ISO/IEC 27701:2025 Bilgi güvenliği, siber güvenlik ve gizlilik koruması — Gizlilik bilgi yönetim sistemleri

Bağımsız bir standart haline gelen güncellenmiş ISO/IEC 27701, şirketlerin gizlilik bilgi yönetimlerini iyileştirmelerine yardımcı olacaktır.

Kişisel Veri Yönetim Sistemi standardı ISO/IEC 27701’in yeni sürümü için bekleyiş sona erdi. Uluslararası Standardizasyon Örgütü (ISO) ve Uluslararası Elektroteknik Komisyonu (IEC), 14 Ekim 2025’te yeni sürümün onaylandığını ve yayınlandığını duyurdu.

Yeni standart, ISO 9001 (kalite), ISO/IEC 27001 (bilgi güvenliği) ve ISO/IEC 42001 (yapay zeka) gibi diğer mevcut yönetim sistemleriyle entegre olacak şekilde yapılandırılmıştır ve bu da onu her şekil, boyut ve karmaşıklıktaki kuruluşlar için uyarlanabilir ve esnek hale getirmektedir.

ISO/IEC 27701:2025’teki Önemli Değişiklikler

1. Artık Bağımsız bir Standartdır

• ISO/IEC 27001’in bir uzantısı olan 2019 sürümünden farklı olarak, 2025 sürümü artık tamamen bağımsız bir standarttır.
• Kuruluşlar artık ISO/IEC 27001 sertifikasına ihtiyaç duymadan ISO/IEC 27701:2025 sertifikası alabilirler.

2. Güncellenen Yapı

• Standart, ISO 9001, ISO/IEC 20000-1 ve ISO/IEC 42001 gibi diğer yönetim sistemi standartlarıyla uyumlu olarak ISO’nun üst düzey yapısını (HLS) benimsemiştir.

3. Madde 4-10 artık Gizlilik Bilgi Yönetim Sistemi (PIMS) için tüm gereklilikleri tanımlamaktadır.
4. Geliştirilmiş Gizlilik Riski Yönetimi

• Gizlilik riskleri artık güvenlik riskleriyle eşit olarak ele alınmakta ve risk tanımlama, ele alma ve izleme için zenginleştirilmiş gereklilikler bulunmaktadır.
• AI, otomatik işleme ve üçüncü taraf veri paylaşımı gibi yeni tehdit vektörleri açıkça ele alınmaktadır.

5. Genişletilmiş Kapsam

• Standart artık biyometrik verileri, sağlık verilerini, IoT verilerini kapsamakta ve rıza, şeffaflık ve sınır ötesi veri aktarımları için daha güçlü gereklilikler içermektedir.

6. Modernize Edilmiş Kontroller

ISO/IEC 27001’in Uygulanabilirlik Beyanına olan bağımlılık kaldırılmıştır.

Şunları getirir:

• PII Denetleyicileri için 31 kontrol
• PII İşleyicileri için 18 kontrol
• Her ikisi için de geçerli 29 ortak kontrol bulunmaktadır.

“Ek kontrollere izin verilebilir” hükmü açık şekilde vurgulanmaktadır; yani listelenen kontroller zorunlu kapsamda sınırlayıcı olmayacaktır.

Bazı kontrollerin isim değişiklikleri ve küçük düzeltmeler yapılmıştır (örneğin, “Obligations to PII principals” kontrollerinden birinin ismi “Comply with obligations to PII principals” olarak yeniden tanımlanmıştır).

Yeni versiyonla birlikte, Ek B (Annex B) adıyla normatif uygulama rehberliği ekleniyor; PII controller’lar ve processor’lar için uygulama önerileri sunuluyor.

Eskiden ayrı ayrı eklerde verilen controller/processor rehberliği ve kontroller, daha sistematik şekilde yeniden yapılandırılıyor.

Bilgi güvenliği normlarına referans verme yaklaşımı değişiyor — ISO 27001 / 27002 referansları, bağımlılık içermeksizin “destekleyici referanslar” şeklinde ele alınacaktır.

7. Küresel Düzenlemelerle Uyum

• GDPR (AB) ve CCPA/CPRA (ABD) gibi gizlilik yasaları ve Afrika ve Asya’da ortaya çıkan düzenlemelerle uyumludur.

8. Yönetişim ve Hesap Verebilirlik

• Tanımlanmış gizlilik rolleri, ölçülebilir KPI’lar ve sürekli performans izleme üzerinde daha fazla vurgu.
• Denetlenebilir ve kanıtlanabilir gizlilik hesap verebilirliğini desteklemek için tasarlanmıştır.
• Özellikle üçüncü taraf hizmet sağlayıcıların (örneğin SaaS / bulut sağlayıcıları) neden olduğu riskler, veri akışı ve kontrol zinciri açısından daha güçlü şekilde ele alınacaktır.