yys, iso 9001, iso 27001 · pwc yetkilendirilmi yükümlü sertifikası bavurusu Ön artlar...

YYS, ISO 9001, ISO 27001

15. ÇözümOrtaklığıPlatformu

15 Aralık 2016

www.pwc.com.tr

Yetkilendirilmiş Yükümlü Statüsü

PwC

YYS Arka Plan

• İlk olarak 10.01.2013 tarih ve 28524 sayılı Resmi Gazete’de yayımlanan ve 21.05.2014 tarih ve 29006 sayılı Resmi Gazete’de yayımlanarak değiştirilip son halini alan Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği’nde düzenlenmiştir.

• A ve B sınıfı OKSB belgelerinin süreleri 07.10.2016’da yayımlanan Gümrük Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik ile 15/8/2017 tarihine kadar uzatılmıştır.

• 05.12.2016’da Yetkilendirilmiş Yükümlü Soru Formu Hazırlama Rehberi yayımlanmıştır.

• Bu rehberde, Soru Formunda yer alan soruların amaçları, sıkça karşılaşılan hatalar gibi bilgilere yer verilmiştir.

3

15 Aralık 201615. Çözüm Ortaklığı Platformu

PwC

Yetkilendirilmiş Yükümlü Sertifikası Başvurusu Ön Şartlar

Faaliyet

ISO 9001

ISO 27001

İşlem Hacmi

Türkiye Gümrük bölgesinde yerleşik ve en az 3 yıldır fiilenfaaliyet gösteriyor olmak.

ISO 9001 Dış ticaret, gümrükleme, yönetim ve idariorganizasyon faaliyetlerini kapsamalıdır.

ISO 27001 İthalat, ihracat, transit, gümrükleme, lojistik, depo-lama, muhasebe, finans ve bilgi işlem faaliyetlerine ait elektronik bilgi varlıklarını kapsamalıdır.

Başvuru yapılan yıldan önceki yıl içinde veya geriye dönük 1 yıliçerisinde gümrük idaresinde en az 100 adet beyan kapsamındaişlem yapılmış olması.

4


PwC

YYS Başvuru Akış Şeması

Gerekli tüm bilgiler ve belgeler hazırlanır

İlgili Bölge Müdürlüğü

İlgili bilgi ve belgeler tam

mı?15 iş günüEksiklerin

tamamlanması 10 iş

günü

Eksik belgelerin tamamlanması için 30 iş günü ek süre verilir.

5 iş günü

Genel Müdürlük

10 iş günü içerisinde başvuru incelenir. Tamamlanan

eksikliklerin kontrolü 10 iş günü içerisinde yapılır.

YYS Başvurusu yapan firma

Eksik ve yetersiz bilgi olması halinde 5 iş günü içerisinde eksikler firmaya

bildirilir.

20 gün içerisinde eksik ve yetersiz olduğu tespit edilen hususlar giderilecek şekilde soru

formunun düzenlenmesi için ek süre verilir.

Sonradan kontrol yapacak yetkililer

belirlenir.

10 iş günü (Başvuru sahibine bildirilerek bu

süre 10 iş günü uzatılabilir

Yerinde İnceleme

30 iş günü içerisinde tüm koşullar yerinde

incelememe kapsamında

değerlendirilir. (Eksikliklerin

giderilmesi için 30 iş günü ek süre tanınır.)

Düzenlenen rapor Gümrük

Müdürlüğüne gönderilir.

(İncelemenin bitimine müteakip 5 iş günü içerisinde)

Kayıtlara alınmasına müteakip genel

müdürlük 10 iş günü içerisinde raporu

inceler

İncelemeye müteakip 5 iş günü içerisinde başvuru

reddi veya sertifika düzenlenmesi için Bölge

Müdürlüğüne bilgi verilir.

5


PwC

YYS Başvurusu Değerlendirme Kriterleri

• Gümrük yükümlülüklerini zamanında ve tam yerine getirmek,

• Mali yeterlilik,

• Kayıt sistemi düzenli ve incelenebilir olması,

• Emniyet ve güvenlik standartlarına sahip bulunmak,

• Eşyanın gümrük idaresine doğru beyan edilmesini teyit ve tevsik edecek kurum içi birsistematiğe sahip olmak,

Gümrük konularıyla ilgili birimlerinde ve buna ilişkin iç kontrol süreçlerinde gümrükkonularında bilgili ve tecrübeli personel istihdam etmek

Gümrük konularında bilgili ve tecrübeli personel istihdam eden tüzelkişilerden gümrük konuları ve buna ilişkin iç kontrol süreçlerine yönelikdanışmanlık hizmeti almak.

6


PwC

YYS Başvurusu Değerlendirme KriterleriTemel Kriterler

• ‘Öz Değerlendirme Formu’ ışığında Sonradan Kontrol Görevlisince Firmanın Tesislerinde değerlendirilir

Emniyet ve GüvenlikKoşulu:

8 Gösterge

59 Soru

Ticari KayıtlarınGüvenilirliği ve

İzlenebilir OlmasıKoşulu:

10 Gösterge

36 Soru

7


PwC

YYS Başvurusu Değerlendirme KriterleriTemel Kriterler

1. Yazılı Usul ve Esaslar Mevcut mu?

• Yazılı talimat, kurum içi sirküler, sözleşme, rehber, kitapçık, sertifika, standartbelgesi vb. örneklerin forma eklenmesi beklenmektedir.

2. Fiili Uygulama Var mı?

• Uygulamaya ilişkin detayların anlatılması gerekmektedir.

8


PwC

YYS Başvurusu Değerlendirme Kriterleri Puanlama Yöntemi

Puanlama

0 puan: Yazılı usul ve

uygulama yok

3 Puan: Yazılı usul ve fiili

uygulamanın her ikisi de

yeterli yüzeyde mevcut

1 Puan: Yazılı usul veya

uygulamadan yalnız biri mevcut

1- Herhangi bir sorudan “0” puan alınmamış olması,

2- Ticari Kayıtların Güvenilirliği ve İzlenebilir Olması

koşuluna ilişkin sorulara ilişkin alınan toplam puanın,

alınabilecek en yüksek toplam puanın % 80’inin üzerinde

olması

108, > 86 puan,

3- Emniyet ve Güvenlik Koşuluna ilişkin sorulardan

alınan toplam puanın, alınabilecek en yüksek toplam

puanın % 65’in üzerinde olması

177, > 115 puan,

9


PwC

Yerinde İnceleme İnceleme süreci

Yerinde inceleme yapılması için Risk Yönetimi ve Kontrol Genel Müdürlüğünce 10 iş günü içerisinde ilgili yönetmeliğe sonradan kontrol işlemlerini yapmak üzere yetkilendirilmiş olan sonradan kontrol yetkilisi görevlendirilmesine ilişkin işlemler tamamlanır.

• Sonradan kontrol yetkilisince, başvuru sahibinin ticari faaliyetlerine ilişkin tesislerinde, kayıtların izlenebilirliği, emniyet ve güvenlik koşullarına uygunluk gibi hususlar yerinde inceleme kapsamında 30 iş günü içerisinde incelenir.

• Koşullardan bir veya daha fazlasının sağlanmadığının tespit edilmesi halinde, bu eksikliklerin giderilmesi için başvuru sahibine 30 iş gününe kadar ek süre tanınır.

• Süre sonunda sonradan kontrol yetkilisi tarafından 15 iş günü içerisinde tespit edilen eksikliklerin giderilip giderilmediği incelenir.

• Yapılan inceleme sonucunda yerinde inceleme değerlendirme formu düzenlenir. Bu form Risk Yönetimi ve Kontrol Genel Müdürlüğüne gönderilir.

10


PwC

Yerinde İnceleme İnceleme kapsamı

Aşağıda belirtilen maddedeki koşulların sağlanıp sağlanmadığı sonradan kontrol yetkilisi tarafından otuz iş günü içerisinde incelenir.

• Ticari ve varsa taşımaya ilişkin kayıtlarını, gümrük idarelerince yapılan ve özellikle sonradan kontrol kapsamında yapılacak denetimlerin sağlıklı ve etkin bir şekilde yapılmasına olanak verecek, bilgi ve kayıtların gerçekliğini koruyan şekilde ve genel kabul görmüş muhasebe ilkelerine uygun olarak tutmak.

• Bilgi ve kayıtların arşivlenmesi ve bilgi kaybının önlenmesine yönelik yeterli ve uygun bir iş planlamasına sahip olmak.

11


PwC


Yetkilendirilmiş yükümlü sertifikası başvurusu için aranacak emniyet ve güvenlik koşulu

Başvuru firma sahibinin faaliyetlerinin yürütüldüğü tüm tesis ve birimlere ilişkin olarak yapılır.

Çok sayıda tesis ve birim bulunması nedeniyle, ilgili sonradan kontrol yetkilisi başvuru sahibinin tüm tesis ve birimlerinde bütünü temsil eden bir kısmını inceleyebilir.

Başvuru sahibinin uygun emniyet ve güvenlik standartlarına sahip bulunduğunun kabul edilmesi için yapılacak puanlama sonucunda aşağıdaki koşulların yeterli düzeyde sağlanmış olduğunun tevsik edilmiş olması gerekir.

• Yetkilendirilmiş yükümlü sertifikası kapsamındaki faaliyetlerle ilgili olarak kullanılacak binaların izinsiz giriş ve sızmaları önleyecek nitelikte olması ve tesislere ilişkin genel güvenlik tedbirlerini almış olmak.

• Yükleme yerlerine, sevkiyat sahalarına, kargo bölümlerine ve taşıma araçlarına yetkisiz girişleri önlemek üzere uygun erişim kontrol tedbirlerini almış olmak.

12


PwC


Yetkilendirilmiş yükümlü sertifikası başvurusu için aranacak emniyet ve güvenlik koşuluHerhangi bir eşyanın değiştirilmesini, kaybını veya yabancı eşya eklenmesini önleyecek tedbirleri almış olmak.

• Eşyanın konulması için uygun görülen yerleri gümrüğün denetimini kolaylaştıracak şekilde düzenlemiş olmak.

• Yasaklama ve kısıtlamalara tabi eşya söz konusu ise, bunlara ilişkin ithalat ve/veya ihracat lisanslarıyla ilgili işlemleri takip edecek ve bu kapsamdaki eşyayı diğer eşyadan ayıracak bir iş akışını oluşturmuş olmak.

• Uluslararası arz zincirinin güvenilirliğinden emin olunmasını sağlamak amacıyla, iş yaptığı kişi ve firmaların kimliklerinin açıkça tespit edilmesi ve bu kişi ve firmaların uygun emniyet ve güvenlik tedbirleri aldıklarının kontrolüne yönelik önlemleri almış olmak.

• Mevzuatın izin verdiği ölçüde, güvenlik açısından hassas pozisyonlarda görev yapacak çalışanları hakkında işe başlama öncesi ve sonrasında periyodik olarak güvenlik araştırması yapıyor ve firmada çalışanlardan kaynaklı ortaya çıkabilecek risklere karşı güvenlik tedbirleri alıyor olmak.

• İlgili personelinin arz zinciri güvenliği ile ilgili eğitim programlarına aktif olarak katılımını sağlamak.

13


PwC

Yerinde İnceleme Firmadan beklenenler

İnceleme ile görevli kişinin istediği yere erişiminin sağlanması,

İnceleme sırasında sorunun kapsamı doğrultusunda yetkilendirilecek personelin müfettişintaleplerine ve sorularına hazırlıklı olması,

İnceleme ile görevli kişinin talebi halinde kendisine yardımcı personel temin edilmesi,

Kayıtların tutulduğu yerin havalandırma, aydınlatma vb. açısından çalışmaya elverişli olması,

İnceleme ile görevli kişiye yeterli havalandırma, aydınlatma ve iletişim imkânlarına sahipkonsantrasyonu dağıtmayacak uygun bir yer tahsis edilmesi konusunda destek olunması,

Sorumluların inceleme ile görevli kişi ile devamlı iletişim içerisinde olması,

İnceleme ile görevli kişinin incelemenin gerektirdiği her alana ulaşabiliyor olması,

Yapılacak incelemede denetimin etkin bir şekilde gerçekleştirilmesine imkan verecek gerekliteçhizatının firmaca sağlanması beklenmektedir.

14


PwC

YYS’ye Giden YolProje Yönetimi

‼ YYS başvurusunun hafife alınmaması gerekmektedir.

‼ YYS başvurusu olduğundan daha zor hale getirilmemelidir.

‼ YYS eksik olan ihtiyaçların giderilmesi için bir şans.

‼ Üst düzey yönetim desteği,

a. Şirket içi,

b. Gümrük ve Ticaret Bakanlığı’na karşı,

‼ Çalışmanızı şirket içi yada outsource ederek yürütün ve bunu tam zamanlı bir proje ekibi ile yapın,

a. Proje ekibinin koordinasyonunda bilgileri derlenmesi, talimatların yazılması, dokümantasyonu, eğitimlerin organizyonu, uygulamaların hayata geçirilmesi,

‼ YYS 2 adımlı bir projedir,

a. GAP Analizi sonucunda yol haritası ve kaynak ihtiyacı tespiti,

b. Tam zamanlı projenin hayata geçirilmesi,

‼ Yurtdışı tedarikçilerin AEO sertifikalarını, örneğin ISO 16949 un ilgili hükümlerini/uygulamalarını sonuna kadar kullanın.

15


PwC

YYS ProjesiAna Hatlar

7 2

6 3

5 4

8 1

Proje Ekibi

Özdeğerlendirme

Proje Öncesi Öz Değerlendirme veİhtiyaçların Tespiti

Gerekli Yatırımlar

Yatırımların Hayata Geçirilmesi,

Yerinde İnceleme

Tesislerin yerinde incelenmesi

Belge Alımı ve Takibi

YYS belgesinin düzenlenmesi ve gereksinimlerin takibi

Başvurunun yapılması

Dosyaların Bölge Müdürlüğüne teslimi ve başvurunun tamamlanması.

İnceleme

Yerinde incelemeye hazırlanması

Soruların Cevaplanması

Özdeğerlendirme formunda yer alan 108 sorunun cevaplandırılması.

Ziyaret

Başvuru öncesi Ankara ziyareti ve eksikliklerin tamamlanması

16


ISO 9001 Nedir?

PwC

ISO 9001


ISO 9001:2015 Kalite Yönetimi Standardı Nedir?

• Uluslararası kalite yönetimi standardıdır.

• Etkili bir yönetim sisteminin nasıl kurulabileceğini, dokümante edilebileceğini ve sürdürebileceğini göstermektedir.

• Organizasyonların müşteri memnuniyetinin artırılmasına yönelik olarak Kalite Yönetim Sistemi'nin kurulması ve geliştirilmesi konusunda rehberlik etmektedir.

• Sertifikasyonu bulunmaktadır.

Kalite Yönetimi

Müşteri Odaklılık

Liderlik

Çalışanların Katılımı

Süreç Yaklaşımı

Sistem Yaklaşımı

Sürekli İyileştirme

Gerçeklere Dayalı Karar Verme

Tedarikçi-lerle

Karşılıklı Çıkar

Ortaklığına Dayalı İlişki

PwC

ISO 9001 2008-ISO 9001 2015 Geçişi


ISO 9001:20082008:2015

Geçiş SüreciISO 9001:2015

Ekim 2015-Ekim 2018

* Ekim 2018 sonrasında ISO 9001:2008 belgesi geçerliliğini

yitirecektir!

PwC

ISO 9001


Yetkilendirilmiş Yükümlü Sertifikası (“YYS”) başvurularında ibraz edilecek ISO 9001 sertifikasının kapsamı;

• dış ticaret, gümrükleme, yönetim ve idari organizasyon faaliyetleri ile

• bu faaliyetlerle ilişkili işlemlerini ve bunlara bağlı üretim ve hizmet sunumlarını kapsamalıdır.

Detaylı bilgi için: Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği

ISO 9001Gümrükleme

Lojistik

Depolama Finans

Muhasebe

Bilgi İşlem

ISO 9001 Proje Yönetimi

PwC

ISO 9001Proje Aşamaları


Çalışmalar iki aşamada ya da ayrı ayrı olarak da farklılık analizi ve/veya uygulama desteği olarak gerçekleştirilmektedir.

Şirket bünyesinde Etik Hattı yapısının oluşturulması ve /veya desteklenmesi

ISO 9001:2015 Farklılık Analizi

ISO 9001:2015 Uygulama Projesi

AŞAMA 1

AŞAMA 2

PwC

ISO 9001Farklılık Analizi - Genel Eksiklikler


Eğitim

Kayıtları

Risk&Fırsat

Değerlendirme Süreç KPI

Yönetim

Gözden

Geçirme

İç Tetkik Planı

ve

Denetimi

Sürekli

İyileştirme

Ve DÖF’ler

ISO 9001: 2015 standardına uygun olarak gerçekleştirilen farklılık analizi sonrasında ortaya çıkan genel eksiklikler ve karşılaşılan aksaklıklar:

PwC

ISO 9001ISO 9001:2015 Gereksinimleri


• Kalite kapsamı Stratejik

gereksinimler

• Kalite el kitabı ve genel kalite anlayışı

Taktik gereksinimler

• Süreç dokümantasyonu ve prosedürleri

Operasyonel gereksinimler

• Kalite organizasyonu, roller, vb.

Sorumluluk gereksinimleri

• Sürekli eğitimEğitim ve farkındalık

gereksinimleri

ISO 9001 kapsamında, şirketin organizasyonel yapısına ve ihtiyaçlarına uygun bir şekilde gerçekleştirilmesi gereken asgari çalışma alanları yan tarafta gösterilmektedir.

Çalışma esnasında gereksinimler gözden geçirilecektir.

PwC 2515 Aralık 2016

İnsan Kaynakları

Muhasebe ve Finans

Üretim ve Kalite

Depo, Lojistik,

Planlama

Direkt ve Endirekt

Satınalma

Bilgi İşlem

Satış, Pazarlama,

Müşteri İlişkileri

Dış Ticaret

İdari İşler/Ofis Yönetimi/

Bakım Onarım

ISO 9001

ISO 9001Tahmini Proje Kapsamı

15. Çözüm Ortaklığı Platformu

PwC

ISO 9001Tahmini Proje Süresi


Minimum 2 ay

Maksimum 6 ay

PwC

ISO 9001 Tahmini Proje Süresi

2715 Aralık 2016


1 3 5 7

Danışmanlık Firması ile Belgelendirme Kuruluşunun Belirlenmesi ve Seçilmesi –Teklif Süreci

Farklılık Analizi *

(Min. 1 hafta - Max. 4 hafta)

* Şirket içi İç tetkikçi, baş tetkikçi eğitimlerinin alınması

Uygulama Sonrasında Süreç Sahipleri ile Provaların Yapılması

Belgelendirme Denetimi Sonrasında Denetim Bulgularına Alınacak Aksiyonlara İlişkin Destek

4 6 8

Uygulama Desteği(Min. 2 ay –Max. 6 ay) *

*Şirket büyüklüğüne göre ve

farklılık analizine göre değişecektir.

Belgelendirme Denetimi Aşamasında Destek

Belgelendirme Sonrasında Yıllık Güncelleme Denetimleri Sürecinde Uygulama Desteği

2

Danışmanlık Firmasının Belirlenmesi ve Seçilmesi –Sözleşme Süreci

PwC

ISO 9001Proje Çıktı Örnekleri


Süreç El Kitabı

Süreç Performans Değerlendirme

Doküman ve Kayıtlar

PwC



Risk Değerlendirme

PwC

ISO 9001Kritik Başarı Faktörleri


• Yönetimin ve ilgili personelin görüşmeler için yeterli zamanı ayırması

• İncelenmiş ve onaylanmış dokümanların tarafımıza zamanında iletilmesi

• Operasyonda görev alan kişilerin projeye desteği

PwC

ISO 9001 Belgelendirme Süreci


Belgelendirme Öncesi

Belgelendirme Süreci

Belgelendirme kuruluşu tarafından belgelendirme denetiminin yapılması

- Belgenin sürdürülmesi amacı ile kurulan yapının işletilmesi

- Plan doğrultusunda iç tetkiklerin yapılması

- YGG

Belgelendirme kuruluşu tarafından;

- Yıllık güncelleme denetimleri

- 3 yılda bir yeniden belgelendirme denetimleri

Süreçlerin mevcut durum değerlendirmesi ve eksikliklerin tamamlanarak kalite yönetim sisteminin işlerliğinin sağlanması

Belgelendirme Sonrası

PwC

YYS, ISO 9001, ISO 27001 Belgelendirme Süreci

3215 Aralık 2016


2016

2017

Belgelendirme Süreci ve YYS

01

Yetkilendirilmiş Yükümlülük Sertifikası

03

YYS Süresi Ağustos 2017’ye kadar uzatılmıştır.

ISO 9001, ISO 27001 Belgelendirme Süreci

02Belgelendirme Süreci Minimum 2 ay Maksimum 6 ay Sürmektedir.

ISO 9001ISO27001YYS

Bölge Müdürlüğü

AnkaraMüfettiş Ataması

İnceleme ve YYS

15 iş günü

30 iş günü

1 ay

Bu doğrultuda 2017 ilk çeyrek sonrası dönem YYS ve belgelendirme için çok yoğun olacaktır.

ISO 27001 Nedir?

PwC

ISO 27001 Nedir ?

ISO 27001:2013

Bilgi Güvenliği Yönetim Sistemi (BGYS) Standardı Nedir?

• Uluslararası bilgi güvenliği standardıdır.

• Etkin bir şekilde işleyen, kendini yenileyebilecek mekanizmalara sahip, izlenebilir ve ölçülebilir metrikleri tanımlanmış bir BGYS kurulmasını öngörür.

• PUKÖ döngüsü dahilinde değerlendirilir.

• Genel Kontroller ve Ek-A kapsamında, BGYS dahilinde uygulanabilecek kontroller tanımlanmıştır.

• Sertifikasyonu bulunmaktadır.

34


Planla:

BGYS’nin kurulumu

Uygula:

BGYS’nin işletilmesi

Kontrol Et:

BGYS’nin izlenmesi

Önlem Al:

BGYS’niniyileştirilmesi

Bilgi güvenliği gereksinimleri

Sürdürülebilir BYGS

PwC

Bilgi Güvenliği Nedir?

Bilginin, Sistemin, Kaynakların, Süreçlerin vb. 3 özelliğinin korunmasıdır.

• Gizlilik

Bilginin, Sistemin, Kaynakların, Süreçlerin vb. gizlilik unsurlarının sağlanması.

• Erişilebilirlik

Bilginin, Sistemin, Kaynakların, Süreçlerin vb. hedeflenen zamanda ulaşılabilir halde olması.

• Bütünlük

Bilginin, Sistemin, Kaynakların, Süreçlerin vb. içeriğinin hedeflenen şekilde ulaşılabilir olması.


35

Bilgi Güvenliği Yönetim

Sistemi (BGYS)

Bütünlük

Erişilebilirlik

Gizlilik

PwC

ISO 27001 Kapsamının Belirlenmesi

Yetkilendirilmiş Yükümlü Sertifikası (“YYS”) başvurularında ibraz edilecek ISO 27001 sertifikasının kapsamı;

• İthalat, ihracat, transit, gümrükleme gibi gümrük ve dış ticaret işlemlerini ve bu işlemlere ilişkin;

• faaliyetlerinin elektronik bilgi varlıklarıile bu varlıkları korumak amacıyla kullandığı bilişim güvenliğini kapsamalıdır.

Detaylı bilgi için: Gümrük İşlemlerinin Kolaylaştırılmasına İlişkin Gümrük Genel Tebliği


36

ISO 27001Gümrükleme

Lojistik

Depolama Finans

Muhasebe

Bilgi İşlem

PwC

ISO 27001 Belgesini Almak Kimler Hangi Firmalar Kurumlar için Zorunlu ?


37

Gümrük İşlerini Kolaylaştırma Yönetmeliği Kapsamında Yetkili Yükümlü Sertifikası (YYS) alacak İthalat ve İhracatçıların ISO 27001 Belgesi alması zorunluğu

YYS

Elektrik Piyasası Düzenleme Kurulu (EPDK) Elektrik Piyasası Lisans Yönetmeliğine Göre ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alınması Zorunluluğu

EPDK

Elektrik Piyasası Düzenleme Kurulu (EPDK) Doğal Gaz Piyasası Lisans Yönetmeliğine Göre ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alınması Zorunluluğu

EPDK

Elektrik Piyasası Düzenleme Kurulu (EPDK) Petrol Piyasası Lisans Yönetmeliğine Göre ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alınması Zorunluluğu

EPDK

Kamu İhale Kanuna (KİK) Göre ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alınması Zorunluluğu

KİK

Maliye Bakanlığı Gelir İdaresi Başkanlığı E fatura Özel Entegratörlük için Başvuru yapan Firmalara ISO 27001 Belgesi alınması Zorunluluğu

GİB

Bilgi Teknolojileri ve İletişim Kurumu yayınladığı Elektronik Haberleşme Güvenliği Kapsamında Tebliğ ile Elektronik Haberleşme Güvenliğini Sağlama Yükümlülüğü olan Firmaların İşletmelerin ISO 27001 Belgesi alınması Zorunluluğu

BTK

ISO 27001 Proje Yönetimi

PwC

ISO 27001Proje Aşamaları

Çalışmalar iki aşamada ya da ayrı ayrı olarak da farklılık analizi ve/veya uygulama desteği olarak gerçekleştirilmektedir.

Şirket bünyesinde Etik Hattı yapısının oluşturulması ve /veya desteklenmesi

ISO 27001:2013 Farklılık Analizi

ISO 27001:2013 Uygulama Projesi

AŞAMA 1

AŞAMA 2

39


PwC

İnsan Kaynakları

Muhasebe ve Finans

Kalite

Depo, Lojistik,

Planlama

Satınalma

Bilgi İşlem/ IT

Satış, Pazarlama,

Müşteri İlişkileri

Dış Ticaret

İdari İşler/Ofis Yönetimi/

Bakım Onarım

ISO 27001

ISO 27001Tahmini Proje Kapsamı (YYS için)

40


PwC

ISO 27001 Gereksinimlerin Değerlendirilmesi

• Varlık Envanteri,• Varlık ve Süreç bazlı

Risk Değerlendirmesi

Stratejik gereksinimler

• BGYS PolitikasıTaktik

gereksinimler

• BGYS ProsedürleriOperasyonel

gereksinimler

• BGYS organizasyonu, roller, komiteler vb.

Sorumluluk gereksinimleri

• Sürekli eğitimEğitim ve

farkındalıkgereksinimleri

Mevcut Durum Değerlendirmesi

ISO 27001:2013 Gereksinimleri

ISO 27001 standardı dahilinde yer verilen BGYS gereksinimleri kapsamında, şirketin organizasyonel yapısına ve ihtiyaçlarına uygun bir şekilde gerçekleştirilmesi gereken asgari çalışma alanları yan tarafta gösterilmektedir.

Mevcut değerlendirme çalışması esnasında gereksinimlerin varlığı ve işletimi gözden geçirilecektir.

41


PwC

ISO 27001 BGYS Yaşam Döngüsü


42

Uygulanabilirlik

Bildirgesi (SoA)

Uygulanabilirlik

Bildirgesi’nin

Uygulanması

Denetim

Çerçevesi

Kontroller

Kapsam ve

Planlama

ISO 27001 BGYS

Standardı

Farklılık Analizi

Raporlanması

Denetim

Farklılık

Analizi

Varlıkların

Tanımlanması

Farkındalık

Eğitimleri

Risk Değerlendirmesi

İnsan Süreç Fiziksel Teknoloji

Risk

Tanımlanması

KONTROL

Governa

nce

(roles,

Committ

ee)Principles,

policies,

procedures

ISMS

(monit

or,

Audit)Technolo

gy

DO

CHECK

PLAN

AC

T

PLANLAMA

UYGULA

AKSİYON ALMA

ISO 27001 BGYS Yaşam Döngüsü

PwC

ISO 27001 Uygulama Adımları


43

Farklılık Analizi Sonuçlarının Değerlendirilmesi

1

Proje PlanlamaKurum ile Koordinasyon

2

BGYS KapsamınınBelirlenmesi

3İç-Dış Bağlamların iş ve Hukuki Çerçevelerde Belirlenmesi6

Kapsamdaki Departmanlar ile Toplantılar

7

Varlık EnvanterininOluşturulması

8Farkındalık Eğitimlerinin Verilmesi

11

İç Tetkik Yapılması

12 13

İç Tetkik Sonuçlarının Raporlanması

13

BGYS KapsamındaDokümanların Gözden Geçirilmesi4

Bilgilendirme e-maillerinin, görsellerin vb. hazırlanması

5Risk Değerlendirme

9

DüzelticiAksiyonlarınBildirimi

10Yönetim Gözden Geçirme Toplantıları

14 13

Dış Tetkikin Yönlendirilmesi

152 ay – 4 ay

PwC


Varlık Envanteri

Farklılık Analizi Değerlendirme Raporu

44


Bilgi Güvenliği Performans Ölçümleme

Bilgi Güvenliği Farkındalık Sunumları ve Görselleri

PwC


Risk Değerlendirme

45


PwC

ISO 27001Belgelendirme Sonrası Yapılması Gerekenler?

Belgenin sürdürülmesi amacı ile kurumda BGYS yapısının işletilmesi;

- Bilgi güvenliği yaklaşımının iş süreçlerine entegre edilmesi- Bilgi güvenliği farkındalığının kurum genelinde sağlanması,- Düzenli ve planlı iç tetkiklerin yapılması,- YYG toplantılarının yapılması (bilgi güvenliği performansına ilişkin kantitatif sonuçların üst

yönetime raporlanması)- Yıllık, aylık vb. olarak belirlenen kontrol, güncelleme, kayıt tutma ve bilgilendirmelerin

sağlanması,- 3 yılda 1 de yeniden belgelendirme denetimi

46


Sürdürülebilir BGYS

PwC

ISO 27001Kritik Başarı Faktörleri

Projenin başarısı; proje kaynaklarının doğru ve yeterli şekilde sağlanması, top-down bir yaklaşımla bilgi güvenliği konseptinin kurum genelinde benimsenmesi/yönetim tarafından desteklenmesi ve proje çıktılarının ISO gereksinimlerini karşılayacak ve kurum yapısına en uygun vaziyette oluşturulması ile sağlanacaktır.

Çalışanlardan beklentimiz:

• Yönetimin ve iş süreçlerinden proje sorumlusu olarak atanan personelin liderliği, katılımı ve projeye desteği,

• Mevcut yapının yazılı ve sistemsel olarak doğru şekilde aktarımı ve eksiklerin tespiti konusunda kurum içi desteği sağlanması,

• Kurumun bilgi güvenliği entegrasyonu için, bunun bir ihtiyaçtan çok yeni dünyanın bir zorunluluğu ve iş süreçleri için ayrılmaz bir bütünü olarak algısının oluşturulması.

47


İnsan

Süreçler

Teknoloji

PwC

Sorularınız?

Serkan Küçükbilezikçi

PwC TürkiyeMüdürVergi Hizmetleri+90 (212) 326 [email protected]

Elif Kuvvet

PwC TürkiyeMüdürRisk, Süreç ve Teknoloji Hizmetleri+90 (212) 326 [email protected]

Onur Korucu

PwC TürkiyeKıdemli DanışmanRisk, Süreç ve Teknoloji Hizmetleri+90 (212) 326 [email protected]

48


yys, iso 9001, iso 27001 · pwc yetkilendirilmi yükümlü sertifikası bavurusu Ön artlar...

Documents