Professional Documents
Culture Documents
TS ISO 28000
Şubat 2015
ICS 47.020.99
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
IFC GLOBAL SERTiFiKASYON MUAYENE VE EGiTiM HiZMETLERi ANONiM SiRKETi'A VERiLMiSTiR. BASILMA TARiHi: 04.07.2017
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
IFC GLOBAL SERTiFiKASYON MUAYENE VE EGiTiM HiZMETLERi ANONiM SiRKETi'A VERiLMiSTiR. BASILMA TARiHi: 04.07.2017
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
ICS 47.020.99 TÜRK STANDARDI TS ISO 28000:2013-06
ISO 28000:2007
Milli Ön söz
- Bu standard; kaynağı ISO 28000:2007 standardı olan TS ISO 28000:2013 Türk standardının TSE
Mühendislik Hizmetleri İhtisas Kurulu’na bağlı TK29 Yönetim Sistemleri Komitesi marifetiyle hazırlanan
Türkçe tercümesidir.
963
- ISO resmi dillerinde yayınlanan diğer standard metinleri ile aynı haklara sahiptir.
- Bu standardda kullanılan bazı kelime ve/veya ifadeler patent haklarına konu olabilir. Böyle bir patent
hakkının belirlenmesi durumunda TSE sorumlu tutulamaz.
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
IFC GLOBAL SERTiFiKASYON MUAYENE VE EGiTiM HiZMETLERi ANONiM SiRKETi'A VERiLMiSTiR. BASILMA TARiHi: 04.07.2017
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
ULUSLARARASI ISO
STANDARD 28000
INTERNATIONAL
STANDARD
Birinci Baskı
2007-09-15
Referans Numarası
ISO 28000:2007 (E)
© ISO 2007
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
IFC GLOBAL SERTiFiKASYON MUAYENE VE EGiTiM HiZMETLERi ANONiM SiRKETi'A VERiLMiSTiR. BASILMA TARiHi: 04.07.2017
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
İçindekiler
Sayfa
Önsöz ............................................................................................................................................................... iv
Giriş ................................................................................................................................................................... v
1 Kapsam ...................................................................................................................................................... 1
2 Atıf yapılan standard ve/veya dokümanlar ............................................................................................ 1
3 Terimler ve tarifler .................................................................................................................................... 1
4 Güvenlik yönetim sisteminin unsurları .................................................................................................. 3
4.1 Genel şartlar ............................................................................................................................................ 3
4.2 Güvenlik yönetim politikası ...................................................................................................................... 3
4.3 Güvenlik risk değerlendirmesi ve planlama ............................................................................................. 4
4.4 Uygulama ve işletim ................................................................................................................................ 5
4.5 Kontrol ve düzeltici faaliyet ...................................................................................................................... 7
4.6 Yönetimin gözden geçirmesi ve sürekli iyileştirme .................................................................................. 9
Ek A (Bilgi için) ISO 28000:2007, ISO 14001:2004 ve ISO 9001:2000 arasındaki eşlemeler ................... 10
Kaynaklar ........................................................................................................................................................ 13
iii
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
IFC GLOBAL SERTiFiKASYON MUAYENE VE EGiTiM HiZMETLERi ANONiM SiRKETi'A VERiLMiSTiR. BASILMA TARiHi: 04.07.2017
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
Önsöz
ISO (Uluslararası Standardizasyon Kuruluşu) dünya çapında standardizasyona yönelik özel sistemi
oluşturmaktadır. Uluslararası standardların hazırlanması ISO teknik komiteleri marifetiyle gerçekleştirilir.
Teknik Komitesi oluşturulmuş bir konu ile ilgilenen her üye kuruluş, bu komitede temsil hakkına sahiptir. ISO
ile işbirliği içindeki resmi ya da sivil uluslararası kuruluşlar da, çalışmalarda yer alabilir. ISO, elektroteknik
standardizasyonu ile ilgili tüm konularda Uluslararası Elektroteknik Komisyonu (IEC) ile yakın işbirliği
içerisindedir.
Teknik Komitelerin esas görevi Uluslararası Standardların hazırlanmasıdır. Taslak Uluslararası Standardlar,
oylama için üye ülke kuruluşlarına gönderilir. Bir Uluslararası Standardın yayınlanması, oy veren üye ülkelerin
en az % 75’inin onayını gerektirir.
Bu dokümanın bazı kısımlarının patent haklarına konu olabileceğine dikkat edilmelidir. Böyle herhangi bir
patent hakkının belirlenmesi durumunda ISO sorumlu tutulamaz.
Bu standard (ISO 28000:2007), ISO/TC 8, “Gemiler ve denizcilik teknolojisi” Teknik Komitesi tarafından
hazırlanmıştır.
Bu ilk baskı, teknik olarak revize edilmiş olan ISO/PAS 28000:2005’ı iptal eder ve yerini alır.
iv
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
IFC GLOBAL SERTiFiKASYON MUAYENE VE EGiTiM HiZMETLERi ANONiM SiRKETi'A VERiLMiSTiR. BASILMA TARiHi: 04.07.2017
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
Giriş
Bu uluslararası standard, güvenlik yönetimi standardı için endüstriden gelen talebe istinaden geliştirilmiştir.
Temel hedef tedarik zincirlerindeki güvenliği iyileştirmektir. Kuruluşun tedarik zinciri güvenlik yönetimi sistemi
oluşturmasını sağlayan bir üst seviye yönetim standardıdır. Kuruluşun, içinde çalıştığı güvenlik ortamını
değerlendirmesini, uygun güvenlik önlemlerinin mevcut olup olmadığını belirlemesi ve kuruluşun tabi olduğu
düzenleme şatlarının varlığını belirlemesini gerektirir. Bu proses tarafından güvenlik ihtiyaçları tanımlanırsa,
kuruluşun bu ihtiyaçları karşılamak için mekanizmalar ve prosesler uygulaması gerekmektedir. Tedarik
zincirleri doğası gereği dinamik olduğundan, birden fazla tedarik zincirini idare eden kuruluşlar, ilgili kamusal
veya ISO tedarik zinciri güvenlik standardlarını karşılamak için, Şekil 1’de gösterildiği üzere güvenlik yönetimini
basitleştirmek için bu tedarik zincirinin içinde olmak şartıyla, kendi hizmet sağlayıcılarından destek bekleyebilir.
Bu standard, kuruluşun tedarik zincirlerinin güvenli bir şekilde yönetilmesinin gerektiği durumlarda uygulanmak
üzere düzenlenmiştir. Güvenlik yönetimine resmi bir yaklaşım, kuruluşun iş kabiliyetine ve güvenilebilirliğine
doğrudan katkı sağlayabilir.
Bir uluslararası standard ile uyumlu olmak, kendi içinde yasal yükümlülüklerden muafiyete karşılık gelmez.
İsteyen kuruluşların, güvenlik yönetim sisteminin bu uluslararası standarda uygunluğu bir dış veya iç tetkik
prosesi ile doğrulanabilir.
Bu standard, yönetim sistemlerine yönelik risk temelli yaklaşımı sebebiyle ISO 14001:2004 tarafından adapte
edilmiş ISO formatını temel almıştır. Ancak, yönetim sistemlerine proses yaklaşımını adapte etmiş kuruluşlar
(örneğin, ISO 9001:2000), bu standardda açıklanan güvenlik yönetim sistemi için mevcut yönetim sistemini
temel olarak alabilirler. Kuruluşun uygunluğunun belgelendirilmiş veya doğrulanmış olduğu tedarik zinciri
güvenlik yönetimiyle ilgili kamu şartları ve standardlarını tekrarlamak bu uluslararası standardın amacı değildir.
Doğrulama, kabul edilebilir birinci, ikinci ya da üçüncü taraf kuruluş tarafından yapılabilir.
v
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
IFC GLOBAL SERTiFiKASYON MUAYENE VE EGiTiM HiZMETLERi ANONiM SiRKETi'A VERiLMiSTiR. BASILMA TARiHi: 04.07.2017
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
Not 1 - Bu Standard, “Plânla - Uygula - Kontrol et - Önlem al” olarak bilinen (PUKÖ) metodolojisi, bütün
proseslere uygulanabilir. PUKÖ kısaca şöyle açıklanabilir;
Plânla: Kuruluşun güvenlik politikasına uygun sonuçların ortaya çıkması için gerekli amaçları ve
prosesleri oluştur,
Uygula: Prosesleri uygula,
Kontrol et: Prosesleri, güvenlik politikası, amaçlar, hedefler, yasal ve diğer şartlar karşısında izle, ölç
ve sonuçları rapor et,
Önlem al: Güvenlik yönetim sisteminin performansını sürekli iyileştirmek için tedbirler al.
vi
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
IFC GLOBAL SERTiFiKASYON MUAYENE VE EGiTiM HiZMETLERi ANONiM SiRKETi'A VERiLMiSTiR. BASILMA TARiHi: 04.07.2017
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
1 Kapsam
Bu standard, tedarik zincirinin güvenlik teminatı için kritik olan yönler dâhil, bir güvenlik yönetim sisteminin
şartlarını kapsar. Güvenlik yönetimi, işletme yönetiminin diğer birçok boyutuyla da bağlantılıdır. Bu boyutlar,
tedarik zinciri güvenliği üzerinde etkisi olan, kuruluş tarafından kontrol edilen veya etkilenen tüm faaliyetleri
içerir. Bu diğer boyutlar, malların tedarik zinciri boyunca taşınması dâhil güvenlik sistemi üzerinde etkisi olan
yerlerde ve zamanlarda, doğrudan göz önüne alınmalıdır.
Bu standard, üretimin veya tedarik zincirinin herhangi bir aşamasında aşağıdakilerin istendiği, üretim, hizmet,
depolama veya taşımada, az ulusludan çok ulusluya kadar her büyüklükte kuruluş için uygulanabilir:
Bu uluslararası standardda, şartların bazılarını ele alan yasal ve düzenleyici kodlar vardır.
Üçüncü taraf belgelendirmeyi tercih eden kuruluşlar, tedarik zincir güvenliğine katkılarını daha ileri seviyede
gösterebilirler.
3 Terimler ve tarifler
Bu dokümanın amaçları için aşağıdaki terimler ve tanımlamalar uygulanır.
3.1 Tesis
Belirgin ve sayılabilir bir işlevi veya hizmeti olan, fabrika, makineler, mülk, binalar, araçlar, gemiler, liman
tesisleri ve altyapının ya da fabrika ve ilgili sistemlerin diğer parçaları.
Not - Bu tanımlama, güvenliğin sağlanması ve güvenlik yönetiminin uygulanması için kritik olan herhangi bir
yazılım kodunu da içermektedir.
3.2 Güvenlik
Tedarik zincirine veya tedarik zinciri tarafından kuruluşa zarar vermek veya hasara uğratmak için kasıtlı yetkisiz
bir şekilde tasarlanan faaliyete/faaliyetlere olan direnç.
1
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
IFC GLOBAL SERTiFiKASYON MUAYENE VE EGiTiM HiZMETLERi ANONiM SiRKETi'A VERiLMiSTiR. BASILMA TARiHi: 04.07.2017
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
Not - Bu tip çıktıların, toplam işletme tarafından müşteri veya son kullanıcılarına sunulan hizmetler, ürünler
veya kaynakların sağlanmasıyla doğrudan veya dolaylı olarak bağlantılı olması çok önemlidir.
3.8 Paydaş
Kuruluşun performans, başarı veya faaliyetlerinin etkileri konusunda kazanılmış bir hakkı olan kişi veya
kuruluş.
Not - Örnekler arasında müşteriler, paydaşlar, finansçılar, sigortacılar, düzenleyiciler, yasal birimler,
çalışanlar, yükleniciler, tedarikçiler, işçi kurumları veya toplum vardır.
Not - Tedarik zinciri, satıcıları, üretim tesislerini, lojistik sağlayıcıları, iç dağıtım merkezleri, dağıtıcılar,
toptancılar ve son kullanıcıya çıkan diğer tüzel kişileri içerebilir.
Not - Üst yönetim, özellikle büyük çok uluslu kuruluşlarda, bu standardda belirtildiği gibi kişisel olarak
katılamayabilir; ancak, emir zinciri yoluyla üst yönetim sorumlulukları gösterilebilir.
2
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
IFC GLOBAL SERTiFiKASYON MUAYENE VE EGiTiM HiZMETLERi ANONiM SiRKETi'A VERiLMiSTiR. BASILMA TARiHi: 04.07.2017
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
Kuruluş, Madde 4’ün tamamında verilen şartlarla uyum içerisinde etkinliği sürekli iyileştirmelidir.
Bu politika:
a) Kuruluşun diğer politikalarıyla tutarlı olmalıdır,
b) Güvenlik yönetimine özgü amaçların, hedeflerin ve programların oluşturulmasını mümkün kılacak bir
çerçeve sağlamalıdır,
c) Kuruluşun genel güvenlik tehditleri ve risk yönetimi çerçevesiyle tutarlı olmalıdır,
d) Kuruluşa yönelik tehditlere, işletimlerin mahiyeti ve ölçeğine uygun olmalıdır,
e) Genel/kapsamlı güvenlik yönetimi amaçlarını açık bir şekilde belirtmelidir,
f) Güvenlik yönetimi prosesinin sürekli iyileştirilmesine dair taahhüt içermelidir,
g) Mevcut uygulanabilir yasalar, düzenlemeler ve meşruiyet şartları ve kuruluşun tabi olduğu diğer
şartlarla uyumluluğa olan bağlılığı içermelidir,
h) Görülebilir şekilde üst yönetim tarafından desteklenmelidir,
i) Doküman haline getirilmeli, uygulanmalı ve sürdürülebilir kılınmalıdır,
j) Kişilerin bireysel güvenlik yönetimiyle ilgili kendi zorunluluklarının farkında olması amacıyla,
ziyaretçiler ve taşeronlar dâhil üçüncü taraflar ve tüm ilgili personele iletilmelidir,
k) Mümkünse, paydaşların erişimine de açık olmalıdır,
3
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
IFC GLOBAL SERTiFiKASYON MUAYENE VE EGiTiM HiZMETLERi ANONiM SiRKETi'A VERiLMiSTiR. BASILMA TARiHi: 04.07.2017
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
l) Güvenlik yönetim sisteminin devamlılığı veya uygunluğunu etkileyebilecek şekilde diğer kuruluşları
satın alma, birleşme durumlarında veya iş kapsamında diğer değişikliklerin olması durumunda gözden
geçirilmesine imkân vermelidir.
Not – Kuruluşlar, iç kullanım amacıyla, güvenlik yönetim sisteminin yürütülmesi için yeterli bilgi ve
yönlendirmeyi sağlayan detaylı bir güvenlik yönetim politikasının (gizliliği olan bölümleri olabilir) ve
paydaşlara ve diğer ilgili taraflara dağıtmak için de daha genel amaçları içeren özetlenmiş bir
uyarlamanın (gizliliği olmayan) mevcudiyetini seçebilirler.
a) İşlevsel aksaklık, kaza sonucu hasarlanma, kötü niyetle hasar verme veya terörist yahut suç teşkil
eden faaliyetler gibi fiziksel yetersizlik riskleri ve tehditleri,
b) Kuruluşun performansını, durumunu ve güvenliğini etkileyen, güvenlik kontrolü, insan faktörleri ve
diğer faaliyetleri de içeren işletime yönelik tehdit ve riskler,
c) Güvenlik önlemlerini ve donanımları etkisiz hale getirebilecek olan doğal çevre olayları (fırtına, sel,
vb.),
d) Dışarıdan sağlanan donanımlar veya hizmetlerde aksama gibi kuruluşun kontrolü dışında olan
faktörler,
e) Düzenleyici şartları karşılayamamak veya şöhrete yahut marka adına zarar gelmesi gibi paydaşlara
yönelik tehditler ve riskler,
f) Değiştirme, bakım dâhil güvenlik donanımlarının tasarım ve kurulumları,
g) Bilgi, veri yönetimi ve iletişimi,
h) İşletimlerin devamlılığına tehdit,
Kuruluş yukarıda verilen bilgileri doküman haline getirmeli, muhafaza etmeli ve güncellemelidir.
a) Kuruluşun çalışma konusu, mahiyeti dikkate alınarak ve zamanlama itibariyle reaktif olmaktan ziyade
proaktifliği temin etmek için tanımlanmalı,
b) Güvenlik tehditleri ve riskleriyle ilgili bilgilerin toplanmasını ihtiva etmeli,
c) Tehditlerin ve risklerin sınıflandırılmasını ve kaçınılması, ortadan kaldırılması veya kontrol edilmesi
gerekenleri belirlenmesini sağlamalı,
d) Tedbirlerin etkinliği ve uygulamalarının zamanında yapılmasını temin etmek için izleme sağlamalı (bk.
Madde 4.5.1).
4
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
IFC GLOBAL SERTiFiKASYON MUAYENE VE EGiTiM HiZMETLERi ANONiM SiRKETi'A VERiLMiSTiR. BASILMA TARiHi: 04.07.2017
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
Kuruluşun bu bilgiyi güncel olarak tutması gereklidir. Yasal ve diğer şartlara dair bilgilerin, çalışanlara ve
taşeronlar dâhil diğer ilgili üçüncü taraflara iletimi sağlanmalıdır.
Bu hedeflerin:
a) Uygun seviyede ayrıntılı olması,
b) Spesifik, ölçülebilir, ulaşılabilir, ilintili ve zamana dayalı (uygulanabilir olduğu yerlerde) olmalı,
c) Tüm ilgili çalışanlara ve taşeronlar dâhil üçüncü taraflara, bu unsurların kendi bireysel zorunluluklarının
farkına varmaları amacıyla iletim sağlanmalı,
d) Güvenlik yönetimi amaçlarıyla uyumlu ve ilintili kalmasını temin etmek için periyodik olarak gözden
geçirmelidir. Gerekli olduğunda, güvenlik yönetimi hedefleri uygun şekilde düzeltilebilir.
Programlar optimize edilmeli ve daha sonra öncelikleri belirlenmeli kuruluş bu programların etkili ve geçerli
maliyet uygulamasını sağlamalıdır.
Güvenlik yönetim programları; etkin olması ve amaçlar ve hedefler ile tutarlı kalmasını sağlamak için periyodik
olarak gözden geçirilmelidir. Gerek duyulduğunda, programlar uygun şekilde tadil edilir.
5
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
IFC GLOBAL SERTiFiKASYON MUAYENE VE EGiTiM HiZMETLERi ANONiM SiRKETi'A VERiLMiSTiR. BASILMA TARiHi: 04.07.2017
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
Üst yönetimin, güvenlik yönetim sisteminin (proseslerinin) geliştirilmesi ve uygulanmasına dair ve etkinliğinin
sürekli iyileştirilmesine olan kararlılığına dair kanıtları aşağıdaki şekillerde sağlaması gereklidir:
a) Diğer sorumluluklarının yanı sıra, kuruluşun güvenlik yönetimi sisteminin, genel tasarım, bakım,
dokümantasyon ve iyileştirmesinden sorumlu olacak bir üst yönetim üyesinin atanması,
b) Yönetimden gerekli yetkilere sahip bir üyeyi/üyeleri tayin ederek, amaçların ve hedeflerin yürürlükte
olmasının temin edilmesi,
c) Kuruluşun paydaşlarının şartlarının ve beklentilerinin tanımlanması ve izlemesinin yapılması, uygun ve
zamanında tedbirlerle bu beklentilerin yönetilmesi,
d) Uygun kaynakların mevcudiyetinin sağlanması,
e) Güvenlik yönetim politikasını amaçlarının, hedeflerinin, programlarının vb. kuruluşun diğer boyutları
üzerindeki olumsuz etkilerinin göz önüne alınması,
f) Kuruluşun diğer birimleri tarafından üretilen herhangi bir güvenlik programının, güvenlik yönetim
sistemini bütünleyici nitelikte olması,
g) Kuruluşun, güvenlik yönetim şartlarını karşılamasının, politikasıyla uyumu açısından ne kadar önemli
olduğunun bildirilmesi,
h) Uygun olduğu kadar güvenlikle ilgili tehditler ve risklerin değerlendirilmesi ve kuruluşun tehdit ve risk
değerlendirmelerinde yer almasının temin edilmesi,
i) Güvenlik yönetimi amaçları, hedefleri ve programlarının devamlılığının temin edilmesi.
Bunun için kuruluş, kendi personeli veya adına çalışanların aşağıdakilerin farkında olması için prosedürler
geliştirmeli ve sürdürmelidir.
a) Güvenlik yönetimi politika ve prosedürleri ve güvenlik yönetimi sisteminin şartlarıyla uyumlu olmanın
önemi,
b) Güvenlik yönetimi politikası ve prosedürleri ve acil durum hazırlığı ve tepki verme şartları dâhil, güvenlik
yönetimi şartlarıyla uyumu elde etmek için çalışanların rolleri ve sorumlulukları,
c) Belirlenmiş işletim prosedürlerinden ayrılmanın kuruluşun güvenliği üzerindeki potansiyel sonuçları.
4.4.3 İletişim
Kuruluşun, uygun güvenlik yönetimi bilgilerinin ilgili çalışanlar, taşeronlar ve diğer paydaşlara iletiminin
sağlanmasını temin etmek için prosedürleri olmalıdır. Güvenlikle ilgili bazı bilgilerin doğası gereği hassas
olması sebebiyle, yayımından önce bu bilgilerin hassasiyetine gerekli önem verilmelidir.
4.4.4 Dokümantasyon
Kuruluş, aşağıdakileri içeren ama bununla sınırlı kalmayan bir güvenlik yönetimi dokümantasyonu sistemi
oluşturmalı ve sürdürmelidir.
Kuruluş, bilgi güvenliği hassasiyetine karar vermeli ve yetkisiz ulaşımı engellemek için gerekli adımları
atmalıdır.
6
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
IFC GLOBAL SERTiFiKASYON MUAYENE VE EGiTiM HiZMETLERi ANONiM SiRKETi'A VERiLMiSTiR. BASILMA TARiHi: 04.07.2017
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
b) Bu dokümanların veri ve bilgileri uygunluğu bakımından yetkili kişiler tarafından, periyodik olarak
gözden geçirilir, gerekirse revize edilmesi,
c) Güvenlik sisteminin etkili çalışması için işletimlerin uygulanmasının önemli olduğu yerlerde, ilgili
doküman, veri ve bilgilerin güncel versiyonlarının mevcut olması,
d) Kullanılmayan tüm doküman, veri ve bilgilerin yayım ve kullanım noktalarından kaldırılması, aksi
takdirde yanlışlıkla kullanıma karşı güvenceye alınması,
e) Yasal veya bilgi koruma amaçlarıyla veya her iki amaç için saklanan arşivlenmiş dokümanlar, veri ve
bilgilerinin uygun şekillerde tanımlanması,
f) Bu doküman veri ve bilgilerinin güvende olması ve elektronik olanların uygun olarak yedeklenmesinin
ve geri kazanımlarının temin edilmesi.
Bu prosedürler, donanım, enstrüman vb. uygun olan güvenlikle ilgili eşyaların tasarım, kurulum, işletim,
yenileme ve modifikasyonu için kontrolleri içermelidir. Güvenlik yönetimi işletimlerini ve faaliyetleri
etkileyebilecek yeni faaliyetler yapıldığında veya mevcut düzenlemeler revize edildiğinde, kuruluş,
uygulanmadan önce bunlarla ilgili güvenlik risk ve tehditlerini göz önüne almalıdır.
4.4.7 Acil durumlara hazırlıklı olma, tepki verme ve güvenliğin tekrar sağlanması
Kuruluşun, güvenlik hadiseleri ve acil durum potansiyellerini ve bunlara verilecek tepkileri tanımlamak için ve
bunlarla ilgili olası sonuçları engellemek ve hafifletmek için uygun plan ve prosedürler oluşturmalı, uygulamalı
ve sürdürmelidir. Plan ve prosedürler, olay veya acil durumlar sırasında ya da sonrasında gerekli olabilecek
tanımlanmış donanım, tesis ve hizmetlerin sağlanması ve bakımı konusunda bilgi içermelidir.
Kuruluş, özellikle güvenlik ihlalleri veya tehditleri sebebiyle ortaya çıkan kaza veya acil durum hallerinin
oluşmasından sonra acil durum hazırlığı, tepki verme ve güvenliği tekrar elde etme plan ve prosedürlerinin
etkinliğini periyodik olarak gözden geçirmelidir.
7
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
IFC GLOBAL SERTiFiKASYON MUAYENE VE EGiTiM HiZMETLERi ANONiM SiRKETi'A VERiLMiSTiR. BASILMA TARiHi: 04.07.2017
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
Kuruluş, ilgili yasa ve yönetmelikleri, en iyi endüstriyel uygulamaları ve kendi politika ve amaçlarıyla
uyumluluğu periyodik olarak değerlendirilmelidir.
Yaşam ve kamu güvenliğinin hızlı maruziyetinin, önerilen düzeltici ve önleyici faaliyetlerin derhal
uygulanmasıyla, engellenmesi durumu hariç bu prosedürler, önerilenlerin güvenlik tehdidi ve risk
değerlendirme prosesleri yoluyla gözden geçirilmesini şart koşmalıdır.
Mevcut olan veya potansiyel tüm uygunsuzlukların sebeplerini ortadan kaldırmak için yapılan, tüm düzeltici ve
önleyici faaliyetlerin, karşılaşılabilecek güvenlik yönetimi ile ilgili tehdit ve risklerle orantılı ve problemlerin
büyüklüğüne göre olması gerekir. Kuruluş, dokümante edilmiş prosedürlerde düzeltici ve önleyici faaliyetlerden
kaynaklanan her değişikliği yapmalı, kayıt altına almalı ve ihtiyaç duyulduğunda gereken eğitimleri gündemine
koymalıdır.
8
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
IFC GLOBAL SERTiFiKASYON MUAYENE VE EGiTiM HiZMETLERi ANONiM SiRKETi'A VERiLMiSTiR. BASILMA TARiHi: 04.07.2017
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
Elektronik ve dijital dokümanların değiştirilmelerine karşı korumalı olması, güvenli bir şekilde yedeklenmesi ve
sadece yetkili personele ulaşılabilir olması gerekir.
4.5.5 Tetkik
Kuruluş, aşağıdakileri sağlamak için bir güvenlik yönetimi tetkik programı oluşturmalı, uygulamalı, sürdürmeli
ve güvenlik yönetim sisteminin tetkiklerinin planlanmış aralıklarla yapılmasını temin etmelidir.
a) Güvenlik yönetim sisteminin;
1. Bu standardın 4. Maddesindeki şartların hepsi dâhil olmak üzere güvenlik yönetimi için planlanmış
ayarlamalara uygun,
2. Doğru şekilde uygulanmış ve sürdürülmüş,
3. Kuruluşun, güvenlik yönetimi politikası ve amaçlarını etkili bir şekilde karşılamakta olup olmadığının
tespit edilmesi,
b) Geçmiş tetkiklerin ve uygunsuzlukları düzeltmek için yapılan faaliyetlerin sonuçlarının gözden geçirilmesi,
c) Tetkik sonuçlarıyla ilgili yönetime bilgi verilmesi,
d) Güvenlik donanımları ve personelin doğru şekilde yerleştirildiğinin doğrulanması.
Herhangi bir tarife kapsamındaki tetkik programı, kuruluşun faaliyetlerinin maruz olduğu tehditler ve risk
değerlendirmelerinin ve önceki tetkiklerin sonuçlarına dayanmalıdır. Tetkik prosedürü, tetkik yapma ve
sonuçları raporlama için gereken sorumluluklar ve şartların yanı sıra, kapsam, sıklık, metodoloji ve yeterlilikleri
de içermelidir. Mümkünse, tetkikler, tetkik edilen faaliyetten doğrudan sorumlu olmayan bağımsız personel
tarafından uygulanmalıdır.
Not - "Bağımsız personel" deyimi muhakkak kuruluş dışından olan bir personel anlamına gelmez.
a) Yasal şartlar ve kuruluşun onaylamış olduğu diğer şartlara uygunluk değerlendirmeleri ve tetkik sonuçları,
b) Şikâyetler dâhil, ilgili dış unsurlardan gelen iletim,
c) Kuruluşun güvenlik performansı,
d) Amaçların ve hedeflerin karşılanma derecesi,
e) Düzeltici ve önleyici faaliyetlerin durumu,
f) Yönetimin daha önceki gözden geçirmeleri ile bağlantılı izleme faaliyetleri,
g) Yasal ve diğer gelişmeler dâhil güvenlik bakımından değişen şartlar
h) İyileştirme önerileri.
Yönetimin gözden geçirmesi çıktıları, sürekli iyileştirmeye ilişkin kararlılıkla tutarlı bir şekilde güvenlik yönetim
sisteminin diğer öğeleri, güvenlik politikası, amaçları ve hedeflerinde meydana gelebilecek olası değişimlerle
ilgili tedbirleri ve kararları içermelidir.
9
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
IFC GLOBAL SERTiFiKASYON MUAYENE VE EGiTiM HiZMETLERi ANONiM SiRKETi'A VERiLMiSTiR. BASILMA TARiHi: 04.07.2017
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
Ek A
(Bilgi için)
10
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
IFC GLOBAL SERTiFiKASYON MUAYENE VE EGiTiM HiZMETLERi ANONiM SiRKETi'A VERiLMiSTiR. BASILMA TARiHi: 04.07.2017
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
Yeterlilik, eğitim ve 4.4.2 Yeterlilik, eğitim ve 4.4.2 (İnsan kaynakları) Genel 6.2.1
farkındalık farkındalık
Yeterlilik, eğitim ve 6.2.2
farkındalık
11
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
IFC GLOBAL SERTiFiKASYON MUAYENE VE EGiTiM HiZMETLERi ANONiM SiRKETi'A VERiLMiSTiR. BASILMA TARiHi: 04.07.2017
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
Acil durumlara hazırlıklı 4.4.7 Acil durum hazırlığı ve 4.4.7 Uygunsuz ürünlerin 8.3
olma, tepki verme ve tepki verme kontrolü
güvenliğin tekrar
sağlanması
Kontrol ve düzeltici 4.5 Kontrol 4.5 Ölçme, analiz ve iyileştirme 8
faaliyet (sadece başlık) (sadece başlık) (sadece başlık)
Genel 5.6.1
12
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
IFC GLOBAL SERTiFiKASYON MUAYENE VE EGiTiM HiZMETLERi ANONiM SiRKETi'A VERiLMiSTiR. BASILMA TARiHi: 04.07.2017
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
Kaynaklar
[1] ISO 9001:2000, Quality management systems — Requirements
[2] ISO 14001:2004, Environmental management systems — Requirements with guidance for use
[3] ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing
[4] ISO/PAS 20858:2004, Ships and marine technology — Maritime port facility security assessments and
security plan development
[5] ISO/PAS 28001, Security management systems for the supply chain — Best practices for implementing
supply chain security — Assessments and plans
[6] ISO/PAS 28004:2006, Security management systems for the supply chain — Guidelines for the
implementation of ISO/PAS 28000
13
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
IFC GLOBAL SERTiFiKASYON MUAYENE VE EGiTiM HiZMETLERi ANONiM SiRKETi'A VERiLMiSTiR. BASILMA TARiHi: 04.07.2017
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.