Tesis Güvenlik Belgesi
Tesis Güvenlik Belgesi Nedir?
Bir tesiste bulunan veya bulunabilecek gizlilik dereceli bilgi, belge, proje ve malzemenin fiziki güvenliklerinin sağlanması için, tesisin bulunduğu yer ve çevre şartları ile maruz kalabileceği dış ve iç tehditler göz önüne alınarak projelendirilmiş olan koruma önlemlerinin uygun bulunduğunu belirten belgedir.
Tesis Güvenlik Belgesi, Milli ve NATO olmak üzere 2 (iki) çeşittir.
Tesis Güvenlik Belgesinin alınabilmesi için Milli Savunma Bakanlığı Savunma Sanayi Güvenliği Yönergesi şartlarına göre firma alt yapısının hazırlanması gerekmektedir. Bunlardan bazıları aşağıdaki gibidir:
- Fiziki Güvenlik Önlemleri
- 5188 Sayılı Özel Güvenlik Kanunu Kapsamında Alınan Önlemler
- Yangına Karşı Alınacak Önlemler
- Toplantı Odaları İçin Alınacak Önlemler
- Personel Güvenliği İçin Alınacak Önlemler
- Evrak, Doküman ve Malzeme Güvenliği İçin Alınacak Önlemler, Arşiv odası önlemleri
- Kontrollü Bölge Güvenliği İçin Alınacak Önlemler
- Kontrollü Oda Güvenliği İçin Alınacak Önlemler
- Bilgisayar Güvenliği İçin Alınacak Önlemler
Başvuru yapıldıktan sonra gerekli incelemeler yapılır ve Milli Savunma Bakanlığı ile Sanayi ve Teknoloji Bakanlığı temsilcilerinden oluşturulan bir heyet ile yerinde denetim gerçekleştirilir. Bu denetim sonucunda firmanın gerekli şartları sağladığı tespit edilirse belge düzenlenerek firmaya verilir.
DANIŞMANLIK HİZMETİ FAALİYET ADIMLARI
- Mevcut Durum Analizi Çalışmaları
- Yönetimin ve ilgili personelin mevcut durum ile ilgili bilgilendirilmesi
- Belgenin Gizlilik derecesinin belirlenmesi çalışmaları
- Kuruluş iç-dış genel emniyet düzenlemeleri
- Kuruluş giriş-çıkış kart sistemi düzenlemeleri
- Dışarıdan müdahaleye karşı alınacak önlemlerin düzenlenmesi
- Yangın önleme sistemlerinin kontrolü ve düzenlenmesi
- Güvenlik kameralarının yerleşiminin kontrolü ve gerekli düzenlemelerin yapılması
- Kontrollü Bölge, Kontrollü Oda, Server Odası ve Toplantı Odaları için gerekli hazırlıklarının yapılması
- Bulunması gereken her türlü levhanın düzeni
- Tesis olağanüstü hal planının hazırlanması
- Kişi Güvenlik Belgesi alınacak personelin tayini ve gerekli çalışmalar ile bilgilendirmeler
- Başvuru süreci için gerekli olan revizyonların ve evrakların personel ile eş zamanlı olarak tamamlanması ve tanzim edilmesi
- Gerekli form ve evrakların hazırlanması
- TÖGEK hazırlanması
- Denetim öncesi son kontroller, yapılması gerekenler ve güvenlik koordinatörünün bilmesi gerekenler ile ilgili çalışmalar.
Savunma Sanayi Güvenliği
Savunma Sanayi Güvenliğinin Amacı
Savunma Sanayi Güvenliğinin Kapsamı
Savunma Sanayi Güvenliğinin Kapsamı
> Gizlilik dereceli bilgi, belge, malzemeyi korumak,
> Çalışma ortamını güvence altına almak,
> Sanayi kuruluşlarını, güvenlik kurallarına uygun standarda getirmek,
>Gizlilik dereceli projeler için güvenli bir ortam hazırlamak,
> Savunma sanayi güvenliği ile ilgili olarak uluslararası ilişkilerde ülke çıkarları doğrultusunda gerekli çalışmaları icra etmektir.
Savunma Sanayi Güvenliğinin Kapsamı
Savunma Sanayi Güvenliğinin Kapsamı
Savunma Sanayi Güvenliğinin Kapsamı
Savunma sanayi alanında;
Tedarik edilecek teknoloji ve teçhizata ilişkin projeler dahilindeki gizlilik dereceli bilgi, belge, malzeme veya hizmetlerin, karşılıklı mübadelesi, alımı ve satımı, üretimi, depolanması, korunması, araştırılması, geliştirilmesi, montajına yönelik faaliyetlerde bulunan, kamu kurum ve kuruluşları, gerçek ve tüzel kişiler, Teknoloji Geliştirme Bölgeleri Kanununa göre kurulan tesisler ve bu faaliyet sahalarında çalışan şahıslar tarafından uyulması gereken kuralları kapsamaktadır.
Mevzuat
Savunma Sanayi Güvenliğinin Kapsamı
Mevzuat
- 5201
- Harp Araç Ve Gereçleri İle Silah,Mühimmat Ve Patlayıcı Üreten Sanayi Kuruluşlarının Denetimi Hakkında Kanun
- Harp Araç Ve Gereçleri İle Silah,Mühimmat Ve Patlayıcı Üreten Sanayi Kuruluşlarının Denetimi Hakkında Yönetmelik
- 5202
- Savunma Sanayi Güvenliği Kanunu
- Savunma Sanayi Güvenliği Yönetmeliği
- 317-2 (C)
Savunma Sanayi Güvenliği Yönergesi
Kuruluş İzni
1. GENEL:
a. 5201 sayılı Kanunun 3’üncü maddesinde “Harp araç ve gereçleri ile silah, mühimmat ve bunlara ait yedek parçalar ve patlayıcı maddeleri üretecek kuruluşların kurulması ve
işletilmesi, Sanayi ve Ticaret Bakanlığının görüşü alınmak suretiyle Milli Savunma Bakanlığının iznine bağlıdır.” ifadesi mevcuttur. Bu Kanun kapsamında “Kontrole Tabi Liste”nin nelerden ibaret olduğu, ilgili makamlar, kamu kurum ve kuruluşları ile koordineli
olarak Milli Savunma Bakanlığınca belirlenir ve her yıl Ocak ayında Resmi Gazetede tebliğ olarak yayımlanır.
b. Kontrole Tabi Liste kapsamında bulunan bir malzemenin üretimini yapacak isteklilerin, öncelikle Savunma Sanayi Milli Güvenlik Makamından Kuruluş İzni almaları gerekir. Bu
kapsamda faaliyet göstermek isteyen kuruluşlar, Milli Savunma Bakanlığınca aranan istek ve özellikleri en kısa süre içinde tamamlar ve Kuruluş İzni verilmesi talebiyle başvuruda bulunur.
c. Kurulması planlanan tesisin bulunduğu arazinin 2565 sayılı 'Askeri Yasak Bölgeler ve Güvenlik Bölgeleri Kanunu'nda belirtilen araziler içerisinde yer almaması güvence altına
alınmış olmalıdır.
2. KURULUŞ İZNİ İÇİN BAŞVURU:
a. Kontrole Tabi Liste kapsamında üretim yapmak isteyen kişi veya kuruluşlarca, bu ürünlerden hangisinin üretileceği hakkında bilgi verilerek Kuruluş İzni talebinde bulunulur.
b. Savunma Sanayi Milli Güvenlik Makamı tarafından yapılan inceleme sonunda, üretimi planlanan malzemenin Kontrole Tabi Liste kapsamında olduğunun belirlenmesini müteakip, kuruluş tarafından, aşağıda belirtilen bilgi ve belgeler dokuz nüsha dosya halinde Savunma Sanayi Milli Güvenlik Makamına gönderilir. Belgelerin, yetkili kişiler tarafından onaylanmış fotokopileri de kabul edilir.
(1) Kuruluş İzni talep eden işletmenin 29 Haziran 1956 tarihli ve 6762 sayılı Türk Ticaret Kanununa göre kurulmuş şirket olduğunu gösterir Ticaret Sicil Gazetesinin onaylı örneği.
(2) Tesisi kuracak ve işletecek olanlar ile sermaye sahiplerinin açık kimlikleri ve bu iş için koyacakları sermaye miktarı.
(3) Tesisin kurulacağı alanın; ada, pafta, parsel numaraları ve arazinin kayıtlı olduğu il ile tesise ait depo, satış merkez ve şubeleriyle idare merkezi ve bürolarının bulunacağı yerlerin adresleri.
(4) Tesisin kurulacağı alanın mülkiyeti kuruluşa ait değil ise, taşınmazın sahibi ile kuruluş arasındaki sözleşmenin onaylı sureti.
(5) Varsa üretilecek ürüne ait bilgi, belge, ürünlerin proses iş akım şemaları, tesiste olabilecek atıklar ve bertaraf yöntemlerine ilişkin bilgi ile Kapasite Raporu.
(6) Varsa ilgili Makamdan alınacak İş yeri Açma ve Çalışma Ruhsatı.
(7) Firmanın kuruluş İzni almak için başvuru yapması halinde eksik evrakları için 3 ay ek süre verilir. 3 ay içinde eksik evraklarının tamamlanmaması halinde talep iptal olur.
3. KURULUŞ İZNİ VERİLMESİ:
a. Kontrole Tabi Liste kapsamında yer alan malzemeyi üretmeyi talep eden kuruluşların başvuru belgelerinin alınmasını müteakip, Savunma Sanayi Milli Güvenlik Makamı tarafından inceleme başlatılır.
b. Yapılan inceleme sonucunda; kuruluşun verdiği belgeler ile tesisin kurulacağı araziye ait bilgilere ilişkin olarak Genelkurmay Başkanlığının görüşü alınır ve arazinin 2565 sayılı
Kanunda belirtilen ve yurt savunması bakımından stratejik önem taşıyan araziler içerisinde yer alıp almadığı tespit edilir.
c. Arazinin, 2565 sayılı Kanun kapsamında olmadığının belirlenmesi durumunda, kuruluş ile ilgili bilgi ve belgeler, Sanayi ve Teknoloji Bakanlığı, İçişleri Bakanlığı, Sağlık
Bakanlığı ve Çevre ve Şehircilik Bakanlığına gönderilerek görüşleri alınır.
ç. Alınan görüşlerin olumlu olması durumunda, Kuruluş izni için Milli Savunma Bakanının onayı alınır ve sonuç, ilgili kuruluşa bildirilir.
d. Sermaye sahiplerinin veya hissedarlarının değişmesi, başka kuruluşlarla ortaklık kurulması veya kuruluşun isminin değişmesi durumunda; Savunma Sanayi Milli Güvenlik Makamının yapacağı değerlendirme ve alacağı karara bağlı olarak Kuruluş İzni yeni isim ve unvana göre yeniden düzenlenebilir.
e. Genelkurmay Başkanlığı ile İçişleri Bakanlığının olumsuz görüş bildirmesi durumunda Kuruluş İzni verilmez ve bu husus talep eden kuruluşa bildirilir.
f. Kuruluş İzni yazısı, Milli Savunma Bakanının onayının alınmasını müteakip Milli Savunma Bakanlığı Müsteşar Teknoloji ve Koordinasyon Yardımcısı tarafından imzalanır.
g. Kuruluş İzni için herhangi bir ücret talep edilmez.
ğ. Kuruluş izni için Makam tarafından kamu yararı dikkate alınarak diğer meri mevzuatlara uyulması istenebilir ve bu hususlara uyulacağına dair taahhüt alınır.
Üretim İzin Belgesi
1. GENEL:
a. 5201 sayılı Kanunun 2’nci maddesinde “Bu kanun, her türlü harp araç ve gereçleri ile silah, mühimmat ve bunlara ait yedek parçalarla patlayıcı maddeleri üretmek üzere kurulan veya işletilen kamu kurum ve kuruluşları ile gerçek ve tüzel kişilere ait kuruluşları kapsar.” ifadesi mevcuttur.
b. Kontrole Tabi Liste kapsamında bulunan bir malzemenin üretimi için, Savunma Sanayi Milli Güvenlik Makamından Üretim İzni alınır.
c. Kurulu durumda bulunan ancak savunma sanayi alanında faaliyet göstermek üzere iş değişikliği yapmak veya alt yüklenici olarak çalışmak isteyen kuruluşlar da Savunma Sanayi
Milli Güvenlik Makamından izin alırlar. Kontrole Tabi Liste kapsamındaki malzemelerin üretimi ile ilgili olmayıp üretimi destekleyici nitelikteki hizmet üretimi kapsamına giren, malzeme taşıma, sigorta gibi üretime yardımcı faaliyetler için Üretim İzin Belgesi alınmasına gerek yoktur.
2. ÜRETİM İZNİ İÇİN BAŞVURU:
a. Kontrole Tabi Liste kapsamında üretim yapmak isteyen kuruluşlarca, bu ürünlerden hangisinin üretilmekte olduğu veya üretileceği hakkında bilgi
verilerek izin talebinde bulunulur.
b. Kişi veya kuruluş ile Savunma Sanayi Milli Güvenlik Makamının karşılıklı olarak yerine getirmeleri gereken hususları düzenleyen ve protokolde belirtilen hususlar, kuruluş
yetkililerince koşulsuz kabul edilmelidir.
3. ÜRETİM İZİN BELGESİ VERİLMESİ:
a. Savunma Sanayi Milli Güvenlik Makamı tarafından, istenen bilgi ve belgelerin alınmasını müteakip ön inceleme başlatılır.
b. Yapılan inceleme sonucunda kuruluş başvurusunun işleme alınmasının
kararlaştırılması durumunda Sanayi ve Teknoloji Bakanlığı ile ana platformlara yönelik olarak Savunma Sanayi Başkanlığı ve varsa ilgili diğer makamların konuyla ilgili görüşü istenir.
c. Alınan görüşün olumlu olması durumunda, Savunma Sanayi Milli Güvenlik Makamının koordinasyonunda, Sanayi ve Ticaret Bakanlığı personelinin de katılımıyla
oluşturulan bir heyet teşkil edilir ve üretim tesisleri denetlenir.
ç. Bu denetlemede, tesisin, 5202 sayılı Kanun kapsamında verilen Tesis Güvenlik Belgesi için aranan şartları taşıması gerekir. Gerektiğinde tesiste Tesis Güvenlik Belgesi ve Üretim İzin
Belgesi denetimi bir arada yapılabilir. Tesiste; Kontrole Tabi Liste kapsamında üretilecek malzemelere ilişkin üretim hatlarında kullanılan ve kapasite raporunda belirtilen teçhizat ve
makina parkında bulunan makinaların tetkiki, üretimin lisans veya araştırma- geliştirme ile yapılıp yapılmadığı, tesiste üretim esnasında kritik alt sistemlerin bulunup bulunmadığı,
üretimdeki yerli katkı oranlarının belirlenmesi, üretimin sürekliliğine engel olma olasılığı bulunan
darboğazlar, üretim akış şeması üzerinden üretimin izlenmesi veya gelişen teknoloji doğrultusunda bilgisayar ortamında üretimi gerçekleştirilen elektronik ürünlerin veya yazılımların ve benzeri hususların kontrolü yapılır.
d. Teşkil edilen heyet tarafından, yapılan inceleme ve üretim tesislerindeki denetlemeler,
Denetlemeye Esas Kontrol Formundaki hususlara göre yapılır ve sonuç formda belirtilir ve denetim heyetince imzalanır.
e. Hazırlanan rapor, tespit niteliğinde olup Üretim İzni verilip verilmemesine ilişkin nihai karar, Milli Savunma Bakanına aittir. Milli Savunma Bakanının onayının alınmasını ve
Savunma Sanayi Milli Güvenlik Makamı ile kuruluş arasında imzalanan protokolde belirtilen belgelendirme ücretinin Millî Savunma Bakanlığı 1 Numaralı Merkez Saymanlık Müdürlüğünün ilgili hesabına yatırıldığına dair makbuzun bir suretinin Savunma Sanayi Milli
Güvenlik Makamına ibraz edilmesini müteakip, Savunma Sanayi Milli Güvenlik Makamı tarafından Üretim İzin Belgesi tanzim edilir.
f. Üretim İzin Belgesinin geçerlilik süresinde herhangi bir kısıtlama yoktur. Savunma Sanayi Milli Güvenlik Makamı tarafından yapılacak ara denetimlerde Üretim İzin Belgesinin uygunluk durumu kontrol edilir.
g. Üretim İzin Belgesi tanzim edilirken, Kontrole Tabi Listede yer alan ilgili madde dikkate alınarak sadece üretim kabiliyeti bulunan ürünler veya ürün ailesi için üretim izni verilir.
Üretim izni verildikten sonra eğer aynı ürünün farklı model ve konfigürasyonda ürün üretilmesi planlanıyorsa, Savunma Sanayi Milli Güvenlik Makamına başvuruda bulunulur. Savunma Sanayi Milli Güvenlik Makamı, gerekli gördüğü takdirde, yerinde denetleme
yapabilir. Ürünün farklı olması durumunda yeniden Üretim İzin Belgesi için başvuru yapılır.
h. Kontrole Tabi Listede yer alan herhangi bir malzemeyi üretmek üzere izin alan kuruluşlar tarafından, Kontrole Tabi Liste kapsamındaki aynı malzeme kategorisinde olmayan diğer bir malzemenin üretilmesinin planlanması durumunda; Üretim İzin Belgesinin yenilenmesi için Savunma Sanayi Milli Güvenlik Makamına müracaat edilir.
ı. Denetim Heyetince yapılan üretim izni denetimlerinde kuruluşun üretim izni talep ettiği ürüne yönelik üretim dokümantasyonu, kalite planları ve dokümantasyonu, üretim prosesi ve
yetenekleri, test ve doğrulama altyapısı ve yetenekleri, girdi kontrolü, alt yüklenici kullanım durumu ile kalibrasyon altyapısı ve yetenekleri ile izlenebilirlik konularında inceleme ve
değerlendirmeler yapılır ve bu hususlar rapor ile kayıt altına alınır.
i. 5202 sayılı Kanun kapsamında Tesis Güvenlik Belgesi olmayan veya Üretim İzin Belgesi denetimi ile birlikte yapılan Tesis Güvenlik Belgesi denetiminin sonucu uygun bulunmayan kuruluş için Üretim İzin Belgesi verilmez.
Askeri Fabrikalar Genel Müdürlüğü Onaylı Tedarikçi İşlemleri
1.Onaylı Tedarikçi Başvurusu :
a. Firmalar tarafından, 14 Mayıs 2022 Tarihinde onaylanan Askeri Fabrikalar Genel Müdürlüğü ve Tersaneler Genel Müdürlüğü Tarafından 4734 Sayılı Kamu İhale Kanununun 3'üncü Maddesinin (B) Bendi Kapsamında Yapılacak Mal ve Hizmet Alımları Yönergesi kapsamında hazırlanan Tedarikçi Adayı Başvuru Formu doldurularak Askeri Fabrikalar Genel Müdürlüğü (AFGM) veya AFGM bağlısı Askeri Fabrikalara başvurular elden yapılacaktır.Posta yoluyla gönderilen evraklar değerlendirmeye alınmayacaktır.
b. Firmayı temsile yetkili kişilerin imza sirkülerinin aslı veya noter onaylı örneği ve/veya vekâlet aslı veya noter onaylı örneği (vekâlet, Gizlilik Sözleşmesini ve AFGM Tedarikçi Adayı Başvuru Formunu imzalamayı kapsayacak şekilde verilmiş olmalıdır) ile imza beyannamesinin aslı veya noter onaylı örneği (vekâleten başvurularda) ibrazı gerekmektedir. Gizlilik Sözleşmesi, Tedarikçi Adayı Başvuru Formu ve bütün eklerin her sayfası firmayı temsile yetkili kişi tarafından imzalanacak ve kaşelenecektir. Onaylı Tedarikçi Adayı başvuru evrakları telli dosyaya; AFGM Tedarikçi Adayı Başvuru Formu en üstte, ekleri ise başvuru formu soru sırasına göre altta olacak şekilde evraklar delinerek takılacaktır.
c. 02 Aralık 2019 ve sonraki tarihlerde yapılacak tüm işlemlerde güncel Gizlilik Sözleşmesi ve AFGM Tedarikçi Adayı Başvuru Formu kullanılacaktır.
2.Başvuru Kabulü :
Firmaların, Tedarikçi Adayı Başvuru Formu ile başvuru formunda ibraz edilmesi istenen evrakları yetkililer tarafından onaylanmış ve tam olarak sunmaları durumunda başvuruları kabul edilecektir.
3.Yerinde İnceleme :
AFGM tarafından görevlendirilecek Heyet tarafından; Firmanızın idari, teknik ve kalite uygulamalarına yönelik yapılacak değerlendirmeler neticesinde raporlama ve puanlama yapılacaktır. Heyet tarafından yapılacak Firma ziyareti esnasında, Heyetin isteyeceği bilgi ve belgeler Firma tarafından Heyet'e sunulacaktır.
4.Onaylı Tedarikçi Listesi:
Firmaların Onaylı Tedarikçi başvurularının alınması sonrasında başvurularının sonuçlanmasına müteakip Onaylı Tedarikçi Listeleri Askeri Fabrikalara yayımlanacak olup, Onaylı Tedarikçi olan firmaya ise Onaylı Tedarikçi olduğu yazılı olarak bildirilecektir.
Bilgi Güvenliği Yönetim Sistemi (BGYS)
Kapsam
Akreditasyon
Akreditasyon
ISO/IEC 27001:2013 Standardının zorunluluklarını tümüyle karşılayarak standarda uyumluluğu sağlar.
Bilgi Güvenliği Yönetimi Sürecindeki; Kapsam,
- Bilgi Güvenliği Politikası,
- Varlık Envanteri,
- Risk Değerlendirme metodolojisi,
- Risk Analizi,
- Risk Yönetimi,
Modüllerini kapsamaktadır.
Akreditasyon
Akreditasyon
Akreditasyon
ABGYS Aracı, Avrupa Birliğinin yapısında bulunan ENISA-European Network and Information Security Agency (Avrupa Ağ ve Bilgi Güvenliği Ajansı) tarafından test edilerek akredite edilen yazılımlar arasında
http://rm-inv.enisa.europa.eu/methods_tools/t_sisms.html web sayfasında RA/RM tool olarak yayınlamış, ilk ve tek Türk “Bilgi Güvenliği Yönetim Sistemi” yazılımıdır.
ABGYS ile;
ABGYS’nin Ayırt Edici Özellikleri;
ABGYS’nin Ayırt Edici Özellikleri;
ISO/IEC 27000 Standart ailesinin anlaşılması zor ve karmaşık yapısı yapay zekâ uygulamaları ile kullanılması ve anlaşılması kolay bir hale getirilmiştir. BGYS kurulumunda;
Maliyet Düşürücü ve Standart/Kalite Yükseltici özelliğe sahiptir.
ABGYS’nin Ayırt Edici Özellikleri;
ABGYS’nin Ayırt Edici Özellikleri;
ABGYS’nin Ayırt Edici Özellikleri;
- Ağ üzerinde çalışan donanım varlıklarının tespit edilmesi ve elle varlık girişi yapılabilmesi, Varlıkların bir varlık grubu (üst varlık) altında toplanarak değerlendirilmesi,
- Varlıkların değerlerinin 3 farklı yöntemle hesaplanabilmesi,
- Dört adet niteliksel (Octave Allegro dahil) ve bir adet niceliksel olmak üzere beş farklı risk değerlendirme metodolojisi kullanabilme özelliği,
- Varlıkların türlerine göre (varlık grupları dahil) tehdit ve zafiyetlerinin ve risk değerlerinin otomatik belirlenmesi,
- Kendi varlık türlerini ekleyebilme,
- Sistem üzerinde tanımlanmış ve kategorilere ayrılmış güncellenebilir bilgi varlık türleri ve bunlarla ilişkilendirilmiş güncellenebilir tehditler ve zafiyetler,
- Varlıklara yönelik tehditlere göre korumaların otomatik belirlenmesi,
- Kendi korumalarını ekleyebilme ve tehditlerle ilişkilendirme,
- Varlık envanteri, risk değerlendirme raporu ve uygulanabilirlik bildirgesinin hazırlanması,
- Mevcut durum tespiti (GAP analizi) yapabilmesi,
- Standardın zorunlu dokümantasyonunun otomatik hazırlanması,
- Türkçe menü ve yardım,
- Farklı dil seçenekleriyle kullanabilme,
- Farklı yetki seviyelerinde kullanıcı rolleri belirleme,
- Kullanıcıları farklı yetki seviyelerindeki rollere atama ve LDAP (Aktif Dizin) ile bütünleşik etkin Kullanıcı Yönetimi,
- Kurumsal unvan, sektör, logo, adres bilgileri, hiyerarşik kurum birimleri ve iş süreçleri tanımlama,
- İş süreçlerini varlıklar ve birimlerle ilişkilendirme,
- Tüm çalışanların kullanabileceği web tabanlı yazılım.
- Maliyet avantajı.
ISO/IEC 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ
ISO 27001:2005 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ
Bilgi, kuruluşunuzun faaliyetleri ve belki devamı için büyük bir önem taşır. ISO/IEC 27001 Belgesi değerli bilgi varlıklarınızı yönetmenize ve korumanıza yardımcı olur.
ISO/IEC 27001, Bilgi Güvenliği Yönetimi Sistemi (ISMS) gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır. Yeterli ve orantılı güvenlik denetimleri seçilmesini sağlamak için tasarlanmıştır.
ISO 27001 Kurumların risk yönetimi ve risk işleme planlarını, görev ve sorumlulukları, iş devamlılığı planlarını, acil durum olay yönetimi prosedürleri hazırlamasını ve uygulamada bunların kayıtlarını tutmasını gerektirir. Kurum tüm bu faaliyetlerin de içinde yer aldığı bir bilgi güvenliği politikası yayınlamalı ve personelini bilgi güvenliği ve tehditler hakkında bilinçlendirmelidir. Seçilen kontrol hedeflerinin ölçülmesi ve kontrollerin amacına uygunluğunun ve performansının sürekli takip edildiği yaşayan bir süreç olarak bilgi güvenliği yönetimi ancak yönetimin aktif desteği ve personelin katılımcılığıyla başarılabilir.
Bu, bilgi varlıklarınızı korumanıza ve ilgili taraflara, özellikle de müşterilerinize güven vermenize yardımcı olur. Bu standart, Bilgi Güvenliği Yönetimi Sisteminizi oluşturmak, uygulamak, işletmek, izlemek, incelemek, sürdürmek ve geliştirmek için süreç yaklaşımını benimser.
ISO 27001 Kimi ilgilendirir ?
ISO/IEC 27001, dünyanın hangi Ülkesinden veya hangi sektörden olursa olsun büyük küçük tüm kuruluşlara uygundur. Bu standart, finans, sağlık, kamu ve BT sektörleri gibi bilginin korunmasının büyük öneme sahip olduğu alanlarda özellikle gereklidir.
ISO/IEC 27001, BT taşeron şirketleri gibi bilgiyi başkaları adına yöneten kuruluşlar için de oldukça önemlidir, müşterilere bilgilerinin koruma altında olduğu güvencesini vermek için kullanılabilir.
ISO/IEC 27001 İle ilgili Terim ve Kavramlar
Bilgi Güvenliği Yönetim Sistemi (BGYS): Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçası.
Risk analizi: Kaynakları belirlemek ve riski tahmin etmek amacıyla bilginin sistematik kullanımı.
Risk değerlendirme: Risk analizi ve risk derecelendirmesini kapsayan tüm proses.
Risk derecelendirme: Riskin önemini tayin etmek amacıyla tahmin edilen riskin verilen risk kriterleri ile karşılaştırılması prosesi.
Risk yönetimi: Bir kuruluşu risk ile ilgili olarak kontrol etmek ve yönlendirmek amacıyla kullanılan koordineli faaliyetler.
Risk işleme: Riski değiştirmek için alınması gerekli önlemlerin seçilmesi ve uygulanması prosesi.
Uygulanabilirlik bildirgesi: Kuruluşun BGYS'si ile ilgili ve uygulanabilir kontrol amaçlarını ve kontrolleri açıklayan dokümante edilmiş bildirge.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurmanın Yararları
• Bilgi varlıklarının farkına varma: Kuruluş hangi bilgi varlıklarının olduğunu, değerinin farkına varır.
• Sahip olduğu varlıkları koruyabilme: Kuracağı kontroller ile koruma metodlarını belirler ve uygulayarak korur.
• İş sürekliliği: Uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olur.
• İlgili taraflar ile barış halinde olma: Başta tedarikçileri olmak üzere, bilgileri korunacağından ilgili tarafların güvenini kazanır.
• Bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz.
• Müşterileri değerlendirirse, rakiplerine göre daha iyi değerlendirilir.
• Çalışanların motivasyonunu arttırır.
• Yasal takipleri önler.
• Yüksek prestij sağlar.
ISO 27001 Bilgi Güvenliği Sistemi Kurma Aşamaları
• Varlıkların sınıflandırılması,
• Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi,
• Risk analizi,
• Risk analizi çıktılarına göre uygulanacak kontrolleri belirleme,
• Dokümantasyon oluşturma,
• Kontrolleri uygulama,
• İç tetkik,
• Kayıtları tutma,
• Yönetimin gözden geçirmesi,
• Belgelendirme