Kişisel Veri Güvenliği Rehberine Uyumlu Musunuz?

Kişisel verilerin özel nitelikli kişisel veri olup olmadığı, mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınarak bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığı ve gerçekleşmesi durumunda yol açacağı kayıplar doğru bir şekilde belirleniyor mu?

Çalışanlara, kişisel verilerin hukuka aykırı olarak işlenmemesi ve paylaşılmaması gibi konuları içeren bilgi güvenliği farkındalığı eğitimleri veriliyor mu?

Çalışanların kişisel veri güvenliğine ilişkin rol ve sorumlulukları görev tanımlarında belirlenerek bu konudaki farkındalık sağlanıyor mu?

Kişisel veri erişimlerinde “Yasaklanmadıkça Her Şey Serbesttir” prensibi yerine, “İzin Verilmedikçe Her Şey Yasaktır” prensibine uygun hareket edilmesi konusunda bilgilendirme/bilinçlendirme yapılıyor mu?

Çalışanlara işe giriş aşamasında gizlilik sözleşmesi imzalatılıyor mu?

Çalışanların bilgi güvenliği politika ve prosedürlerine uymamaları durumunda devreye girecek bir disiplin süreci işletiliyor mu?

Veri güvenliğine ilişkin yapılan önemli politika değişikliklerinde çalışanlar bilgilendiriliyor mu?

Veri güvenliği politikası bulunuyor mu?

Politika ve prosedürler düzenli olarak güncelleniyor mu?

Alınan/alınacak güvenlik tedbirlerinin önceden belirlendiği bir olay yönetimi bulunuyor mu?

Veri kayıt sisteminde hangi kişisel verilerin bulunduğu biliniyor mu?

Veri güvenliği ihlallerinin nasıl yönetileceği belirlenmiş midir?

İşleme amaçları bakımından kişisel verilerin ihtiyaç durumu değerlendiriliyor mu?

Kişisel verilerin doğru yerde muhafaza edilip edilmediği kontrol ediliyor mu?

Sıklıkla erişimi gerekmeyen ve arşiv amaçlı tutulan kişisel verilerin güvenli şekilde saklanması sağlanıyor mu?

İhtiyaç duyulmayan kişisel veriler yönetmeliklere uygun ve güvenli bir şekilde imha ediliyor mu?

Kurumunuz adına veri işleyen firmalar veri güvenliğini sağlayacak önlemleri alıyor mu?

Kurumunuz adına veri işleyen firmalar ile imzalanan sözleşmede aşağıdaki hükümlerden hangileri bulunuyor?

Kurumunuz adına veri işleyen firmanın kişisel veri içeren sistemi üzerinde denetim süreciniz (yaptığınız veya yaptırdığınız) bulunuyor mu?

Güvenlik ağ geçidi ve web filtreleme uygulaması kullanılıyor mu?

Erişim yetki ve kontrol matrisi bulunuyor mu?

Kullanılmayan yazılımların/uygulamaların silinmesi ve servislerin durdurulmasına ilişkin süreç bulunuyor mu?

Yama yönetim süreci etkin bir şekilde uygulanıyor mu?

Kişisel veri içeren sistemlere erişim sağlanırken aşağıdaki kontrollerden hangileri uygulanıyor?

Parola politikasında aşağıdakilerden hangisi uygulanıyor?

Güncel antivirus kullanılıyor mu?

Kişisel verilerin internet veya mobil uygulamalar üzerinden temin edilmesi durumunda şifreli ağ iletişimi (SSL) kullanılıyor mu?

Zaralı yazılımların kurum ağına bulaşmasını engellemek için aşağıdaki yöntemlerden hangileri uygulanıyor?

Bilişim sistemlerinin bilinen zaafiyetlere karşı korunması için düzenli olarak zaafiyet taramaları ve sızma testleri yapılıyor mu?

Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim isteminin kötüye kullanılması gibi istenmeyen olaylarda deliller toplanıyor mu?

Toplanan deliller güvenli şekilde saklanıyor mu?

Kişisel verilerin saklandığı fiziksel ortamların çalınma veya kaybolma riskine karşı fiziksel güvenlik önlemleri alınıyor mu?

Kişisel verilerin saklandığı fiziksel ortamlar yangın, sel gibi dış risklere karşı uygun yöntemlerle korunuyor mu?

Elektronik ortamda tutulan/işlenen kişisel veriler için ağ bileşenleri seviyesinde erişim sınırlandırması uygulanıyor mu?

Kişisel veri içeren cihazların (dizüstü bilgisayar, cep telefonu, flash disk vb.) çalınması ve kaybolması durumunda veri kaybını/sızıntısını engelleyecek güvenlik önlemleri uygulanıyor mu?

Çalışanların şahsi elektronik cihazlarının, kurum ağına erişim sağlaması kapsamında güvenlik tedbirleri uygulanıyor mu?

Şifreleme anahtar yönetim süreci bulunuyor mu?

Bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin yeterli ve uygun olup olmadığı değerlendiriliyor mu?

Bulutta depolanan kişisel veriler için aşağıdaki güvenlik kontrollerinden hangileri uygulanıyor?

Bulut bilişim hizmet ilişkisi sona erdiğinde şifreleme anahtarlarının tüm kopyaları yok ediliyor mu?

Yeni sistemlerin tedariği, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınıyor mu?

Arızalandığı ya da bakım süresi geldiği için üretici, satıcı, servis gibi üçüncü kurumlara gönderilen cihazlarda kişisel veri bulunması durumunda saklama ortamı sökülerek gönderiliyor mu?

Bakım ve onarım gibi amaçlarla üçüncü taraf firmalardan gelen personelin kişisel verileri kopyalayarak kurum dışına çıkarmasının engellenmesi için
gerekli önlemler alınıyor mu?

Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması durumuna karşı yedekleme yapılıyor mu?

Yedeklenen kişisel verilere sadece sistem yöneticisi tarafından mı erişiliyor?

Veri seti yedekleri ağ dışında mı tutuluyor?

Aşağıdaki teknik tedbirlerden hangileri uygulanmaktadır?

Aşağıdaki idari tedbirlerden hangileri uygulanıyor?