YYS, ISO 9001, ISO 27001 · PwC Yetkilendirilmi Yükümlü Sertifikası Bavurusu Ön artlar...
Transcript of YYS, ISO 9001, ISO 27001 · PwC Yetkilendirilmi Yükümlü Sertifikası Bavurusu Ön artlar...
YYS, ISO 9001, ISO 27001
15. ÇözümOrtaklığıPlatformu
15 Aralık 2016
www.pwc.com.tr
Yetkilendirilmiş Yükümlü Statüsü
PwC
YYS Arka Plan
• İlk olarak 10.01.2013 tarih ve 28524 sayılı Resmi Gazete’de yayımlanan ve 21.05.2014 tarih ve 29006 sayılı Resmi Gazete’de yayımlanarak değiştirilip son halini alan Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği’nde düzenlenmiştir.
• A ve B sınıfı OKSB belgelerinin süreleri 07.10.2016’da yayımlanan Gümrük Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik ile 15/8/2017 tarihine kadar uzatılmıştır.
• 05.12.2016’da Yetkilendirilmiş Yükümlü Soru Formu Hazırlama Rehberi yayımlanmıştır.
• Bu rehberde, Soru Formunda yer alan soruların amaçları, sıkça karşılaşılan hatalar gibi bilgilere yer verilmiştir.
3
15 Aralık 201615. Çözüm Ortaklığı Platformu
PwC
Yetkilendirilmiş Yükümlü Sertifikası Başvurusu Ön Şartlar
Faaliyet
ISO 9001
ISO 27001
İşlem Hacmi
Türkiye Gümrük bölgesinde yerleşik ve en az 3 yıldır fiilenfaaliyet gösteriyor olmak.
ISO 9001 Dış ticaret, gümrükleme, yönetim ve idariorganizasyon faaliyetlerini kapsamalıdır.
ISO 27001 İthalat, ihracat, transit, gümrükleme, lojistik, depo-lama, muhasebe, finans ve bilgi işlem faaliyetlerine ait elektronik bilgi varlıklarını kapsamalıdır.
Başvuru yapılan yıldan önceki yıl içinde veya geriye dönük 1 yıliçerisinde gümrük idaresinde en az 100 adet beyan kapsamındaişlem yapılmış olması.
4
15 Aralık 201615. Çözüm Ortaklığı Platformu
PwC
YYS Başvuru Akış Şeması
Gerekli tüm bilgiler ve belgeler hazırlanır
İlgili Bölge Müdürlüğü
İlgili bilgi ve belgeler tam
mı?15 iş günüEksiklerin
tamamlanması 10 iş
günü
Eksik belgelerin tamamlanması için 30 iş günü ek süre verilir.
5 iş günü
Genel Müdürlük
10 iş günü içerisinde başvuru incelenir. Tamamlanan
eksikliklerin kontrolü 10 iş günü içerisinde yapılır.
YYS Başvurusu yapan firma
Eksik ve yetersiz bilgi olması halinde 5 iş günü içerisinde eksikler firmaya
bildirilir.
20 gün içerisinde eksik ve yetersiz olduğu tespit edilen hususlar giderilecek şekilde soru
formunun düzenlenmesi için ek süre verilir.
Sonradan kontrol yapacak yetkililer
belirlenir.
10 iş günü (Başvuru sahibine bildirilerek bu
süre 10 iş günü uzatılabilir
Yerinde İnceleme
30 iş günü içerisinde tüm koşullar yerinde
incelememe kapsamında
değerlendirilir. (Eksikliklerin
giderilmesi için 30 iş günü ek süre tanınır.)
Düzenlenen rapor Gümrük
Müdürlüğüne gönderilir.
(İncelemenin bitimine müteakip 5 iş günü içerisinde)
Kayıtlara alınmasına müteakip genel
müdürlük 10 iş günü içerisinde raporu
inceler
İncelemeye müteakip 5 iş günü içerisinde başvuru
reddi veya sertifika düzenlenmesi için Bölge
Müdürlüğüne bilgi verilir.
5
15 Aralık 201615. Çözüm Ortaklığı Platformu
PwC
YYS Başvurusu Değerlendirme Kriterleri
• Gümrük yükümlülüklerini zamanında ve tam yerine getirmek,
• Mali yeterlilik,
• Kayıt sistemi düzenli ve incelenebilir olması,
• Emniyet ve güvenlik standartlarına sahip bulunmak,
• Eşyanın gümrük idaresine doğru beyan edilmesini teyit ve tevsik edecek kurum içi birsistematiğe sahip olmak,
Gümrük konularıyla ilgili birimlerinde ve buna ilişkin iç kontrol süreçlerinde gümrükkonularında bilgili ve tecrübeli personel istihdam etmek
Gümrük konularında bilgili ve tecrübeli personel istihdam eden tüzelkişilerden gümrük konuları ve buna ilişkin iç kontrol süreçlerine yönelikdanışmanlık hizmeti almak.
6
15 Aralık 201615. Çözüm Ortaklığı Platformu
PwC
YYS Başvurusu Değerlendirme KriterleriTemel Kriterler
• ‘Öz Değerlendirme Formu’ ışığında Sonradan Kontrol Görevlisince Firmanın Tesislerinde değerlendirilir
Emniyet ve GüvenlikKoşulu:
8 Gösterge
59 Soru
Ticari KayıtlarınGüvenilirliği ve
İzlenebilir OlmasıKoşulu:
10 Gösterge
36 Soru
7
15 Aralık 201615. Çözüm Ortaklığı Platformu
PwC
YYS Başvurusu Değerlendirme KriterleriTemel Kriterler
1. Yazılı Usul ve Esaslar Mevcut mu?
• Yazılı talimat, kurum içi sirküler, sözleşme, rehber, kitapçık, sertifika, standartbelgesi vb. örneklerin forma eklenmesi beklenmektedir.
2. Fiili Uygulama Var mı?
• Uygulamaya ilişkin detayların anlatılması gerekmektedir.
8
15 Aralık 201615. Çözüm Ortaklığı Platformu
PwC
YYS Başvurusu Değerlendirme Kriterleri Puanlama Yöntemi
Puanlama
0 puan: Yazılı usul ve
uygulama yok
3 Puan: Yazılı usul ve fiili
uygulamanın her ikisi de
yeterli yüzeyde mevcut
1 Puan: Yazılı usul veya
uygulamadan yalnız biri mevcut
1- Herhangi bir sorudan “0” puan alınmamış olması,
2- Ticari Kayıtların Güvenilirliği ve İzlenebilir Olması
koşuluna ilişkin sorulara ilişkin alınan toplam puanın,
alınabilecek en yüksek toplam puanın % 80’inin üzerinde
olması
108, > 86 puan,
3- Emniyet ve Güvenlik Koşuluna ilişkin sorulardan
alınan toplam puanın, alınabilecek en yüksek toplam
puanın % 65’in üzerinde olması
177, > 115 puan,
9
15 Aralık 201615. Çözüm Ortaklığı Platformu
PwC
Yerinde İnceleme İnceleme süreci
Yerinde inceleme yapılması için Risk Yönetimi ve Kontrol Genel Müdürlüğünce 10 iş günü içerisinde ilgili yönetmeliğe sonradan kontrol işlemlerini yapmak üzere yetkilendirilmiş olan sonradan kontrol yetkilisi görevlendirilmesine ilişkin işlemler tamamlanır.
• Sonradan kontrol yetkilisince, başvuru sahibinin ticari faaliyetlerine ilişkin tesislerinde, kayıtların izlenebilirliği, emniyet ve güvenlik koşullarına uygunluk gibi hususlar yerinde inceleme kapsamında 30 iş günü içerisinde incelenir.
• Koşullardan bir veya daha fazlasının sağlanmadığının tespit edilmesi halinde, bu eksikliklerin giderilmesi için başvuru sahibine 30 iş gününe kadar ek süre tanınır.
• Süre sonunda sonradan kontrol yetkilisi tarafından 15 iş günü içerisinde tespit edilen eksikliklerin giderilip giderilmediği incelenir.
• Yapılan inceleme sonucunda yerinde inceleme değerlendirme formu düzenlenir. Bu form Risk Yönetimi ve Kontrol Genel Müdürlüğüne gönderilir.
10
15 Aralık 201615. Çözüm Ortaklığı Platformu
PwC
Yerinde İnceleme İnceleme kapsamı
Aşağıda belirtilen maddedeki koşulların sağlanıp sağlanmadığı sonradan kontrol yetkilisi tarafından otuz iş günü içerisinde incelenir.
• Ticari ve varsa taşımaya ilişkin kayıtlarını, gümrük idarelerince yapılan ve özellikle sonradan kontrol kapsamında yapılacak denetimlerin sağlıklı ve etkin bir şekilde yapılmasına olanak verecek, bilgi ve kayıtların gerçekliğini koruyan şekilde ve genel kabul görmüş muhasebe ilkelerine uygun olarak tutmak.
• Bilgi ve kayıtların arşivlenmesi ve bilgi kaybının önlenmesine yönelik yeterli ve uygun bir iş planlamasına sahip olmak.
11
15 Aralık 201615. Çözüm Ortaklığı Platformu
PwC
Yerinde İnceleme İnceleme kapsamı
Yetkilendirilmiş yükümlü sertifikası başvurusu için aranacak emniyet ve güvenlik koşulu
Başvuru firma sahibinin faaliyetlerinin yürütüldüğü tüm tesis ve birimlere ilişkin olarak yapılır.
Çok sayıda tesis ve birim bulunması nedeniyle, ilgili sonradan kontrol yetkilisi başvuru sahibinin tüm tesis ve birimlerinde bütünü temsil eden bir kısmını inceleyebilir.
Başvuru sahibinin uygun emniyet ve güvenlik standartlarına sahip bulunduğunun kabul edilmesi için yapılacak puanlama sonucunda aşağıdaki koşulların yeterli düzeyde sağlanmış olduğunun tevsik edilmiş olması gerekir.
• Yetkilendirilmiş yükümlü sertifikası kapsamındaki faaliyetlerle ilgili olarak kullanılacak binaların izinsiz giriş ve sızmaları önleyecek nitelikte olması ve tesislere ilişkin genel güvenlik tedbirlerini almış olmak.
• Yükleme yerlerine, sevkiyat sahalarına, kargo bölümlerine ve taşıma araçlarına yetkisiz girişleri önlemek üzere uygun erişim kontrol tedbirlerini almış olmak.
12
15 Aralık 201615. Çözüm Ortaklığı Platformu
PwC
Yerinde İnceleme İnceleme kapsamı
Yetkilendirilmiş yükümlü sertifikası başvurusu için aranacak emniyet ve güvenlik koşuluHerhangi bir eşyanın değiştirilmesini, kaybını veya yabancı eşya eklenmesini önleyecek tedbirleri almış olmak.
• Eşyanın konulması için uygun görülen yerleri gümrüğün denetimini kolaylaştıracak şekilde düzenlemiş olmak.
• Yasaklama ve kısıtlamalara tabi eşya söz konusu ise, bunlara ilişkin ithalat ve/veya ihracat lisanslarıyla ilgili işlemleri takip edecek ve bu kapsamdaki eşyayı diğer eşyadan ayıracak bir iş akışını oluşturmuş olmak.
• Uluslararası arz zincirinin güvenilirliğinden emin olunmasını sağlamak amacıyla, iş yaptığı kişi ve firmaların kimliklerinin açıkça tespit edilmesi ve bu kişi ve firmaların uygun emniyet ve güvenlik tedbirleri aldıklarının kontrolüne yönelik önlemleri almış olmak.
• Mevzuatın izin verdiği ölçüde, güvenlik açısından hassas pozisyonlarda görev yapacak çalışanları hakkında işe başlama öncesi ve sonrasında periyodik olarak güvenlik araştırması yapıyor ve firmada çalışanlardan kaynaklı ortaya çıkabilecek risklere karşı güvenlik tedbirleri alıyor olmak.
• İlgili personelinin arz zinciri güvenliği ile ilgili eğitim programlarına aktif olarak katılımını sağlamak.
13
15 Aralık 201615. Çözüm Ortaklığı Platformu
PwC
Yerinde İnceleme Firmadan beklenenler
İnceleme ile görevli kişinin istediği yere erişiminin sağlanması,
İnceleme sırasında sorunun kapsamı doğrultusunda yetkilendirilecek personelin müfettişintaleplerine ve sorularına hazırlıklı olması,
İnceleme ile görevli kişinin talebi halinde kendisine yardımcı personel temin edilmesi,
Kayıtların tutulduğu yerin havalandırma, aydınlatma vb. açısından çalışmaya elverişli olması,
İnceleme ile görevli kişiye yeterli havalandırma, aydınlatma ve iletişim imkânlarına sahipkonsantrasyonu dağıtmayacak uygun bir yer tahsis edilmesi konusunda destek olunması,
Sorumluların inceleme ile görevli kişi ile devamlı iletişim içerisinde olması,
İnceleme ile görevli kişinin incelemenin gerektirdiği her alana ulaşabiliyor olması,
Yapılacak incelemede denetimin etkin bir şekilde gerçekleştirilmesine imkan verecek gerekliteçhizatının firmaca sağlanması beklenmektedir.
14
15 Aralık 201615. Çözüm Ortaklığı Platformu
PwC
YYS’ye Giden YolProje Yönetimi
‼ YYS başvurusunun hafife alınmaması gerekmektedir.
‼ YYS başvurusu olduğundan daha zor hale getirilmemelidir.
‼ YYS eksik olan ihtiyaçların giderilmesi için bir şans.
‼ Üst düzey yönetim desteği,
a. Şirket içi,
b. Gümrük ve Ticaret Bakanlığı’na karşı,
‼ Çalışmanızı şirket içi yada outsource ederek yürütün ve bunu tam zamanlı bir proje ekibi ile yapın,
a. Proje ekibinin koordinasyonunda bilgileri derlenmesi, talimatların yazılması, dokümantasyonu, eğitimlerin organizyonu, uygulamaların hayata geçirilmesi,
‼ YYS 2 adımlı bir projedir,
a. GAP Analizi sonucunda yol haritası ve kaynak ihtiyacı tespiti,
b. Tam zamanlı projenin hayata geçirilmesi,
‼ Yurtdışı tedarikçilerin AEO sertifikalarını, örneğin ISO 16949 un ilgili hükümlerini/uygulamalarını sonuna kadar kullanın.
15
15 Aralık 201615. Çözüm Ortaklığı Platformu
PwC
YYS ProjesiAna Hatlar
7 2
6 3
5 4
8 1
Proje Ekibi
Özdeğerlendirme
Proje Öncesi Öz Değerlendirme veİhtiyaçların Tespiti
Gerekli Yatırımlar
Yatırımların Hayata Geçirilmesi,
Yerinde İnceleme
Tesislerin yerinde incelenmesi
Belge Alımı ve Takibi
YYS belgesinin düzenlenmesi ve gereksinimlerin takibi
Başvurunun yapılması
Dosyaların Bölge Müdürlüğüne teslimi ve başvurunun tamamlanması.
İnceleme
Yerinde incelemeye hazırlanması
Soruların Cevaplanması
Özdeğerlendirme formunda yer alan 108 sorunun cevaplandırılması.
Ziyaret
Başvuru öncesi Ankara ziyareti ve eksikliklerin tamamlanması
16
15 Aralık 201615. Çözüm Ortaklığı Platformu
ISO 9001 Nedir?
PwC
ISO 9001
1815 Aralık 201615. Çözüm Ortaklığı Platformu
ISO 9001:2015 Kalite Yönetimi Standardı Nedir?
• Uluslararası kalite yönetimi standardıdır.
• Etkili bir yönetim sisteminin nasıl kurulabileceğini, dokümante edilebileceğini ve sürdürebileceğini göstermektedir.
• Organizasyonların müşteri memnuniyetinin artırılmasına yönelik olarak Kalite Yönetim Sistemi'nin kurulması ve geliştirilmesi konusunda rehberlik etmektedir.
• Sertifikasyonu bulunmaktadır.
Kalite Yönetimi
Müşteri Odaklılık
Liderlik
Çalışanların Katılımı
Süreç Yaklaşımı
Sistem Yaklaşımı
Sürekli İyileştirme
Gerçeklere Dayalı Karar Verme
Tedarikçi-lerle
Karşılıklı Çıkar
Ortaklığına Dayalı İlişki
PwC
ISO 9001 2008-ISO 9001 2015 Geçişi
1915 Aralık 201615. Çözüm Ortaklığı Platformu
ISO 9001:20082008:2015
Geçiş SüreciISO 9001:2015
Ekim 2015-Ekim 2018
* Ekim 2018 sonrasında ISO 9001:2008 belgesi geçerliliğini
yitirecektir!
PwC
ISO 9001
2015 Aralık 201615. Çözüm Ortaklığı Platformu
Yetkilendirilmiş Yükümlü Sertifikası (“YYS”) başvurularında ibraz edilecek ISO 9001 sertifikasının kapsamı;
• dış ticaret, gümrükleme, yönetim ve idari organizasyon faaliyetleri ile
• bu faaliyetlerle ilişkili işlemlerini ve bunlara bağlı üretim ve hizmet sunumlarını kapsamalıdır.
Detaylı bilgi için: Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği
ISO 9001Gümrükleme
Lojistik
Depolama Finans
Muhasebe
Bilgi İşlem
ISO 9001 Proje Yönetimi
PwC
ISO 9001Proje Aşamaları
2215 Aralık 201615. Çözüm Ortaklığı Platformu
Çalışmalar iki aşamada ya da ayrı ayrı olarak da farklılık analizi ve/veya uygulama desteği olarak gerçekleştirilmektedir.
Şirket bünyesinde Etik Hattı yapısının oluşturulması ve /veya desteklenmesi
ISO 9001:2015 Farklılık Analizi
ISO 9001:2015 Uygulama Projesi
AŞAMA 1
AŞAMA 2
PwC
ISO 9001Farklılık Analizi - Genel Eksiklikler
2315 Aralık 201615. Çözüm Ortaklığı Platformu
Eğitim
Kayıtları
Risk&Fırsat
Değerlendirme Süreç KPI
Yönetim
Gözden
Geçirme
İç Tetkik Planı
ve
Denetimi
Sürekli
İyileştirme
Ve DÖF’ler
ISO 9001: 2015 standardına uygun olarak gerçekleştirilen farklılık analizi sonrasında ortaya çıkan genel eksiklikler ve karşılaşılan aksaklıklar:
PwC
ISO 9001ISO 9001:2015 Gereksinimleri
2415 Aralık 201615. Çözüm Ortaklığı Platformu
• Kalite kapsamı Stratejik
gereksinimler
• Kalite el kitabı ve genel kalite anlayışı
Taktik gereksinimler
• Süreç dokümantasyonu ve prosedürleri
Operasyonel gereksinimler
• Kalite organizasyonu, roller, vb.
Sorumluluk gereksinimleri
• Sürekli eğitimEğitim ve farkındalık
gereksinimleri
ISO 9001 kapsamında, şirketin organizasyonel yapısına ve ihtiyaçlarına uygun bir şekilde gerçekleştirilmesi gereken asgari çalışma alanları yan tarafta gösterilmektedir.
Çalışma esnasında gereksinimler gözden geçirilecektir.
PwC 2515 Aralık 2016
İnsan Kaynakları
Muhasebe ve Finans
Üretim ve Kalite
Depo, Lojistik,
Planlama
Direkt ve Endirekt
Satınalma
Bilgi İşlem
Satış, Pazarlama,
Müşteri İlişkileri
Dış Ticaret
İdari İşler/Ofis Yönetimi/
Bakım Onarım
ISO 9001
ISO 9001Tahmini Proje Kapsamı
15. Çözüm Ortaklığı Platformu
PwC
ISO 9001Tahmini Proje Süresi
2615 Aralık 201615. Çözüm Ortaklığı Platformu
Minimum 2 ay
Maksimum 6 ay
PwC
ISO 9001 Tahmini Proje Süresi
2715 Aralık 2016
15. Çözüm Ortaklığı Platformu
1 3 5 7
Danışmanlık Firması ile Belgelendirme Kuruluşunun Belirlenmesi ve Seçilmesi –Teklif Süreci
Farklılık Analizi *
(Min. 1 hafta - Max. 4 hafta)
* Şirket içi İç tetkikçi, baş tetkikçi eğitimlerinin alınması
Uygulama Sonrasında Süreç Sahipleri ile Provaların Yapılması
Belgelendirme Denetimi Sonrasında Denetim Bulgularına Alınacak Aksiyonlara İlişkin Destek
4 6 8
Uygulama Desteği(Min. 2 ay –Max. 6 ay) *
*Şirket büyüklüğüne göre ve
farklılık analizine göre değişecektir.
Belgelendirme Denetimi Aşamasında Destek
Belgelendirme Sonrasında Yıllık Güncelleme Denetimleri Sürecinde Uygulama Desteği
2
Danışmanlık Firmasının Belirlenmesi ve Seçilmesi –Sözleşme Süreci
PwC
ISO 9001Proje Çıktı Örnekleri
2815 Aralık 201615. Çözüm Ortaklığı Platformu
Süreç El Kitabı
Süreç Performans Değerlendirme
Doküman ve Kayıtlar
PwC
ISO 9001Proje Çıktı Örnekleri
2915 Aralık 201615. Çözüm Ortaklığı Platformu
Risk Değerlendirme
PwC
ISO 9001Kritik Başarı Faktörleri
3015 Aralık 201615. Çözüm Ortaklığı Platformu
• Yönetimin ve ilgili personelin görüşmeler için yeterli zamanı ayırması
• İncelenmiş ve onaylanmış dokümanların tarafımıza zamanında iletilmesi
• Operasyonda görev alan kişilerin projeye desteği
PwC
ISO 9001 Belgelendirme Süreci
3115 Aralık 201615. Çözüm Ortaklığı Platformu
Belgelendirme Öncesi
Belgelendirme Süreci
Belgelendirme kuruluşu tarafından belgelendirme denetiminin yapılması
- Belgenin sürdürülmesi amacı ile kurulan yapının işletilmesi
- Plan doğrultusunda iç tetkiklerin yapılması
- YGG
Belgelendirme kuruluşu tarafından;
- Yıllık güncelleme denetimleri
- 3 yılda bir yeniden belgelendirme denetimleri
Süreçlerin mevcut durum değerlendirmesi ve eksikliklerin tamamlanarak kalite yönetim sisteminin işlerliğinin sağlanması
Belgelendirme Sonrası
PwC
YYS, ISO 9001, ISO 27001 Belgelendirme Süreci
3215 Aralık 2016
15. Çözüm Ortaklığı Platformu
2016
2017
Belgelendirme Süreci ve YYS
01
Yetkilendirilmiş Yükümlülük Sertifikası
03
YYS Süresi Ağustos 2017’ye kadar uzatılmıştır.
ISO 9001, ISO 27001 Belgelendirme Süreci
02Belgelendirme Süreci Minimum 2 ay Maksimum 6 ay Sürmektedir.
ISO 9001ISO27001YYS
Bölge Müdürlüğü
AnkaraMüfettiş Ataması
İnceleme ve YYS
15 iş günü
30 iş günü
1 ay
Bu doğrultuda 2017 ilk çeyrek sonrası dönem YYS ve belgelendirme için çok yoğun olacaktır.
ISO 27001 Nedir?
PwC
ISO 27001 Nedir ?
ISO 27001:2013
Bilgi Güvenliği Yönetim Sistemi (BGYS) Standardı Nedir?
• Uluslararası bilgi güvenliği standardıdır.
• Etkin bir şekilde işleyen, kendini yenileyebilecek mekanizmalara sahip, izlenebilir ve ölçülebilir metrikleri tanımlanmış bir BGYS kurulmasını öngörür.
• PUKÖ döngüsü dahilinde değerlendirilir.
• Genel Kontroller ve Ek-A kapsamında, BGYS dahilinde uygulanabilecek kontroller tanımlanmıştır.
• Sertifikasyonu bulunmaktadır.
34
15 Aralık 201615. Çözüm Ortaklığı Platformu
Planla:
BGYS’nin kurulumu
Uygula:
BGYS’nin işletilmesi
Kontrol Et:
BGYS’nin izlenmesi
Önlem Al:
BGYS’niniyileştirilmesi
Bilgi güvenliği gereksinimleri
Sürdürülebilir BYGS
PwC
Bilgi Güvenliği Nedir?
Bilginin, Sistemin, Kaynakların, Süreçlerin vb. 3 özelliğinin korunmasıdır.
• Gizlilik
Bilginin, Sistemin, Kaynakların, Süreçlerin vb. gizlilik unsurlarının sağlanması.
• Erişilebilirlik
Bilginin, Sistemin, Kaynakların, Süreçlerin vb. hedeflenen zamanda ulaşılabilir halde olması.
• Bütünlük
Bilginin, Sistemin, Kaynakların, Süreçlerin vb. içeriğinin hedeflenen şekilde ulaşılabilir olması.
15 Aralık 201615. Çözüm Ortaklığı Platformu
35
Bilgi Güvenliği Yönetim
Sistemi (BGYS)
Bütünlük
Erişilebilirlik
Gizlilik
PwC
ISO 27001 Kapsamının Belirlenmesi
Yetkilendirilmiş Yükümlü Sertifikası (“YYS”) başvurularında ibraz edilecek ISO 27001 sertifikasının kapsamı;
• İthalat, ihracat, transit, gümrükleme gibi gümrük ve dış ticaret işlemlerini ve bu işlemlere ilişkin;
• faaliyetlerinin elektronik bilgi varlıklarıile bu varlıkları korumak amacıyla kullandığı bilişim güvenliğini kapsamalıdır.
Detaylı bilgi için: Gümrük İşlemlerinin Kolaylaştırılmasına İlişkin Gümrük Genel Tebliği
15 Aralık 201615. Çözüm Ortaklığı Platformu
36
ISO 27001Gümrükleme
Lojistik
Depolama Finans
Muhasebe
Bilgi İşlem
PwC
ISO 27001 Belgesini Almak Kimler Hangi Firmalar Kurumlar için Zorunlu ?
15 Aralık 201615. Çözüm Ortaklığı Platformu
37
Gümrük İşlerini Kolaylaştırma Yönetmeliği Kapsamında Yetkili Yükümlü Sertifikası (YYS) alacak İthalat ve İhracatçıların ISO 27001 Belgesi alması zorunluğu
YYS
Elektrik Piyasası Düzenleme Kurulu (EPDK) Elektrik Piyasası Lisans Yönetmeliğine Göre ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alınması Zorunluluğu
EPDK
Elektrik Piyasası Düzenleme Kurulu (EPDK) Doğal Gaz Piyasası Lisans Yönetmeliğine Göre ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alınması Zorunluluğu
EPDK
Elektrik Piyasası Düzenleme Kurulu (EPDK) Petrol Piyasası Lisans Yönetmeliğine Göre ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alınması Zorunluluğu
EPDK
Kamu İhale Kanuna (KİK) Göre ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alınması Zorunluluğu
KİK
Maliye Bakanlığı Gelir İdaresi Başkanlığı E fatura Özel Entegratörlük için Başvuru yapan Firmalara ISO 27001 Belgesi alınması Zorunluluğu
GİB
Bilgi Teknolojileri ve İletişim Kurumu yayınladığı Elektronik Haberleşme Güvenliği Kapsamında Tebliğ ile Elektronik Haberleşme Güvenliğini Sağlama Yükümlülüğü olan Firmaların İşletmelerin ISO 27001 Belgesi alınması Zorunluluğu
BTK
ISO 27001 Proje Yönetimi
PwC
ISO 27001Proje Aşamaları
Çalışmalar iki aşamada ya da ayrı ayrı olarak da farklılık analizi ve/veya uygulama desteği olarak gerçekleştirilmektedir.
Şirket bünyesinde Etik Hattı yapısının oluşturulması ve /veya desteklenmesi
ISO 27001:2013 Farklılık Analizi
ISO 27001:2013 Uygulama Projesi
AŞAMA 1
AŞAMA 2
39
15 Aralık 201615. Çözüm Ortaklığı Platformu
PwC
İnsan Kaynakları
Muhasebe ve Finans
Kalite
Depo, Lojistik,
Planlama
Satınalma
Bilgi İşlem/ IT
Satış, Pazarlama,
Müşteri İlişkileri
Dış Ticaret
İdari İşler/Ofis Yönetimi/
Bakım Onarım
ISO 27001
ISO 27001Tahmini Proje Kapsamı (YYS için)
40
15 Aralık 201615. Çözüm Ortaklığı Platformu
PwC
ISO 27001 Gereksinimlerin Değerlendirilmesi
• Varlık Envanteri,• Varlık ve Süreç bazlı
Risk Değerlendirmesi
Stratejik gereksinimler
• BGYS PolitikasıTaktik
gereksinimler
• BGYS ProsedürleriOperasyonel
gereksinimler
• BGYS organizasyonu, roller, komiteler vb.
Sorumluluk gereksinimleri
• Sürekli eğitimEğitim ve
farkındalıkgereksinimleri
Mevcut Durum Değerlendirmesi
ISO 27001:2013 Gereksinimleri
ISO 27001 standardı dahilinde yer verilen BGYS gereksinimleri kapsamında, şirketin organizasyonel yapısına ve ihtiyaçlarına uygun bir şekilde gerçekleştirilmesi gereken asgari çalışma alanları yan tarafta gösterilmektedir.
Mevcut değerlendirme çalışması esnasında gereksinimlerin varlığı ve işletimi gözden geçirilecektir.
41
15 Aralık 201615. Çözüm Ortaklığı Platformu
PwC
ISO 27001 BGYS Yaşam Döngüsü
15 Aralık 201615. Çözüm Ortaklığı Platformu
42
Uygulanabilirlik
Bildirgesi (SoA)
Uygulanabilirlik
Bildirgesi’nin
Uygulanması
Denetim
Çerçevesi
Kontroller
Kapsam ve
Planlama
ISO 27001 BGYS
Standardı
Farklılık Analizi
Raporlanması
Denetim
Farklılık
Analizi
Varlıkların
Tanımlanması
Farkındalık
Eğitimleri
Risk Değerlendirmesi
İnsan Süreç Fiziksel Teknoloji
Risk
Tanımlanması
KONTROL
Governa
nce
(roles,
Committ
ee)Principles,
policies,
procedures
ISMS
(monit
or,
Audit)Technolo
gy
DO
CHECK
PLAN
AC
T
PLANLAMA
UYGULA
AKSİYON ALMA
ISO 27001 BGYS Yaşam Döngüsü
PwC
ISO 27001 Uygulama Adımları
15 Aralık 201615. Çözüm Ortaklığı Platformu
43
Farklılık Analizi Sonuçlarının Değerlendirilmesi
1
Proje PlanlamaKurum ile Koordinasyon
2
BGYS KapsamınınBelirlenmesi
3İç-Dış Bağlamların iş ve Hukuki Çerçevelerde Belirlenmesi6
Kapsamdaki Departmanlar ile Toplantılar
7
Varlık EnvanterininOluşturulması
8Farkındalık Eğitimlerinin Verilmesi
11
İç Tetkik Yapılması
12 13
İç Tetkik Sonuçlarının Raporlanması
13
BGYS KapsamındaDokümanların Gözden Geçirilmesi4
Bilgilendirme e-maillerinin, görsellerin vb. hazırlanması
5Risk Değerlendirme
9
DüzelticiAksiyonlarınBildirimi
10Yönetim Gözden Geçirme Toplantıları
14 13
Dış Tetkikin Yönlendirilmesi
152 ay – 4 ay
PwC
ISO 27001Proje Çıktı Örnekleri
Varlık Envanteri
Farklılık Analizi Değerlendirme Raporu
44
15 Aralık 201615. Çözüm Ortaklığı Platformu
Bilgi Güvenliği Performans Ölçümleme
Bilgi Güvenliği Farkındalık Sunumları ve Görselleri
PwC
ISO 27001Proje Çıktı Örnekleri
Risk Değerlendirme
45
15 Aralık 201615. Çözüm Ortaklığı Platformu
PwC
ISO 27001Belgelendirme Sonrası Yapılması Gerekenler?
Belgenin sürdürülmesi amacı ile kurumda BGYS yapısının işletilmesi;
- Bilgi güvenliği yaklaşımının iş süreçlerine entegre edilmesi- Bilgi güvenliği farkındalığının kurum genelinde sağlanması,- Düzenli ve planlı iç tetkiklerin yapılması,- YYG toplantılarının yapılması (bilgi güvenliği performansına ilişkin kantitatif sonuçların üst
yönetime raporlanması)- Yıllık, aylık vb. olarak belirlenen kontrol, güncelleme, kayıt tutma ve bilgilendirmelerin
sağlanması,- 3 yılda 1 de yeniden belgelendirme denetimi
46
15 Aralık 201615. Çözüm Ortaklığı Platformu
Sürdürülebilir BGYS
PwC
ISO 27001Kritik Başarı Faktörleri
Projenin başarısı; proje kaynaklarının doğru ve yeterli şekilde sağlanması, top-down bir yaklaşımla bilgi güvenliği konseptinin kurum genelinde benimsenmesi/yönetim tarafından desteklenmesi ve proje çıktılarının ISO gereksinimlerini karşılayacak ve kurum yapısına en uygun vaziyette oluşturulması ile sağlanacaktır.
Çalışanlardan beklentimiz:
• Yönetimin ve iş süreçlerinden proje sorumlusu olarak atanan personelin liderliği, katılımı ve projeye desteği,
• Mevcut yapının yazılı ve sistemsel olarak doğru şekilde aktarımı ve eksiklerin tespiti konusunda kurum içi desteği sağlanması,
• Kurumun bilgi güvenliği entegrasyonu için, bunun bir ihtiyaçtan çok yeni dünyanın bir zorunluluğu ve iş süreçleri için ayrılmaz bir bütünü olarak algısının oluşturulması.
47
15 Aralık 201615. Çözüm Ortaklığı Platformu
İnsan
Süreçler
Teknoloji
PwC
Sorularınız?
Serkan Küçükbilezikçi
PwC TürkiyeMüdürVergi Hizmetleri+90 (212) 326 [email protected]
Elif Kuvvet
PwC TürkiyeMüdürRisk, Süreç ve Teknoloji Hizmetleri+90 (212) 326 [email protected]
Onur Korucu
PwC TürkiyeKıdemli DanışmanRisk, Süreç ve Teknoloji Hizmetleri+90 (212) 326 [email protected]
48
15 Aralık 201615. Çözüm Ortaklığı Platformu