Anasayfa/ Makale/ Kurumsal Bilgi Güvenliği Standartları ve Hukuki Yükümlülükler

Kurumsal Bilgi Güvenliği Standartları ve Hukuki Yükümlülükler

Kurumlar; ISO 27001, COBIT ve SOX gibi uluslararası standartlar çerçevesinde bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamakla hukuken yükümlüdür. Bilgi güvenliği ihlallerinin artması, bu standartlara uyumu zorunlu kılmıştır. Bu yazıda, bilgi güvenliği standartları ve kurumsal hukuki yükümlülükler detaylıca incelenmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:

Günümüzde bilişim teknolojilerinin hızla gelişmesi ve verilerin dijital ortamlarda devasa boyutlarda depolanması, bilgi güvenliği kavramını doğrudan hukuki bir zemine taşımıştır. Bilgi güvenliği, kurumların sahip olduğu bilgi varlıklarının izinsiz veya yetkisiz bir biçimde erişilmesini, kullanılmasını, değiştirilmesini ve ifşa edilmesini önleme amacı taşır. Hukuki bir perspektiften değerlendirildiğinde, şirketler sahip oldukları kurumsal bilgi varlıklarının ve kişisel verilerin korunması konusunda çok ağır sorumluluklar altındadır. Bilgi güvenliğinin üç temel unsuru olan gizlilik, bütünlük ve erişilebilirlik, kurumsal yasal yükümlülüklerin temelini oluşturur. Sözleşmelerle veya kanunlarla koruma altına alınan verilerin güvende tutulması, kurumsal itibarın ötesinde bağlayıcı bir hukuki zorunluluktur. Bilişim dünyasında kurumlar, geçerli bilgi güvenliği standartlarına uyum sağlayarak sundukları hizmetlerde oluşabilecek riskleri minimize etmek durumundadır.

Bilgi Güvenliğinin Temel Unsurları ve Hukuki Boyutu

Hukuk uygulamaları bağlamında bilgi güvenliği, sadece teknik bir altyapı meselesi değil, aynı zamanda idari ve yasal bir uyum sürecidir. Kurumlar, hizmet sundukları kişilerin verilerini korumak için gizlilik, bütünlük ve erişilebilirlik ilkelerine mutlak suretle riayet etmek zorundadır. Gizlilik ilkesi, bilgiye sadece yetkilendirilmiş kişilerce ulaşılabilmesini güvence altına alır; özellikle yasal koruma altındaki durumlarda veya gizlilik sözleşmelerinde büyük önem taşır. Bütünlük ilkesi, verinin yetkisiz kişilerce değiştirilmesine veya yok edilmesine karşı korunmasını, yani verinin kesin, doğru ve geçerli kalmasını hukuken güvence altına almayı ifade eder. Son olarak erişilebilirlik ilkesi, doğru yetkilendirilmiş kişilerin ihtiyaç duydukları anda hizmete ve veriye ulaşabilmesini sağlar. Verinin bütünlüğünün sağlanamadığı bir senaryoda, eksik veya yanlış bilgi ortaya çıkacak, bu da doğrudan hukuki ihtilaflara ve telafisi güç kurumsal tazminat sorumluluklarına yol açabilecektir.

Uluslararası Bilgi Güvenliği Standartları ve Kurumsal Uyum

Kurumların yasal yükümlülüklerini kusursuz yerine getirebilmesi ve güvenlik risklerini yönetebilmesi için uluslararası bilgi güvenliği yönetim sistemlerine tam uyum sağlaması gerekmektedir. Bu kapsamda öne çıkan ISO/IEC 27001 standardı, kuruluşların bilgi güvenliği risklerini kurmak, izlemek ve iyileştirmek için temel yasal ve operasyonel gereksinimleri kapsar. Özellikle güven ve güvenilirliğin hayati önem taşıdığı sektörlerde, bilgi güvenliği yönetim sistemleri standardına uygunluk, mevzuat açısından bir zorunluluk olarak değerlendirilmektedir. Öte yandan, bir bilgi teknolojileri yönetişim modeli olan COBIT standartları, ülkemizde Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından regüle edilerek bankacılık sektörü için yasal bir çerçeve haline getirilmiştir. Ayrıca, finansal sahtekarlıkların önüne geçmek amacıyla ABD'de yürürlüğe giren ve küresel ticari etkileri olan Sarbanes-Oxley Yasası (SOX), şirket yöneticilerine ağır cezai yaptırımlar getirmiştir. SOX yasası, yerel düzenleyicilerin de benzer iç kontrol ve denetim mekanizmalarını hayata geçirmesine emsal oluşturmuştur.

Kurumsal Yükümlülükler Kapsamında Çerçeve Standartlar

Bilişim hukuku bağlamında kurumların uygulaması gereken temel denetim ve yönetişim çerçeveleri, şirketlerin yasalara uyum sürecini doğrudan etkilemektedir. Kurumların yasal sorumluluklarını sınırlandırabilmeleri ve faaliyetlerini mevzuata uygun sürdürebilmeleri için aşağıdaki standartlara entegre olmaları büyük önem taşır:

  • ISO/IEC 27001: Tüm kuruluş türlerini kapsayan, bilgi güvenliği yönetim sisteminin kurulması, sürdürülmesi ve iyileştirilmesini taahhüt eden uluslararası bağlayıcı standarttır.
  • COBIT: Bilgi teknolojileri hedefleri ile iş hedeflerini bir araya getiren, ülkemizde bankacılık sektöründe BDDK tebliğleriyle yasal bir alt yapıya kavuşan yönetişim modelidir.
  • COSO: Risklerin tespit edilmesi, işlemlerin etik ve yasalara uygun gerçekleştirilmesi ve hesap verebilirlik sorumluluğunun yerine getirilmesi için tasarlanmış bütünleşik iç kontrol çerçevesidir.
  • Sarbanes-Oxley Yasası (SOX): Kurumsal finansal sahtekarlıkları önlemeye yönelik olarak, şirket üst yöneticilerine şahsi ve cezai sorumluluklar yükleyen, hisse senedi sahtekarlıklarını ağır suç kapsamına alan yasal düzenlemedir.

Bilgi Güvenliği İhlalleri ve Hukuki Yaptırımlar

Şirketlerin belirlenmiş bilgi güvenliği politikalarına uyum sağlamaması, yalnızca kurumsal itibar ve veri kaybına değil, aynı zamanda ciddi idari para cezalarına ve tazminat davalarına sebebiyet vermektedir. Kurumsal bilgi varlıklarının güvenliği kanunlara uygun şekilde sağlanmadıkça, müşterilerin ve paydaşların kişisel verilerinin güvenliği de hukuken temin edilemez. Güven esasına dayalı olarak çalışan kurumların bu verileri koruyamaması, yasal yükümlülüklerin ağır bir ihlali anlamına gelir. Hizmet alan dış müşteriler ve paydaşlar açısından, ilgili kurumun yasal yükümlülüklerini yerine getirdiğini bilmesi en temel haklarındandır. Bilgi sistemleri güvenlik standartlarının etkin bir biçimde uygulanması, olası sızıntı ihlallerinde şirketin hukuki kusur oranını hafifleten bir unsur olarak işlev görür. Standartlara kasten veya ihmalen uyulmaması durumunda ise şirket yöneticileri, yargı mercileri önünde doğrudan ihmalkarlık ve denetim eksikliği sebebiyle sorumlu tutulacaktır.

Şirketimizin müşteri verileri çalınırsa başımıza hukuken ne iş açılır? expand_more
Kurumların bilgi güvenliği politikalarına uymaması ve veri sızıntısı yaşanması, kurumsal itibar kaybının yanı sıra ciddi idari para cezalarına ve tazminat davalarına sebebiyet vermektedir. Güven esasına dayalı olarak müşterilerinizden topladığınız bu verileri koruyamamanız, kanuni yükümlülüklerinizin çok ağır bir ihlali olarak kabul edilir. Zira kurumsal bilgi varlıklarının güvenliği yasalara uygun sağlanmadıkça, kişisel verilerin güvenliğinden de hukuken söz edilemez. Müşterilerinizin, kendilerine ait verilerin korunması için yasal yükümlülüklerinizi yerine getirdiğinizi bilmesi onların en temel hakkıdır.
Sadece teknik önlem alsak yetmiyor mu, illa ISO belgesi almalı mıyız? expand_more
Hukuk uygulamaları bağlamında bilgi güvenliği yalnızca bir teknik altyapı meselesi değil, aynı zamanda idari ve yasal bir uyum sürecini ifade eder. Sözleşmeler ve kanunlarla koruma altına alınan verilerin güvenliğini sağlamak kurumunuz için bağlayıcı bir hukuki zorunluluktur. Bu kapsamda şirketinizin, tüm kuruluş türlerini kapsayan ve uluslararası bağlayıcılığı olan ISO/IEC 27001 bilgi güvenliği yönetim standartlarına entegre olması gerekmektedir. Bu standartların etkin bir biçimde uygulanması, olası bir veri sızıntısında şirketinizin hukuki kusur oranını hafifleten çok önemli bir yasal kalkan işlevi görecektir.
Sistemde açık çıkarsa şirket yöneticisi olarak doğrudan ben ceza alır mıyım? expand_more
Evet, yöneticilerin bilgi güvenliği konusundaki yükümlülükleri yasalarla çok net bir şekilde belirlenmiştir ve ihlal durumunda doğrudan şahsi sorumlulukları doğabilmektedir. Eğer şirketinizdeki güvenlik standartlarına kasten veya ihmal sonucu uyulmazsa, yöneticiler olarak yargı mercileri önünde doğrudan ihmalkarlık ve denetim eksikliği gerekçesiyle sorumlu tutulursunuz. Ayrıca SOX yasası gibi küresel ticari etkileri olan düzenlemeler de, finansal sahtekarlıkları önlemek amacıyla şirket üst yöneticilerine doğrudan şahsi ve cezai sorumluluklar yükleyen mekanizmalara sahiptir. Yasalara uyum sürecini denetlememek ve gerekli iç kontrol mekanizmalarını kurmamak, yönetici olarak sizi ciddi bir hukuki risk altında bırakır.
Sistemdeki kayıtlar birisi tarafından değiştirilirse tazminat öder miyiz? expand_more
Kesinlikle ödeyebilirsiniz, zira hukukumuzda bilgi güvenliğinin en önemli yasal unsurlarından biri verinin doğruluğunu ve değişmezliğini güvence altına alan bütünlük ilkesidir. Verinin bütünlüğünün sağlanamadığı ve yetkisiz kişilerce değiştirildiği bir senaryoda mecburen eksik veya yanlış bilgiler ortaya çıkacaktır. Bu durum, kurumunuz açısından doğrudan hukuki ihtilafların doğmasına ve telafisi güç kurumsal tazminat sorumluluklarının gündeme gelmesine yol açar. Dolayısıyla verilerin dışarıdan veya içeriden manipüle edilmesini engelleyecek idari ve yasal standartlara mutlak suretle riayet etmek zorundasınız.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir