ISO 28000 Tedarik Zinciri Güvenliği Yönetim Sistemi
ISO 28000 standardı ilk olarak 2005 yılında yayınlanmış ve daha sonra 2007 yılında revize edilmiştir. Tedarik zinciri güvenliği ile ilgili bir yönetim sistemi kurmak isteyen kuruluşlar için en önemli referans olan bu standardın güncel sürümü 2022 yılında yayınlanmıştır. Daha önce sadece tedarik zinciri güvenliğine odaklanan standart, son versiyon ile beraber tedarik zinciri de dahil olmak üzere genel bir güvenlik yönetim sistemi ile ilgili gereklilikleri açıklamaktadır. ISO 28000:2022 standardı, risk yönetimi bağlamında ISO 31000, iş sürekliliği yönetimi bağlamında ise ISO 22301 standardı ile uyumlu hale getirilmiştir. ISO 28000:2007 standardını iptal eden ve değiştiren bu son versiyon tedarik zinciri ile ilgili güvenlik stratejilerini, prosedürleri ve ilgili süreçleri işletmelerin genel güvenlik konuları bağlamında genişletmektedir.
ISO 28000, tedarik zinciri güvenliği konusunu bir yönetim sistemi çerçevesinde ele almak isteyen kuruluşlar için geliştirilmiş bir standarttır. İlk defa 2007 yılında yayınlanan ve 2022 yılında revize edilen standart, tedarik zinciri güvenliği yönetim sistemi kurulması, işletilmesi ve sürekli iyileştirme yapılması için gereken kural, ilke ve prosedürleri açıklamaktadır. Bir tedarik zinciri olan büyük ya da küçük her kuruluş ISO 28000’i standardını uygulayabilir ve tedarik zinciri güvenliğini doğrulayabilir. Tedarik zincirinin her aşamasını ele alan ve tüm güvenlik tehlikelerinin kontrol altına alınıp doğru bir şekilde yönetilmesini sağlayan ISO 28000, ISO’nun diğer yönetim sistemleriyle de büyük ölçüde tutarlıdır. Standart gereksinimlerini karşılayan işletmeler, ISO 28000 Tedarik Zinciri Güvenliği Yönetim Sistemi Belgesi için bağımsız akredite denetim ve sertifikasyon kuruluşlarına başvuruda bulunabilmektedir. Belgelendirmeye hazırlık, eğitim, sertifika başvurusu, dokümantasyon, denetim ve diğer süreçlerin tamamında Kobi Danışmanlık’tan destek alabilirsiniz.
ISO 28000 Nedir?
ISO 28000 standardı, tedarik zinciriyle ilgili hususlar da dahil olmak üzere işletmelerde güvenlik yönetim sistemi kurulması için gerekli kural ve esasları açıklamaktadır. Standart, güvenlik yönetim sistemi kurmayı, uygulamayı, sürdürmeyi ve iyileştirmeyi amaçlayan her sektörde ve büyüklükteki kuruluşlar için geçerlidir. Bu bağlamda ticari işletmeler, kamu kuruluşları, kar amacı gütmeyen kuruluşlar vs bu sistemi uygulayabilir. ISO 28000, bütünsel ve ortak bir yaklaşım sağlar ve sektöre veya pazara özgü değildir. Güvenlik yönetim sistemi standardı, bir kuruluşun ömrü boyunca kullanılabilir ve her düzeydeki iç ve dış faaliyetlere ve süreçlere uygulanabilir.
Tedarik zinciri güvenliği, tedarik zinciri yönetiminde dış tedarikçilerin, satıcıların, lojistik ve nakliye süreçlerinin risk yönetimine odaklanan kritik bir konudur. Amacı, tedarik zincirinin parçası olarak diğer kuruluşlarla çalışmanın doğasında var olan riskleri belirlemek, analiz etmek ve azaltmaktır. Tedarik zinciri güvenliği, hem ürünlerle ilgili fiziksel güvenliği hem de yazılım ve hizmetler için siber güvenliği kapsamaktadır. Günümüzde tedarik zinciri yönetimi işletmeden işletmeye büyük farklılıklar gösterebileceğinden ve bu sürece birçok farklı kuruluş dahil olabileceğinden, tek tip tedarik zinciri güvenlik yönergeleri veya en iyi uygulamaları (best practices) bulunmamaktadır. Tutarlı bir tedarik zinciri güvenlik stratejisi, risk yönetimi ilkelerini ve siber güvenliğin sağlanmasını gerektirir. Ayrıca bakanlıklar gibi devlet kurumları tarafından belirlenen protokolleri veya uluslararası tedarik zincirleri için gümrük düzenlemelerini de dikkate almaktadır.
Geçmişte tedarik zinciri güvenliği yaklaşımı öncelikle fiziksel güvenlik ve bütünlüğe odaklanıyordu. Fiziksel riskler arasında hırsızlık, sabotaj ve terörizm gibi iç ve dış kaynaklı riskler sayılabilir. Kuruluşlar genellikle gönderileri izleyerek ve düzenleyici evrakları kontrol ederek fiziksel saldırıları azaltır. Bunun yanında, satıcılardan belirli kalite yönergelerini izleyerek gönderileri güvence altına almaları istenebilir. Bu bağlamda bir işletme, ticari ürünlerin istikrarlı bir şekilde tedarik edilmesini sağlamak için birkaç farklı satıcı ile çalışabilir. Fiziksel güvenliğin kontrolü amacıyla dış denetçiler bir fabrikaya gidebilir ve işletmeler de personelin geçmişini kontrol edebilir. Olası manipülasyonları, yolsuzluk girişimlerini veya hırsızlıkları durdurmak için gönderiler her aşamada kaydedilebilir, korunabilir ve göndermeden önce ve sonra kontrol edilebilir.
Teknolojinin gelişmesiyle birlikte zaman içerisinde tedarik zinciri güvenliği konusundaki siber tehditler artmaya başlamıştır. Siber tehditler, BT ve yazılım sistemlerindeki kötü amaçlı yazılım saldırıları, korsanlık, yetkisiz ERP erişimi ve kuruluşlar tarafından kullanılan satın alınan, açık kaynaklı veya tescilli yazılımlara kasıtsız veya kötü niyetli olarak entegre edilen güvenlik açıklarını kapsar. Tedarik zinciri güvenliği, burada öncelikle başka bir kuruluş tarafından geliştirilen yazılımları kullanmaktan kaynaklanan riskleri en aza indirmeyi ve tedarik zincirinizdeki başka bir kuruluş tarafından erişilen kurumsal verilerin güvenliğini sağlamayı içerir. Kuruluşların kullandıkları veya satın aldıkları yazılımların güvenli olduğunu kesin olarak kabul etmesi mümkün değildir.
İşletmeler, tedarikçiler ve satıcılar arasında genellikle yakın iş birliği gerektiğinden, bilgisayar ağları iç içe geçebilir veya hassas veriler paylaşılabilir. Bu durum, birçok kuruluşu etkileyen ihlallerle ve güvenlik aksaklıklarıyla sonuçlanabilir . Siber suçlar, hedefe doğrudan saldırmak yerine tedarik zincirindeki daha zayıf kuruluşlara saldırmak için kullanabilir.
ISO 28000 Standardının Amacı
Standardın amacını şöyle özetleyebiliriz:
Her ölçekten ve sektörden kuruluş için tedarik zinciri süreçleri de dahil olmak üzere kapsamlı bir güvenlik yönetim sistemi geliştirmek
Şirketin güvenlik konularına ilişkin risk ve fırsatları ortaya çıkarmak; risklerin kontrol edilmesini, fırsatların değerlendirilmesini sağlamak
Faaliyetlerin güvenliğine ilişkin yasal düzenlemelerine ve uluslararası normlara uyum sağlamak
Kalite, çevre, iş sağlığı ve güvenliği, enerji vb gibi diğer yönetim sistemlerine uygun bir güvenlik sistemi oluşturmak
ISO 28000 Standardı Kapsamı
Günümüzde birçok kuruluş güvenlik ortamında artan bir belirsizlik ve değişkenlik yaşamaktadır. Buna bağlı olarak yönetim sistemlerinde sistematik olarak ele almak istedikleri ve hedeflerini açıkça etkileyen güvenlik sorunlarıyla karşı karşıya kalmaktadır. Güvenlik yönetimiyle ilgili sistematik bir yaklaşım, kuruluşların iş kabiliyetine ve güvenilirliğine doğrudan katkıda bulunabilmektedir. ISO 28000 standardı, tedarik zinciri güvenliği için kritik olan yönler de dahil olmak üzere kurumların uygulaması gereken güvenlik yönetim sisteminin temellerini anlatmaktadır. Standart, kuruluşlardan şunları yapmasını beklemektedir:
Tedarik zinciri de dahil olmak üzere faaliyet gösterdiği güvenlik ortamını değerlendirmek.
Güvenlikle ilgili riskleri etkin bir şekilde yönetmek için yeterli güvenlik önlemlerinin mevcut olup olmadığını belirlemek.
Kuruluşun taahhüt ettiği yasal, düzenleyici ve gönüllü yükümlülüklere uyumluluğu yönetmek.
Kuruluşun hedeflerini karşılamak için tedarik zinciriyle ilgili konular da dahil olmak üzere tüm alanlardaki güvenlik süreçlerini ve kontrollerini hazırlamak.
Güvenlik yönetimi, işletme yönetiminin birçok yönü ile doğrudan veya dolaylı olarak bağlantılıdır. Tedarik zincirini etkileyenler faktörler de dahil olmak üzere, kuruluşlar tarafından kontrol edilen veya etkilenen tüm faaliyetleri kapsamaktadır. Bu bağlamda, kuruluşun güvenlik yönetimi üzerinde etkisi olan tüm faaliyetler, fonksiyonlar ve işlemler dikkate alınmalıdır.
Güvenlik yönetimine tedarik zinciri açısından bakılacak olursa; tedarik zincirlerinin doğası gereği dinamik olduğu gözden kaçırılmamalıdır. Bu nedenle, aynı anda birden fazla tedarik zincirini yöneten kuruluşlar, güvenlik yönetimi gereksinimlerini karşılamak için tedarikçilerinden birtakım güvenlik standartlarına uymasını talep edebilir.
ISO 28000 Güvenlik Yönetim Sistemi standardı, ISO 9001 , ISO 14001 , ISO 22301 , ISO/IEC 27001 , ISO 45001 vb. gibi diğer yönetim sistemi standartlarıyla büyük oranda uyumludur. Bu sayede, kalite, çevre, iş güvenliği vb gibi konularda aktif yönetim sistemleri olan kuruluşlar ISO 28000 standardına da kolaylıkla entegre olabilir.
ISO 28000 Belgesi Nasıl Alınır?
ISO 28000 Belgesi almak isteyen kuruluşlar öncelikle resmi olarak bu standarda sahip olmalı ve şirket içinde standardın gerektirdiği aksiyonları almalıdır. Bunun için üst yönetimden başlayarak standarda uygun bir organizasyon yapısı oluşturulmalı ve gerekli dokümantasyon sistemi kurulmalıdır. Diğer yönetim sisteminde olduğu gibi ISO 28000 Güvenlik Yönetim Sistemi’nde de PUKÖ (Planla – Uygula – Kontrol – Önlem al) döngüsü takip edilmektedir. ISO 28000 Belgesi sahibi olmak isteyen şirketler güvenlik politikalarını, hedeflerini ve stratejilerini bu doğrultuda belirlemelidir. Bunun yanı sıra görevlendirilen bazı kişilerin standarda ilişkin temel eğitimleri alması sağlanmalıdır.
ISO 28000 Tedarik Zinciri Güvenliği Yönetim Sistemi konusunda gerekli tüm çalışmalar tamamlandıktan sonra akredite belgelendirme kuruluşlarına başvuru yapılarak belgelendirme süreci başlatılabilir. Bu aşamada belgelendirme kuruluşları talep edilen bazı dokümanlar üzerinden ve/veya doğrudan işletme sahalarında yerinde denetimler gerçekleştirebilir. Denetim aşamalarını başarıyla tamamlayan kuruluşlar ISO 28000 Belgesi almaya hak kazanmaktadır.
ISO 28000 belgelendirme sürecini şöyle özetleyebiliriz:
Mevcut durum analizi: Şirketin ISO 28000 standardına uyumluluk aşamasında hangi noktada olduğu tespit edilir ve belgelendirme sürecinin genel planı hazırlanır.
Eğitimler: Kuruluşlarda tedarik zinciri de dahil olmak üzere tüm faaliyetlerin ve süreçlerin güvenliği konusunda bir farkındalık oluşturmak amacıyla farklı seviyelerde eğitimler düzenlenir.
Sistem kurulumu: Standardın gerektirdiği koşullar çerçevesinde bir süreç haritası çıkarılır ve güvenlik talimatları, prosedürleri, acil durum eylem planları vb gibi dokümanlar üzerinden sistem kurulumu gerçekleştirilir.
Denetim ve değerlendirme: Kuruluşun ISO 28000 Tedarik Zinciri Güvenliği Yönetim Sistemi ile ilgili sürekli iyileştirmeler ve değerlendirmeler yapacak olgunluğa gelmesi sağlanır.
Belgelendirme: Şirket, akredite belgelendirme kuruluşuna başvuru yapacak seviye getirilir ve belgelendirme süreci başlatılır.
ISO 28000 Tedarik Zinciri Güvenliği Yönetim Sistemi kurmak ve belge almak isteyen kuruluşlar Kobi Danışmanlık’tan destek alabilir. Kobi Danışmanlık, eğitim ve danışmanlık hizmetleriyle belgelendirme sürecinin başından sonuna kadar şirketlere yol göstermektedir. Standardın kapsamı, uygulanması ve belgelendirme adımlarıyla ilgili daha detaylı bilgi için Kobi Danışmanlık ile iletişime geçebilirsiniz.
ISO 28000 Belgesi için Gerekli Evraklar Nelerdir?
ISO 28000 belgelendirme sürecinde şirketlerden temel olarak vergi levhası, firma faaliyet belgesi, ticaret sicil kaydı ve imza sirküleri, SGK bildirgesi vb gibi dokümanlar talep edilir. Bunun yanı sıra, ISO Tedarik Zinciri Güvenliği Yönetim Sistemi’nin gerektirdiği diğer dokümanları hazırlaması beklenir. Bunlar arasında organizasyon şeması, ISO 28000 ile ilgili alınmış eğitimlerin listesi, yetkilendirilmiş personellerin bilgileri, güvenlik talimatları ve prosedürleri, acil durum eylem planları, risk yönetimi talimatları vb gibi dokümanlar sıralanabilir. ISO 28000 Belgesi başvuru evrakları ve dokümantasyon sistemi hakkında daha detaylı bilgi için Kobi Danışmanlık ile iletişime geçebilirsiniz.
Neden Bizimle Çalışmalısınız?
Kobi Danışmanlık, tedarik zinciri güvenliği de dahil olmak üzere firmaların uygulamak istedikleri tüm yönetim sistemlerinin kurulumu, denetlenmesi, belgelendirilmesi ve iyileştirilmesi konusunda deneyim ve uzmanlık sahibidir. ISO 28000 eğitim ve danışmanlık hizmetleri için Kobi Danışmanlık ile iletişime geçen kuruluşlar Tedarik Zinciri Güvenliği Yönetim Sistemi’nin hızlı ve kolay bir şekilde kurabilmekte ve belge sahibi olabilmektedir. Kobi Danışmanlık, ISO 28000 ile ilgili tüm konularda uzmanlık sahibi olan teknik ve idari kadrosu ile şirketlere her açıdan destek olabilmekte ve sürdürülebilir iş ortaklıkları geliştirebilmektedir.
ISO 28000 Tedarik Zinciri Güvenliği Yönetim Sistemi, büyülüğü ve faaliyet gösterdiği sektör fark etmeksizin tüm kamu ve özel sektör kuruluşları tarafından uygulanabilir. Bu sistemi uygulayan şirketler akredite belgelendirme kuruluşlarına başvuruda bulunarak ISO 28000 Belgesi alabilir. Sertifikasyon sürecini şöyle özetleyebiliriz:
* Şirketin mevcut durumuyla ISO 28000 Tedarik Zinciri Güvenliği Yönetim Sistemi gereklilikleri arasındaki farklılıkların ve eksikliklerin tespit edilmesi
* Üst yönetimden başlayarak tedarik zincirinden sorumlu tüm personellere ISO 28000 eğitimleri verilmesi
* ISO 28000 Tedarik Zinciri Güvenliği Yönetim Sistemi kurulması ve dokümantasyon sisteminin hazırlanması
* İç denetçi eğitimleri alan denetçilerin kurum içerisinde denetlemeler yapması ve eksikliklerin raporlanması
* ISO 28000 sertifikası almak için gerekli tüm hazırlıkların yapılmasından sonra akredite belgelendirme kuruluşlarına başvuru yapılması
* Belgelendirme kuruluşuyla ISO 28000 belgelendirme için bir anlaşma yapılması ve belgelendirme planı oluşturulması
* Bağımsız denetçilerin şirket sahalarını yerinde ziyaret etmesi ve denetlemeler yapılması
* Denetleme raporlarında belirlenen uygunsuzluklar için düzeltici ve önleyici aksiyon planının hazırlanması ve uygulanması
* Belgelendirme adımlarının tamamlanmasının ardından ISO 28000 Tedarik Zinciri Güvenliği Yönetim Sistemi Belgesi düzenlenmesi
ISO 28000 sertifikasının geçerlilik süresi 3 yıldır. İlk belgelendirme tamamlandıktan sonra her yıl gözetim denetimleri düzenlenebilmektedir. Üçüncü yılın sonunda sertifikasyon süreci tekrar edilmekte ve yeniden belgelendirme yapılmaktadır. Belgelendirme adımları, sertifika fiyatları ve denetim süreci hakkında daha detaylı bilgi için Kobi Danışmanlık ile iletişime geçebilirsiniz. Kobi Danışmanlık, belgelendirme öncesi, denetimlere hazırlık, eğitim ve belgelendirme sonrasında hangi dokümanların hazırlanması gerektiği konusunda kuruluşlara rehberlik yapmaktadır.