapay zekâ sistemlerinin geliştirilmesi, uygulanması ve sürekli iyileştirilmesi süreçlerinde risklerin kontrol altına alınmasını, şeffaflığın sağlanmasını ve kurumsal değerin sürdürülebilir biçimde artırılmasını hedefleyen kapsamlı bir yönetim çerçevesi sunar.

Uygulama Metodolojimiz

ISO/IEC 42001 Yapay Zekâ Yönetim Sistemi, kuruluşların yapay zekâ çözümlerini güvenilir, etik ve regülasyonlara uyumlu şekilde yönetebilmesi için sistematik bir yaklaşım sunar. Sistem; veri yönetimi, algoritmalar, insan gözetimi ve teknolojik altyapıyı kapsar. Luvi Bilişim, projelerinde PUKÖ modelini temel alarak aşağıdaki adımları uçtan uca yönetir:

  • Üst Yönetim Farkındalığının Sağlanması
  • Yapay Zekâ Yönetim Sistemi Kapsamının Belirlenmesi
  • Yapay Zekâ Politikası ve İlkelerinin Oluşturulması
  • Yapay Zekâ Yönetişim Yapısının Kurulması
  • Yapay Zekâ Envanteri ve Kullanım Alanlarının Belirlenmesi
  • Risk ve Etki Değerlendirmesi(AI Risk Assessment)
  • Veri Yönetişimi ve Kalite Süreçlerinin Tanımlanması
  • Etik, Şeffaflık ve Açıklanabilirlik Kriterlerinin Belirlenmesi
  • Kontrol Mekanizmaları ve İnsan Gözetimi Modeli
  • Eğitim ve Farkındalık Çalışmaları
  • İzleme, Ölçme ve Performans Değerlendirme
  • İç Denetim ve Sürekli İyileştirme Süreçleri

Kişisel Verilerin Korunması

Kişisel Verilerin Korunması

Kişisel Verilerin Korunması Kanunu Hakkında Bilgilendirme ve Tanıtım

Kişisel Verilerin Korunması Kanun Tasarısı 24 Mart 2014’te TBMM’de görüşülüp yasalaşmasının ardından 7 Nisan 2016’da Cumhurbaşkanı’nın onayıyla 6698 sayılı kanun olarak Resmi Gazetede yayınlanmasıyla yürürlüğe girdi. Bu kanunun çıkmasından önce kişisel verilerin korunması başta Anayasa olmak üzere Türk Medeni Kanunu, Türk Ceza Kanunu, Elektronik Haberleşme Kanunu, Elektronik Ticaret Kanunu, Türk Ticaret Kanunu, Bankacılık Kanununun ilgili maddelerinde de yer almaktaydı.

Otoritelerin on yılı aşkın süredir gündemde olduğunu bildirdiği kişisel verilerin korunması kanunu, Türkiye Cumhuriyeti’nin Avrupa Birliği müktesebatına uyumluluk kapsamında atması gereken adımlardan biri olarak görülmektedir. Avrupa Birliği vize serbestisi sürecinde AB’nin Veri Koruma Yönergesi olan Data Protection Directive 95/46/EC’ye uyum sağlanması beklentisi bulunurken, kanun AB yönergesine uyum konusunda büyük adımlar atsa da hala düzenlenmesi gereken maddeler olduğu belirtilmektedir.

Kanunda kişisel verilerin işlenmesi koşullarıyla birlikte kanunu uygulamakla sorumlu merkezi Ankara olan Kişisel Verilerin Korunması Kurumunun kurulması, kadrosu, görev ve sorumlulukları, çalışma koşulları tanımlanmıştır. Ayrıca, kuruluşların kişisel verilerin korunması ilgili süreçlerini yönetebilmesi için her kuruluşun bir veri sorumlusu ataması yapması ve veri kayıt sistemi kurması talep edilmektedir. Kişisel verilerin korunması kanunun yayım tarihinden (7 Nisan 2016) önce işlenen kişisel verilerin, bu tarihten itibaren 2 yıl içinde kanunun hükümlerine uygun hale getirilmesi istenmektedir. Kişisel verilerin korunması kanunun yayın tarihinden sonra işlenen veriler için ise herhangi erteleme bulunmamasıyla birlikte, kanunun 32. maddesinde hükümler ve haklara ilişkin tanımlanan maddelerin yayım tarihinden 6 ay sonra yürürlüğe girmesinin belirtilmesiyle kanunun uygulanabilirliğin 7 Ekim 2016’dan itibaren olacağını aktarabiliriz.

Kişisel Verilerin Korunması Kanununun Amacı

Kişisel verilerin korunması kanunu veri işleyen gerçek ve tüzel kişilerin (kamu kurum ve kuruluşları kapsam dışındadır) yükümlülüklerini belirlemenin yanı sıra verilerin işlenmesine yönelik düzenlemeler getirmektedir. Kanunun amacı ise kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak olarak açıklanmaktadır.

Kişisel Verilerin Korunması Kanununda Yer Alan Tanımlar

  • Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Örneğin T.C. kimlik numarası, cinsiyet, elektronik posta adresi, fotoğraf, özgeçmiş, adres vb.
  • Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık veya kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler olarak belirtilmektedir.
  • Kişisel verilerin işlenmesi: Yukarıda bahsedilen verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi tanımlamaktadır.

Bir örnek verecek olursak; personellerinizden işe giriş sürecinde adli sicil kaydı istemeniz ve bunları muhafaza etmeniz özel nitelikli kişisel verinin işlenmesidir diyebiliriz. Hem kişisel veriler hem de özel nitelikli kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Yani siz personelinizin size açık bir rızası olmaksızın onun verilerini işleyemezsiniz. Bu duruma ek olarak bazı istisnalar bulunmaktadır. Kişisel verilerin açık rıza olmadan işlenmesine olanak sağlayan koşullardan bazıları;

  • Kanunlarda açıkça öngörülmesi
  • Fiili imkansızlık nedeniyle kişinin rızasını açıklayamayacak olması
  • İlgili kişinin kendisi tarafından alenileştirilmesi (Örnek: kendisi tarafından sosyal medyada paylaşılması)
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olma

Yukarıda bahsettiğimiz örneğimize tekrar dönecek olursak kuruluşların özel nitelikli kişisel veri olan adli sicil kaydını(ceza mahkumiyeti) personelin açık rızası olmaksızın işleyebilmesi mümkündür. Çünkü 4857 sayılı İş Kanunu 75. Maddesinde “İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler.” demektedir. Adli sicil kaydı da özlük dosyası kapsamındadır. Özel nitelikli kişisel veriler için ise sağlık ve cinsel hayat dışındaki kişisel veriler kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir.

Kişisel Verilerin Korunması Kanunu uyumluluğu çerçevesinde ilk olarak kurumunuzda bulunan kişisel veriler belirlenir. Bu çalışma gerçekleştirilirken çoğunlukla iş ve teknoloji iş birimlerinden uygun seviyede yöneticilerle toplantı ve çalıştaylar düzenlenerek gerekli nitelik ve nicelikte bilgi toplanır. Kişisel verilerin envanterinin oluşturulması için söz konusu kişisel verilerin hangi birim ve süreçler tarafından oluşturulduğu, işlendiği, saklandığı ve imhasının gerçekleştirildiği değerlendirilir ve aynı zamanda farklı kullanım ve sorumlulukları da içeren bir veri envanteri oluşturulur.

Bu aşamada kurum bünyesinde kişisel verilerin korunması amacı ile uygulanan manuel ve bilgi teknolojileri tabanlı alınmış önlemler belirlenerek, analiz edilir ve değerlendirilir. Bu fazın sonunda kişisel verileri oluşturan, işleyen, ileten, saklayan ve imha eden iş ve teknik süreçlere dair eksiklikler ve bu eksiklikleri giderme seçenekleri raporlanır. Analiz ve değerlendirmeler ISO 27701 Kişisel Veri Yönetim Sistemi, ISO 27002(Security Techniques – Code of Practice for Information Security Management), ISO 31000 (Risk Management — Principles and Guidelines) gereksinim ve tavsiyeleri ile kurum ve sektör ihtiyaçları dikkate alınarak gerçekleştirilir. Teknik zafiyetlerin belirlenmesi ve iyileştirilebilmesi için ise zafiyet değerlendirmeleri ve sızma testleri gerçekleştirilerek; mevcut açıklıkların zafiyeti ile hangi senaryoların gerçekleşebileceğine dair analiz raporu yayınlanır.

Kişisel verilerin korunması kapsamında gerçekleştirilen analiz kapsamında aşağıdaki konular ele alınmaktadır:

  • Risk yönetimi yapısı
  • Güvenlik politikaları
  • Bilgi güvenliği organizasyonu
  • İnsan kaynakları güvenliği
  • Bilgi varlık yönetimi
  • Erişim kontrolü güvenliği
  • Kriptografik kontroller
  • Fiziksel ve çevresel güvenlik
  • Bilgi teknolojileri operasyonları ve iletişim güvenliği
  • Sistem edinim, geliştirme ve bakım güvenliği
  • Tedarikçi ilişkilerinde güvenlik yönetimi
  • Bilgi güvenliği olay yönetimi
  • Hizmet sürekliliği ve veri yedekliği yönetimi
  • Bilgi güvenliği denetim ve kontrolleri

Zafiyet tespiti ve sızma testi kapsamında kişisel verileri barındıran ve işleyen sistemler açık ağlardan (internet) ve şirket yerel alan ağından güvenlik ve zafiyet testlerine tabi tutulur.

KEŞFETMEYE DEVAM EDİN

Diğer Hizmetlerimiz

TÜMÜNÜ GÖRÜNTÜLE
BT Strateji ve Kurumsal Süreç Yönetimi

BT Strateji ve Kurumsal Süreç Yönetimi

Teknolojiyi iş hedeflerinizin en güçlü taşıyıcısı haline getiriyoruz. ITIL tabanlı süreç optimizasyonu, BT yönetişimi ve sanallaştırma mimarileriyle operasyonel mükemmeliyeti hedefliyoruz.

DETAYLI ANALİZ
Stratejik Siber Güvenlik Danışmanlığı

Stratejik Siber Güvenlik Danışmanlığı

Dijital varlıklarınızı 360 derece savunma mimarisiyle koruyoruz. Sadece araçlarla değil; risk odaklı strateji, proaktif izleme ve ileri düzey zafiyet analizleriyle kurumunuzun siber dayanıklılığını inşa ediyoruz.

DETAYLI ANALİZ
Yapay Zeka, Yazılım ve Otomasyon

Yapay Zeka, Yazılım ve Otomasyon

İş süreçlerinizi hazır yapay zeka modelleri ve özel yazılım mimarilerimizle geleceğe hazırlıyoruz. RPA (Robotik Süreç Otomasyonu) ve kurumunuza özel yazılım çözümlerimizle operasyonel yükü azaltıyor, dijital hızı kurum kültürünüze entegre ediyoruz.

DETAYLI ANALİZ