ISO 27001 ve KVKK Uyum Rehberi: Teknik Tedbirler & Entegrasyon
Aralık 16, 2025
Veri güvenliği dünyasında “idari” ve “teknik” süreçlerin kesişim noktası: ISO 27001 Standartları ile KVKK Yükümlülüklerini tek bir potada eritiyoruz.
Türkiye’de faaliyet gösteren her işletme için veri güvenliği artık bir tercih değil, hukuki bir zorunluluktur. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), şirketlere ağır idari para cezaları ve itibar kaybı riski yüklerken; küresel ticaretin altın anahtarı olan ISO 27001 Bilgi Güvenliği Yönetim Sistemi, bu riskleri yönetmenin en sistematik yolunu sunar.
Birçok firma yöneticisi şu soruyu sormaktadır: “ISO 27001 belgem var, KVKK’dan muaf mıyım?” veya “KVKK uyum projesi yaptık, neden ISO 27001 alalım?”. Bu kapsamlı rehberde, bu iki yapının neden birbirinin alternatifi değil, tamamlayıcısı olduğunu; teknik, hukuki ve operasyonel derinlikleriyle inceleyeceğiz.
1. Hukuki Zemin: KVKK Madde 12 ve “Teknik Tedbirler”
KVKK uyumluluğu iki temel sütun üzerine kuruludur: İdari Tedbirler (Hukuki metinler, sözleşmeler) ve Teknik Tedbirler (Siber güvenlik, erişim kontrolleri). Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12. maddesi, veri sorumlusuna şu 3 görevi net bir şekilde yükler:
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak.
Kanun koyucu, bu maddede “her türlü teknik ve idari tedbiri almak zorundasınız” der. Ancak “nasıl” yapılacağını detaylandırmaz. İşte tam bu noktada, uluslararası bir “nasıl yapılır” kılavuzu olan ISO 27001 Standartları devreye girer. KVKK Kurumu’nun yayınladığı “Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)” incelendiğinde, önerilen teknik başlıkların ISO 27001’in Ek-A kontrolleriyle %90 oranında örtüştüğü görülmektedir.
2. Teknik Derinlik: KVKK Gereksinimleri vs. ISO 27001 Çözümleri
KVKK uyumu sadece aydınlatma metni imzalatmak değildir. Arka planda çalışan IT altyapısının, verinin gizliliğini (Confidentiality), bütünlüğünü (Integrity) ve erişilebilirliğini (Availability) garanti etmesi gerekir. Gelin, KVKK teknik tedbirlerini ISO 27001 merceğiyle analiz edelim:
A) Yetki Matrisi ve Erişim Kontrolleri (Access Control)
KVKK, “Need-to-know” (Bilmesi gereken prensibi) ilkesini benimser. Yani bir çalışan, sadece işini yapmak için gereken veriye erişmelidir. Muhasebe departmanının, İK’daki sağlık verilerini görmesi KVKK ihlalidir.
- ISO 27001 Çözümü (A.9): Standart, kullanıcı erişim yönetimini zorunlu kılar. Kimin hangi klasöre erişeceği, şifre politikalarının karmaşıklığı ve işten ayrılan personelin yetkilerinin anında iptal edilmesi (Off-boarding) süreçlerini prosedüre bağlar.
B) İşlem Kayıtları ve Log Yönetimi
Bir ihlal durumunda “Veriyi kim, ne zaman, nereden sızdırdı?” sorusunun cevabı log kayıtlarında saklıdır. KVKK, logların değiştirilemez şekilde tutulmasını ister (5651 sayılı kanun entegrasyonu).
- ISO 27001 Çözümü (A.12.4): Olay kayıtlarının tutulması ve korunması maddesi gereği, sistem yöneticilerinin dahi logları silemeyeceği bir yapı (SIEM vb.) kurulmasını teşvik eder. Bu, hukuki süreçlerde delil niteliği taşır.
C) Siber Güvenlik ve Ağ Güvenliği
Kişisel verilerin dışarıdan gelecek saldırılara (Ransomware, Phishing, DDoS) karşı korunması esastır.
- ISO 27001 Çözümü (A.13): Ağ güvenliği yönetimi, güvenlik duvarları (Firewall), antivirüs yazılımları ve düzenli sızma testleri (Penetration Test) yapılmasını zorunlu tutar. Sızma testi raporları, sistemin açıklarını kapatmanız için yol gösterir.
Karşılaştırmalı Analiz Tablosu
| KVKK Teknik Tedbir Başlığı | ISO 27001 Referansı (Ek-A) | Uygulama Detayı |
|---|---|---|
| Yetki Matrisi / Yetki Kontrolü | A.9.2 Kullanıcı Erişimi Yönetimi | Kullanıcı haklarının düzenli gözden geçirilmesi (Review) ve yetki kısıtlaması. |
| Kriptografik Önlemler (Şifreleme) | A.10 Kriptografi | Disk şifreleme (Bitlocker vb.) ve veri transferinde SSL/TLS kullanımı. |
| Veri Kaybı Önleme (Yedekleme) | A.12.3 Yedekleme | Yedeklerin düzenli alınması ve geri yükleme testlerinin yapılması. |
| Saldırı Tespit ve Önleme | A.12.6 Teknik Açıklık Yönetimi | Yazılım güncellemelerinin ve yamaların (Patch Management) zamanında yapılması. |
| Fiziksel Ortam Güvenliği | A.11 Fiziksel ve Çevresel Güvenlik | Arşiv odaları ve sunucu odalarına yetkisiz girişin engellenmesi (Kartlı geçiş vb.). |
3. ISO 27001 ve KVKK Süreçleri Nasıl Entegre Edilir?
İki ayrı proje yönetmek yerine, entegre bir yönetim sistemi kurmak maliyetlerinizi %40’a kadar düşürebilir. İşte adım adım entegrasyon stratejisi:
- Ortak Varlık Envanteri: ISO 27001 tüm bilgi varlıklarını (donanım, yazılım, kağıt) listelemenizi ister. KVKK ise kişisel veri envanteri ister. Bu iki envanter birleştirilerek, hangi donanımda hangi kişisel verinin tutulduğu haritalanmalıdır.
- Bütünleşik Risk Analizi: ISO 27001 için yapılan risk analizine, “Kişisel Veri İhlali” senaryoları eklenmelidir. Böylece hem ticari sırlar hem de kişisel veriler için tek bir risk planı oluşturulur.
- Farkındalık Eğitimleri: Çalışanlara verilen bilgi güvenliği eğitimlerine KVKK modülleri eklenerek, tek seferde personelin her iki konuda da bilinçlenmesi sağlanır.
Bir Üst Seviye: ISO 27701 Kişisel Veri Yönetim Sistemi
Eğer kurumunuz çok yoğun kişisel veri işliyorsa (Hastane, E-ticaret, Çağrı Merkezi vb.), ISO 27001’in yanına mutlaka ISO 27701 Belgesi eklenmelidir. ISO 27701, ISO 27001’in bir eklentisidir ve GDPR/KVKK uyumu için özel olarak tasarlanmıştır. Bu belge, veri sorumlusu ve veri işleyen sıfatıyla yükümlülüklerinizi dünya standartlarında yönettiğinizi tesciller.
Sıkça Sorulan Sorular (SSS)
ISO 27001 Belgesi almak KVKK cezalarını engeller mi?
Doğrudan engellemez ancak “hafifletici sebep” olarak değerlendirilir. Bir veri ihlali durumunda, Kurul şirketin gerekli tedbirleri alıp almadığına bakar. ISO 27001, teknik tedbirlerin alındığının resmi kanıtıdır ve şirketin ihmali olmadığını göstermekte kritik rol oynar.
Hangi belgeyi önce almalıyız? KVKK uyumu mu ISO 27001 mi?
İdeal olan süreçlerin paralel yürütülmesidir. Ancak bir öncelik sıralaması gerekirse; ISO 27001 ile sağlam bir teknik altyapı ve yönetim sistemi kurulması, üzerine KVKK hukuki süreçlerinin inşa edilmesini çok kolaylaştırır.
ISO 27001 ve KVKK entegrasyonu maliyeti nedir?
Maliyet; şirket büyüklüğüne, çalışan sayısına ve veri yoğunluğuna göre değişir. Ancak iki danışmanlığı ayrı ayrı almak yerine paket olarak almak ve tek denetim süreci geçirmek işletmelere ciddi tasarruf sağlar. Güncel fiyatlar için ISO 27001 maliyet hesaplama sayfamızı inceleyebilirsiniz.
Sonuç: Riski Yönetin, Güveni İnşa Edin
ISO 27001 ve KVKK uyumu, sadece yasal birer zorunluluk değil, müşterilerinize verdiğiniz “Verine saygı duyuyorum ve onu koruyorum” sözünün teminatıdır. Sadece kağıt üzerinde kalan uyum projeleri, ilk siber saldırıda veya denetimde çökmeye mahkumdur.
Sürdürülebilir, denetlenebilir ve yaşayan bir güvenlik sistemi kurmak için uzman kadromuzla yanınızdayız. Hem ISO 27001 belgelendirme süreciniz hem de KVKK teknik tedbirler analiziniz için bizimle iletişime geçebilirsiniz.