KVKK Risk Analizi ve Değerlendirme ISO 27001 Bazlı Risk Yönetimi Yol Haritası
KVKK uyumunda Risk Analizi ve Değerlendirme; idari tedbirlerin merkezinde yer alan, “kişisel verileri” odağa alarak riskleri tespit etme, ölçme, önceliklendirme ve risk işleme planı ile yönetme sürecidir. Bu yaklaşım, kurumun güvenlik yatırımlarını rastgele değil; risk temelli şekilde kurgulamasını sağlar.
Uygulamada risk yönetimi, çoğu kurumda ISO 27001 gibi bilgi güvenliği yönetimi yaklaşımlarıyla uyumlu şekilde ele alınır: politika ve prosedürler tanımlanır, departmanlardan risk girdileri toplanır, olasılık × şiddet mantığıyla risk matrisi oluşturulur ve “artık risk” için kabul kriterleri belirlenir. Sürece Kişisel Veri Koruma Komitesi liderlik ettiğinde sürdürülebilirlik artar.
Çıktılar: Risk yönetimi politikası + risk değerlendirme prosedürü + risk envanteri + risk matrisi + risk işleme planı.
Kriterler: Risk transferi, artık risk kabul, risk işleme standartları.
Sahiplik: KVKK/Veri Koruma Komitesi liderliği + departman temsilcileri + BT/Güvenlik koordinasyonu.
1. KVKK Risk Analizi Nedir? Kapsam ve Amaç
KVKK risk analizi; kurumda işlenen kişisel veriler açısından tehditleri (örn. yetkisiz erişim, sızıntı, yanlış alıcıya gönderim) ve zafiyetleri (örn. zayıf erişim kontrolü, hatalı süreç, yanlış yetkilendirme) belirleyip, bunların olası etkisini değerlendirerek risk seviyesini ortaya koyan idari bir süreçtir.
Temel amaç, KVKK kapsamındaki teknik ve idari tedbirlerin “neye göre” seçildiğini göstermek ve kaynakları öncelikli risk alanlarına yönlendirmektir.
1.1. Risk Analizi Hangi Sorulara Cevap Verir?
- Ne korunuyor? (kişisel veri kategorileri, ilgili kişi grupları, sistemler)
- Ne yanlış gidebilir? (tehdit senaryoları ve zafiyetler)
- Ne kadar kötü olur? (etki/şiddet: finansal, hukuki, itibar, operasyonel)
- Ne kadar olası? (olasılık: geçmiş olaylar, mevcut kontroller, maruziyet)
- Ne yapılacak? (risk işleme: azalt, aktar, kabul, kaçın)
2. ISO 27001 Yaklaşımıyla Risk Yönetimi Bileşenleri
ISO 27001 temelli yaklaşım, risk yönetimini kurumsal bir çerçeveye oturtur. KVKK risk analizi çalışmasında da benzer şekilde: politika ve prosedürler tanımlanır, kriterler netleştirilir ve ölçülebilir bir matrisle riskler yönetilir.
| Bileşen | Ne Tanımlar? | Tipik Çıktı |
|---|---|---|
| Risk Yönetimi Politikası | Yaklaşım, kapsam, roller, prensipler ve yönetim onayı | Politika dokümanı + yönetim imzası |
| Risk Yönetimi / Değerlendirme Prosedürü | Metodoloji, ölçüm, sıklık, raporlama, gözden geçirme | Prosedür + şablonlar (risk formu, rapor) |
| Risk Kriterleri | Olasılık/şiddet ölçekleri, skorlar, eşikler | Tanımlı ölçek + matris |
| Risk İşleme Standartları | Azaltma/aktarma/kabul/kaçınma kararlarının kuralları | Risk işleme rehberi + aksiyon planı |
| Risk Kabul & Artık Risk | Kabul edilebilir risk seviyeleri ve onay mekanizması | Artık risk kabul kriteri + karar kayıtları |
| Komite Yönetimi | Sahiplik, koordinasyon, takip ve iyileştirme | Komite yönergesi + toplantı tutanakları |
3. Adım Adım Risk Değerlendirme Süreci
Risk analizini hızlı ve uygulanabilir kılmak için aşağıdaki akış çoğu kurumda işe yarar. Amaç; departmanların sahip olduğu süreçleri “kişisel veri” lensiyle taramak ve ölçülebilir sonuç üretmektir.
3.1. Uygulanabilir Akış
- Kapsamı belirle: Hangi süreçler/sistemler/ilgili kişi grupları dahil?
- Departman risk formu: Her departmanın kişisel veri odaklı riskleri doldurması.
- Tehdit-zafiyet eşleştir: Riskin nasıl oluştuğu (senaryo) yazılır.
- Mevcut kontrolleri kaydet: Erişim, log, şifreleme, prosedür, eğitim vb.
- Olasılık & şiddet skorla: Risk matrisiyle risk seviyesi hesaplanır.
- Risk işleme kararı: Azalt/aktarma/kabul/kaçınma + sorumlu + tarih.
- Artık risk değerlendirmesi: Kontroller sonrası kalan risk ve kabul kriteri.
- Raporla ve izle: Komite toplantılarıyla aksiyonların takibi.
3.2. Risk Transferi ve Kabul Kararı
Risk transferi (ör. sigorta, sözleşmesel taahhüt, tedarikçi SLA) tek başına “risk bitti” anlamına gelmez. Transfer edilen riskin izlenmesi ve tedarikçi kontrollerinin doğrulanması gerekir. Benzer şekilde “kabul” kararı için kabul kriterleri önceden tanımlanmalı ve yönetim onayı kayıt altına alınmalıdır.
4. Örnek Risk Alanları: Departman Bazlı Kişisel Veri Riskleri
Departmanlardan risk girdisi toplarken “teknik” ve “süreç” kaynaklı riskleri birlikte görmek gerekir. Aşağıdaki örnekler, risk formu doldururken departmanlara yol gösterir.
| Departman | Örnek Risk Senaryosu | Tipik Kontroller (Örnek) |
|---|---|---|
| İnsan Kaynakları | Başvuru/özgeçmiş dosyalarının gereğinden uzun saklanması; yetkisiz erişim | Rol bazlı erişim, saklama-imha, dosya şifreleme, eğitim |
| Müşteri Hizmetleri | Yanlış kişiye bilgi paylaşımı; kimlik doğrulama eksikliği | Kimlik doğrulama script’i, çağrı kayıt politikası, denetim örneklemesi |
| Pazarlama | İzinsiz ileti gönderimi; rıza kaydının ispatlanamaması | Rıza yönetimi, kayıt/log, tercih merkezi, segmentasyon minimizasyonu |
| BT / Güvenlik | Zayıf erişim kontrolü veya yama eksikliği nedeniyle yetkisiz erişim | MFA, yama yönetimi, SIEM/log, zafiyet tarama, pentest |
| Operasyon / Mağaza | Hatalı veri girişi (yanlış e-posta/telefon) ile yanlış alıcıya gönderim | Doğrulama adımı, çift kontrol, alan format kontrolleri, eğitim |
| Tedarik / Satınalma | Tedarikçinin yeterli güvenlik önlemi olmaması; veri sızıntısı riski | Sözleşme maddeleri, denetim hakkı, tedarikçi risk puanlama |
5. Matris, Kriterler, Artık Risk ve Risk İşleme Standartları
Risk analizi çıktılarının “yönetilebilir” olması için kurumun ortak bir dil kullanması gerekir. Bu dil; olasılık/şiddet ölçekleri, risk eşikleri ve karar kriterleriyle sağlanır.
5.1. Olasılık ve Şiddet Ölçeği (Örnek)
| Seviye | Olasılık (Örnek) | Şiddet / Etki (Örnek) |
|---|---|---|
| 1 | Nadir (çok istisnai) | Düşük: sınırlı etki, hızlı telafi |
| 2 | Az olası | Orta: süreç aksaması / sınırlı şikayet |
| 3 | Olası | Yüksek: önemli operasyonel + itibar etkisi |
| 4 | Yüksek olasılıklı | Çok yüksek: yaygın etki, ciddi uyum riski |
| 5 | Çok yüksek (sık) | Kritik: ciddi ihlal, uzun süreli olumsuz sonuç |
5.2. Risk İşleme Standartları
- Azalt (Mitigate): Kontrol ekle/güçlendir (MFA, şifreleme, süreç kontrolü, eğitim).
- Aktar (Transfer): Sigorta/sözleşme/SLA ile riskin bir kısmını transfer et (takip şart).
- Kabul (Accept): Kriterlere göre yönetim onayıyla artık riski kabul et.
- Kaçın (Avoid): Süreci durdur/yeniden tasarla; riskin oluşma yolunu ortadan kaldır.
5.3. Artık Risk Kabul Kriterleri
Kontroller sonrası kalan riskin kabul edilebilir olup olmadığı; önceden tanımlı kabul kriterleriyle belirlenmelidir. Örnek yaklaşım: “Kritik ve yüksek riskler kabul edilmez; orta riskler aksiyon planıyla düşürülür; düşük riskler izlenir.” Kurumun risk iştahına göre bu eşikler farklı olabilir.
6. Sık Sorulan Sorular
Risk yönetimi politikası neden şart?
Politika; kapsamı, sorumlulukları ve yaklaşımı standardize eder. Böylece departmanlar aynı yöntemle risk bildirir, komite aynı kriterlerle karar verir ve denetimde “neden böyle yaptık?” sorusu net cevaplanır.
Departmanlardan risk girdisi nasıl toplanmalı?
Kısa ve net bir risk formu ile: süreç adı, işlenen kişisel veri kategorileri, tehdit/zafiyet senaryosu, mevcut kontroller, olasılık-şiddet skoru, önerilen aksiyon ve sorumlu alanları yeterli olur.
Risk transferi riski tamamen ortadan kaldırır mı?
Hayır. Risk transferi, riskin bir kısmını paylaşır; ancak kurumun hesap verebilirliğini sıfırlamaz. Tedarikçi kontrolleri ve sözleşmesel doğrulama süreçleriyle izlenmelidir.
Risk matrisi “tek doğru” mudur?
Hayır. Önemli olan matrisi kurumun risk iştahına ve veri yoğunluğuna göre tanımlamak ve zamanla olgunlaştırmaktır. Ölçeklerin tutarlı ve kayıtlı olması, karşılaştırılabilirlik sağlar.
İlgili hizmet: KVKK danışmanlığı hizmetimiz hakkında detaylı bilgi almak için sayfamızı inceleyebilirsiniz.
