TS Iso 28000

TÜRK STANDARDI
TS ISO 28000
Şubat 2015
ICS 47.020.99
Tedarik zincirinde güvenlik yönetim sistemleri için özellikler
Specification for security management Spécifications pour les systèmes de

systems for the supply chain management de la sûreté pour la
chaîne d'approvisionnement
TÜRK STANDARDLARI ENSTİTÜSÜ

Necatibey Caddesi No.112 Bakanlıklar/ANKARA
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
IFC GLOBAL SERTiFiKASYON MUAYENE VE EGiTiM HiZMETLERi ANONiM SiRKETi'A VERiLMiSTiR. BASILMA TARiHi: 04.07.2017
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
ICS 47.020.99 TÜRK STANDARDI TS ISO 28000:2013-06
ISO 28000:2007
Milli Ön söz
- Bu standard; kaynağı ISO 28000:2007 standardı olan TS ISO 28000:2013 Türk standardının TSE
Mühendislik Hizmetleri İhtisas Kurulu’na bağlı TK29 Yönetim Sistemleri Komitesi marifetiyle hazırlanan
Türkçe tercümesidir.
963
- ISO resmi dillerinde yayınlanan diğer standard metinleri ile aynı haklara sahiptir.
- Bu standardda kullanılan bazı kelime ve/veya ifadeler patent haklarına konu olabilir. Böyle bir patent
hakkının belirlenmesi durumunda TSE sorumlu tutulamaz.
ULUSLARARASI ISO
STANDARD 28000
INTERNATIONAL
STANDARD
Birinci Baskı
2007-09-15
Tedarik zincirinde güvenlik yönetim sistemleri için

özellikler
Specification for security management systems for

the supply chain
Spécifications pour les systèmes de management de la sûreté pour la

chaîne d'approvisionnement
Referans Numarası
ISO 28000:2007 (E)
© ISO 2007
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
İçindekiler
Sayfa
Önsöz ............................................................................................................................................................... iv
Giriş ................................................................................................................................................................... v
1 Kapsam ...................................................................................................................................................... 1
2 Atıf yapılan standard ve/veya dokümanlar ............................................................................................ 1
3 Terimler ve tarifler .................................................................................................................................... 1
4 Güvenlik yönetim sisteminin unsurları .................................................................................................. 3
4.1 Genel şartlar ............................................................................................................................................ 3
4.2 Güvenlik yönetim politikası ...................................................................................................................... 3
4.3 Güvenlik risk değerlendirmesi ve planlama ............................................................................................. 4
4.4 Uygulama ve işletim ................................................................................................................................ 5
4.5 Kontrol ve düzeltici faaliyet ...................................................................................................................... 7
4.6 Yönetimin gözden geçirmesi ve sürekli iyileştirme .................................................................................. 9
Ek A (Bilgi için) ISO 28000:2007, ISO 14001:2004 ve ISO 9001:2000 arasındaki eşlemeler ................... 10
Kaynaklar ........................................................................................................................................................ 13
iii
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
Önsöz
ISO (Uluslararası Standardizasyon Kuruluşu) dünya çapında standardizasyona yönelik özel sistemi
oluşturmaktadır. Uluslararası standardların hazırlanması ISO teknik komiteleri marifetiyle gerçekleştirilir.
Teknik Komitesi oluşturulmuş bir konu ile ilgilenen her üye kuruluş, bu komitede temsil hakkına sahiptir. ISO
ile işbirliği içindeki resmi ya da sivil uluslararası kuruluşlar da, çalışmalarda yer alabilir. ISO, elektroteknik
standardizasyonu ile ilgili tüm konularda Uluslararası Elektroteknik Komisyonu (IEC) ile yakın işbirliği
içerisindedir.
Uluslararası standardlar, ISO/IEC Direktifleri Bölüm 2’ye göre yazılmıştır.
Teknik Komitelerin esas görevi Uluslararası Standardların hazırlanmasıdır. Taslak Uluslararası Standardlar,
oylama için üye ülke kuruluşlarına gönderilir. Bir Uluslararası Standardın yayınlanması, oy veren üye ülkelerin
en az % 75’inin onayını gerektirir.
Bu dokümanın bazı kısımlarının patent haklarına konu olabileceğine dikkat edilmelidir. Böyle herhangi bir
patent hakkının belirlenmesi durumunda ISO sorumlu tutulamaz.
Bu standard (ISO 28000:2007), ISO/TC 8, “Gemiler ve denizcilik teknolojisi” Teknik Komitesi tarafından
hazırlanmıştır.
Bu ilk baskı, teknik olarak revize edilmiş olan ISO/PAS 28000:2005’ı iptal eder ve yerini alır.
iv
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
Giriş
Bu uluslararası standard, güvenlik yönetimi standardı için endüstriden gelen talebe istinaden geliştirilmiştir.
Temel hedef tedarik zincirlerindeki güvenliği iyileştirmektir. Kuruluşun tedarik zinciri güvenlik yönetimi sistemi
oluşturmasını sağlayan bir üst seviye yönetim standardıdır. Kuruluşun, içinde çalıştığı güvenlik ortamını
değerlendirmesini, uygun güvenlik önlemlerinin mevcut olup olmadığını belirlemesi ve kuruluşun tabi olduğu
düzenleme şatlarının varlığını belirlemesini gerektirir. Bu proses tarafından güvenlik ihtiyaçları tanımlanırsa,
kuruluşun bu ihtiyaçları karşılamak için mekanizmalar ve prosesler uygulaması gerekmektedir. Tedarik
zincirleri doğası gereği dinamik olduğundan, birden fazla tedarik zincirini idare eden kuruluşlar, ilgili kamusal
veya ISO tedarik zinciri güvenlik standardlarını karşılamak için, Şekil 1’de gösterildiği üzere güvenlik yönetimini
basitleştirmek için bu tedarik zincirinin içinde olmak şartıyla, kendi hizmet sağlayıcılarından destek bekleyebilir.
Şekil 1 – ISO 28000 ve diğer ilgili standardlar arasındaki ilişki
Bu standard, kuruluşun tedarik zincirlerinin güvenli bir şekilde yönetilmesinin gerektiği durumlarda uygulanmak
üzere düzenlenmiştir. Güvenlik yönetimine resmi bir yaklaşım, kuruluşun iş kabiliyetine ve güvenilebilirliğine
doğrudan katkı sağlayabilir.
Bir uluslararası standard ile uyumlu olmak, kendi içinde yasal yükümlülüklerden muafiyete karşılık gelmez.
İsteyen kuruluşların, güvenlik yönetim sisteminin bu uluslararası standarda uygunluğu bir dış veya iç tetkik
prosesi ile doğrulanabilir.
Bu standard, yönetim sistemlerine yönelik risk temelli yaklaşımı sebebiyle ISO 14001:2004 tarafından adapte
edilmiş ISO formatını temel almıştır. Ancak, yönetim sistemlerine proses yaklaşımını adapte etmiş kuruluşlar
(örneğin, ISO 9001:2000), bu standardda açıklanan güvenlik yönetim sistemi için mevcut yönetim sistemini
temel olarak alabilirler. Kuruluşun uygunluğunun belgelendirilmiş veya doğrulanmış olduğu tedarik zinciri
güvenlik yönetimiyle ilgili kamu şartları ve standardlarını tekrarlamak bu uluslararası standardın amacı değildir.
Doğrulama, kabul edilebilir birinci, ikinci ya da üçüncü taraf kuruluş tarafından yapılabilir.
v
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
Not 1 - Bu Standard, “Plânla - Uygula - Kontrol et - Önlem al” olarak bilinen (PUKÖ) metodolojisi, bütün
proseslere uygulanabilir. PUKÖ kısaca şöyle açıklanabilir;
 Plânla: Kuruluşun güvenlik politikasına uygun sonuçların ortaya çıkması için gerekli amaçları ve
prosesleri oluştur,
 Uygula: Prosesleri uygula,
 Kontrol et: Prosesleri, güvenlik politikası, amaçlar, hedefler, yasal ve diğer şartlar karşısında izle, ölç
ve sonuçları rapor et,
 Önlem al: Güvenlik yönetim sisteminin performansını sürekli iyileştirmek için tedbirler al.
vi
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
ULUSLARARASI STANDARD ISO 28000: 2007(E)
Tedarik zincirinde güvenlik yönetim sistemleri için özellikler
1 Kapsam
Bu standard, tedarik zincirinin güvenlik teminatı için kritik olan yönler dâhil, bir güvenlik yönetim sisteminin
şartlarını kapsar. Güvenlik yönetimi, işletme yönetiminin diğer birçok boyutuyla da bağlantılıdır. Bu boyutlar,
tedarik zinciri güvenliği üzerinde etkisi olan, kuruluş tarafından kontrol edilen veya etkilenen tüm faaliyetleri
içerir. Bu diğer boyutlar, malların tedarik zinciri boyunca taşınması dâhil güvenlik sistemi üzerinde etkisi olan
yerlerde ve zamanlarda, doğrudan göz önüne alınmalıdır.
Bu standard, üretimin veya tedarik zincirinin herhangi bir aşamasında aşağıdakilerin istendiği, üretim, hizmet,
depolama veya taşımada, az ulusludan çok ulusluya kadar her büyüklükte kuruluş için uygulanabilir:
a) Bir güvenlik sisteminin oluşturulması, uygulanması, sürdürülmesi ve iyileştirilmesi,

b) Beyan edilen güvenlik yönetimi politikasına uygunluğun sağlanması,
c) Diğer taraflara böyle bir uygunluğun gösterimi,
d) Güvenlik yönetim sisteminin belgelendirilmesinin akredite edilmiş bir üçüncü taraf Belgelendirme
Kuruluşuna yaptırma isteği veya
e) Bu standardla, uygunluk hakkında kendisinin tespit ve beyanında bulunması.
Bu uluslararası standardda, şartların bazılarını ele alan yasal ve düzenleyici kodlar vardır.
Uyumun gösterilmesinde tekrarlama yapmak bu standardın amacı değildir.
Üçüncü taraf belgelendirmeyi tercih eden kuruluşlar, tedarik zincir güvenliğine katkılarını daha ileri seviyede
gösterebilirler.
2 Atıf yapılan standard ve/veya dokümanlar

Atıf yapılan herhangi bir standard veya doküman bulunmamaktadır. Bu madde, madde numaralandırmasının
diğer yönetim sistemi standardları ile benzemesiiçin dâhil edilmiştir.
3 Terimler ve tarifler
Bu dokümanın amaçları için aşağıdaki terimler ve tanımlamalar uygulanır.
3.1 Tesis
Belirgin ve sayılabilir bir işlevi veya hizmeti olan, fabrika, makineler, mülk, binalar, araçlar, gemiler, liman
tesisleri ve altyapının ya da fabrika ve ilgili sistemlerin diğer parçaları.
Not - Bu tanımlama, güvenliğin sağlanması ve güvenlik yönetiminin uygulanması için kritik olan herhangi bir
yazılım kodunu da içermektedir.
3.2 Güvenlik
Tedarik zincirine veya tedarik zinciri tarafından kuruluşa zarar vermek veya hasara uğratmak için kasıtlı yetkisiz
bir şekilde tasarlanan faaliyete/faaliyetlere olan direnç.
3.3 Güvenlik yönetimi

Kuruluşun en iyi şekilde risklerini, ilişkili potansiyel tehditleri ve etkileri yöneten sistematik ve koordineli
faaliyetler ve uygulamalar.
3.4 Güvenlik yönetimi hedefi

Güvenlik yönetim politikasını karşılamak adına güvenlikten istenen özel çıktı veya başarı.
1
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
Not - Bu tip çıktıların, toplam işletme tarafından müşteri veya son kullanıcılarına sunulan hizmetler, ürünler
veya kaynakların sağlanmasıyla doğrudan veya dolaylı olarak bağlantılı olması çok önemlidir.
3.5 Güvenlik yönetimi politikası

Kuruluşun politikası ve düzenleyici şartları ile tutarlı olan, bunlardan kaynaklı güvenlikle ilgili prosesler ve
faaliyetlerin kontrolü için gerekli çerçeve ve güvenlikle ilgili kuruluşun genel niyetleri ve doğrultusu.
3.6 Güvenlik yönetimi programları

Bir güvenlik yönetimi hedefinin elde edildiği yöntemler.
3.7 Güvenlik yönetimi hedefi

Bir güvenlik yönetimi amacına ulaşmak için gerekli belirli performans seviyesi.
3.8 Paydaş
Kuruluşun performans, başarı veya faaliyetlerinin etkileri konusunda kazanılmış bir hakkı olan kişi veya
kuruluş.
Not - Örnekler arasında müşteriler, paydaşlar, finansçılar, sigortacılar, düzenleyiciler, yasal birimler,
çalışanlar, yükleniciler, tedarikçiler, işçi kurumları veya toplum vardır.
3.9 Tedarik zinciri

Hammaddenin sağlanmasıyla başlayan ve ürünlerin veya hizmetlerin son kullanıcıya taşıma yollarıyla
teslimine kadar uzanan bağlantılı kaynak ve prosesler seti.
Not - Tedarik zinciri, satıcıları, üretim tesislerini, lojistik sağlayıcıları, iç dağıtım merkezleri, dağıtıcılar,
toptancılar ve son kullanıcıya çıkan diğer tüzel kişileri içerebilir.
3.9.1 Dağıtım yönetimi

Kargonun nakliyesi, depolanması, paketlenmesi, veri yönetimi, finans, sigorta ile sınır olmamakla beraber
bunlar da dâhil, kargonun kuruluşun doğrudan işletimsel kontrolünden çıktıktan sonra, tedarik zincirindeki
faaliyetleri, prosesleri ve hareketlerine atıf eder.
3.9.2 Tedarik yönetimi

Kargonun nakliyesi, depolanması, paketlenmesi, veri yönetimi, finans, sigorta ile sınır olmamakla beraber
bunlar da dâhil olmak üzere, kargonun kuruluşun doğrudan işletimsel kontrolüne girmeden önce, tedarik
zincirindeki faaliyetleri, prosesleri ve hareketlerine atıf eder.
3.10 Üst yönetim

Kuruluşu en üst seviyede yönlendiren ve kontrol eden kişi veya kişiler gurubu.
Not - Üst yönetim, özellikle büyük çok uluslu kuruluşlarda, bu standardda belirtildiği gibi kişisel olarak
katılamayabilir; ancak, emir zinciri yoluyla üst yönetim sorumlulukları gösterilebilir.
3.11 Sürekli iyileştirme

Kuruluşun güvenlik politikasıyla tutarlı bir şekilde toplam güvenlik performansında iyileştirmeleri elde
edebilmek için güvenlik yönetim sisteminin iyileştirmelerinin tekrarlanan prosesidir.
2
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
4 Güvenlik yönetim sisteminin unsurları
Şekil 2 - Güvenlik yönetim sistemi unsurları
4.1 Genel şartlar

Kuruluş, güvenlik tehditlerini tanımlamak, riskleri değerlendirmek ve bunların sonuçlarını kontrol etmek ve
hafifletmek için etkili bir güvenlik yönetim sistemini oluşturmalı, doküman haline getirmeli, uygulamalı, korumalı
ve devamlı iyileştirmesini sağlamalıdır.
Kuruluş, Madde 4’ün tamamında verilen şartlarla uyum içerisinde etkinliği sürekli iyileştirmelidir.
Kuruluş, güvenlik yönetim sisteminin kapsamını tanımlamalıdır. Kuruluşun bu şartların uygunluğunu

etkileyecek herhangi bir prosese dışarıdan kaynak sağlaması halinde, kuruluş, bu proseslerin kontrol
edildiğinden emin olmalıdır. Bu tip dış kaynaklı proseslerin gerekli kontrolleri ve sorumluluklarının güvenlik
yönetim sistemi içerisinde tanımlanması gereklidir.
4.2 Güvenlik yönetim politikası

Kuruluşun üst yönetimi, bir genel güvenlik yönetim politikasını onaylamalıdır.
Bu politika:
a) Kuruluşun diğer politikalarıyla tutarlı olmalıdır,
b) Güvenlik yönetimine özgü amaçların, hedeflerin ve programların oluşturulmasını mümkün kılacak bir
çerçeve sağlamalıdır,
c) Kuruluşun genel güvenlik tehditleri ve risk yönetimi çerçevesiyle tutarlı olmalıdır,
d) Kuruluşa yönelik tehditlere, işletimlerin mahiyeti ve ölçeğine uygun olmalıdır,
e) Genel/kapsamlı güvenlik yönetimi amaçlarını açık bir şekilde belirtmelidir,
f) Güvenlik yönetimi prosesinin sürekli iyileştirilmesine dair taahhüt içermelidir,
g) Mevcut uygulanabilir yasalar, düzenlemeler ve meşruiyet şartları ve kuruluşun tabi olduğu diğer
şartlarla uyumluluğa olan bağlılığı içermelidir,
h) Görülebilir şekilde üst yönetim tarafından desteklenmelidir,
i) Doküman haline getirilmeli, uygulanmalı ve sürdürülebilir kılınmalıdır,
j) Kişilerin bireysel güvenlik yönetimiyle ilgili kendi zorunluluklarının farkında olması amacıyla,
ziyaretçiler ve taşeronlar dâhil üçüncü taraflar ve tüm ilgili personele iletilmelidir,
k) Mümkünse, paydaşların erişimine de açık olmalıdır,
3
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
l) Güvenlik yönetim sisteminin devamlılığı veya uygunluğunu etkileyebilecek şekilde diğer kuruluşları
satın alma, birleşme durumlarında veya iş kapsamında diğer değişikliklerin olması durumunda gözden
geçirilmesine imkân vermelidir.
Not – Kuruluşlar, iç kullanım amacıyla, güvenlik yönetim sisteminin yürütülmesi için yeterli bilgi ve
yönlendirmeyi sağlayan detaylı bir güvenlik yönetim politikasının (gizliliği olan bölümleri olabilir) ve
paydaşlara ve diğer ilgili taraflara dağıtmak için de daha genel amaçları içeren özetlenmiş bir
uyarlamanın (gizliliği olmayan) mevcudiyetini seçebilirler.
4.3 Güvenlik risk değerlendirmesi ve planlama

4.3.1 Güvenlik risk değerlendirmesi
Kuruluş, güvenlik tehditlerinin, güvenlik yönetimi ile ilgili tehdit ve risklerin devam eden tanımlama ve
değerlendirmesi ve gerekli yönetim kontrol önlemleri için tanımlama ve uygulama için prosedürler oluşturmalı
ve korumalıdır. Güvenlik tehditleri, risk tanımlama, değerlendirme ve kontrol yöntemlerinin, asgari olarak,
işletimlerin mahiyeti ve ölçeğine uygun olması gereklidir. Bu değerlendirme, bir olayın ve sonuçlarının
gerçekleşme olasılığını göz önünde bulundurmalı ve aşağıdakileri içermelidir:
a) İşlevsel aksaklık, kaza sonucu hasarlanma, kötü niyetle hasar verme veya terörist yahut suç teşkil
eden faaliyetler gibi fiziksel yetersizlik riskleri ve tehditleri,
b) Kuruluşun performansını, durumunu ve güvenliğini etkileyen, güvenlik kontrolü, insan faktörleri ve
diğer faaliyetleri de içeren işletime yönelik tehdit ve riskler,
c) Güvenlik önlemlerini ve donanımları etkisiz hale getirebilecek olan doğal çevre olayları (fırtına, sel,
vb.),
d) Dışarıdan sağlanan donanımlar veya hizmetlerde aksama gibi kuruluşun kontrolü dışında olan
faktörler,
e) Düzenleyici şartları karşılayamamak veya şöhrete yahut marka adına zarar gelmesi gibi paydaşlara
yönelik tehditler ve riskler,
f) Değiştirme, bakım dâhil güvenlik donanımlarının tasarım ve kurulumları,
g) Bilgi, veri yönetimi ve iletişimi,
h) İşletimlerin devamlılığına tehdit,
Kuruluş, bu değerlendirmelerin sonuçlarının ve bu kontrollerin etkilerinin göz önüne alınmasını sağlamalı ve

uygulanabilir olduğunda aşağıdakiler için girdi sunmalıdır:
a) Güvenlik yönetimi amaçları ve hedefleri ,

b) Güvenlik yönetim programları,
c) Tasarım, şartname ve kurulum için gerekliliklerin belirlenmesi,
d) Personel istihdam seviyeleri dâhil uygun kaynakların belirlenmesi,
e) Eğitim ihtiyaçları ve becerilerin tanımlanması (bk. Madde 4.4.2),
f) İşletimsel kontrollerin geliştirilmesi (bk. Madde 4.4.6),
g) Kuruluşun genel tehdit ve risk yönetimi çerçevesi.
Kuruluş yukarıda verilen bilgileri doküman haline getirmeli, muhafaza etmeli ve güncellemelidir.
Kuruluşun, tehdit, risk tanımlaması ve değerlendirmesi için metodolojisi:
a) Kuruluşun çalışma konusu, mahiyeti dikkate alınarak ve zamanlama itibariyle reaktif olmaktan ziyade
proaktifliği temin etmek için tanımlanmalı,
b) Güvenlik tehditleri ve riskleriyle ilgili bilgilerin toplanmasını ihtiva etmeli,
c) Tehditlerin ve risklerin sınıflandırılmasını ve kaçınılması, ortadan kaldırılması veya kontrol edilmesi
gerekenleri belirlenmesini sağlamalı,
d) Tedbirlerin etkinliği ve uygulamalarının zamanında yapılmasını temin etmek için izleme sağlamalı (bk.
Madde 4.5.1).
4.3.2 Yasal, meşru ve diğer güvenlik düzenleyici şartlar

Kuruluşun, aşağıdakiler için bir prosedür oluşturması, uygulaması ve devamlılığını sağlaması gereklidir:
a) Kuruluşun, güvenlik tehdit ve riskleriyle ilgili olarak tabi olduğu diğer şartlar ve uygulanabilir yasal
şartları tanımlama ve bunlara erişebilir olma,
b) Bu şartların güvenlik tehdit ve risklerine nasıl uygulandığını belirleme.
4
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
Kuruluşun bu bilgiyi güncel olarak tutması gereklidir. Yasal ve diğer şartlara dair bilgilerin, çalışanlara ve
taşeronlar dâhil diğer ilgili üçüncü taraflara iletimi sağlanmalıdır.
4.3.3 Güvenlik yönetimi amaçları

Kuruluş, kuruluş içinde ilgili işlevlerde ve kendi içerisindeki seviyelerde, dokümana kaydedilmiş güvenlik
yönetimi amaçlarını oluşturmalı, uygulamalı ve devamlılığını sağlamalıdır. Amaçlar, politikadan türetilmiş ve
politikayla tutarlı olmalıdır. Amaçlarını oluştururken ve gözde geçirirken, kuruluşun aşağıdakileri göz önüne
alması gereklidir:
a) Yasal, meşru ve diğer güvenlik düzenleyici şartları,

b) Güvenlikle ile ilgili tehdit ve riskler,
c) Teknolojik ve diğer seçenekler,
d) Finansal, işletimsel ve iş şartları,
e) Uygun paydaşların görüşleri.
Güvenlik yönetimi amaçları:

a) Kuruluşun sürekli iyileştirme taahhütüyle tutarlı olmalıdır.
b) Sayısal olmalıdır (uygulanabilir olduğunda),
c) Tüm ilgili çalışanlara ve taşeronlar dâhil üçüncü taraflara, bu unsurların kendi bireysel zorunluluklarının
farkına varmaları amacıyla iletilmelidir
d) Güvenlik yönetim politikasıyla tutarlı ve ilintili kaldığından emin olunması için periyodik olarak gözden
geçirilmelidir. Gerek duyulduğunda güvenlik yönetimi amaçları uygun şekilde düzeltilebilir.
4.3.4 Güvenlik yönetimi hedefleri

Kuruluşun, kuruluş ihtiyaçlarına uygun olarak dokümante edilmiş güvenlik yönetim hedeflerini oluşturması,
uygulaması ve koruması gereklidir. Hedeflerin, güvenlik yönetimi amaçlarından sağlanması ve bununla uyumlu
olması gereklidir.
Bu hedeflerin:
a) Uygun seviyede ayrıntılı olması,
b) Spesifik, ölçülebilir, ulaşılabilir, ilintili ve zamana dayalı (uygulanabilir olduğu yerlerde) olmalı,
c) Tüm ilgili çalışanlara ve taşeronlar dâhil üçüncü taraflara, bu unsurların kendi bireysel zorunluluklarının
farkına varmaları amacıyla iletim sağlanmalı,
d) Güvenlik yönetimi amaçlarıyla uyumlu ve ilintili kalmasını temin etmek için periyodik olarak gözden
geçirmelidir. Gerekli olduğunda, güvenlik yönetimi hedefleri uygun şekilde düzeltilebilir.
4.3.5 Güvenlik yönetimi programları

Kuruluşun, amaç ve hedeflerine ulaşması için güvenlik yönetimi programları oluşturması, uygulaması ve
sürdürülebilirliğini sağlaması gereklidir.
Programlar optimize edilmeli ve daha sonra öncelikleri belirlenmeli kuruluş bu programların etkili ve geçerli
maliyet uygulamasını sağlamalıdır.
Bu sırada aşağıdaki hususları tarif eden dokümantasyon mevcut bulunmalıdır.

a) Güvenlik yönetimi amaçlarının ve hedeflerinin elde edilmesi için tayin edilmiş sorumluluklar ve yetkiler,
b) Güvenlik yönetimi amaçlarına ve hedeflerine ulaşılması için gereken zaman cetveli ve araçlar.
Güvenlik yönetim programları; etkin olması ve amaçlar ve hedefler ile tutarlı kalmasını sağlamak için periyodik
olarak gözden geçirilmelidir. Gerek duyulduğunda, programlar uygun şekilde tadil edilir.
4.4 Uygulama ve işletim
4.4.1 Güvenlik yönetimi için yapı, yetki ve sorumluluklar

Kuruluşun, güvenlik yönetimi politikası, amaçları, hedefleri ve programlarıyla tutarlı bir şekilde rol, sorumluluk
ve yetkilerin kurumsal yapısını kurması ve sürdürmesi gereklidir.
Roller, sorumluluklar ve yetkiler tanımlanmalı, doküman haline getirilmeli ve uygulanmalı ve devamlılığın

sağlanmasından sorumlu olan kişilere iletimi sağlanmalıdır.
5
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
Üst yönetimin, güvenlik yönetim sisteminin (proseslerinin) geliştirilmesi ve uygulanmasına dair ve etkinliğinin
sürekli iyileştirilmesine olan kararlılığına dair kanıtları aşağıdaki şekillerde sağlaması gereklidir:
a) Diğer sorumluluklarının yanı sıra, kuruluşun güvenlik yönetimi sisteminin, genel tasarım, bakım,
dokümantasyon ve iyileştirmesinden sorumlu olacak bir üst yönetim üyesinin atanması,
b) Yönetimden gerekli yetkilere sahip bir üyeyi/üyeleri tayin ederek, amaçların ve hedeflerin yürürlükte
olmasının temin edilmesi,
c) Kuruluşun paydaşlarının şartlarının ve beklentilerinin tanımlanması ve izlemesinin yapılması, uygun ve
zamanında tedbirlerle bu beklentilerin yönetilmesi,
d) Uygun kaynakların mevcudiyetinin sağlanması,
e) Güvenlik yönetim politikasını amaçlarının, hedeflerinin, programlarının vb. kuruluşun diğer boyutları
üzerindeki olumsuz etkilerinin göz önüne alınması,
f) Kuruluşun diğer birimleri tarafından üretilen herhangi bir güvenlik programının, güvenlik yönetim
sistemini bütünleyici nitelikte olması,
g) Kuruluşun, güvenlik yönetim şartlarını karşılamasının, politikasıyla uyumu açısından ne kadar önemli
olduğunun bildirilmesi,
h) Uygun olduğu kadar güvenlikle ilgili tehditler ve risklerin değerlendirilmesi ve kuruluşun tehdit ve risk
değerlendirmelerinde yer almasının temin edilmesi,
i) Güvenlik yönetimi amaçları, hedefleri ve programlarının devamlılığının temin edilmesi.
4.4.2 Yeterlilik, eğitim ve farkındalık

Kuruluş, güvenlik donanımları ve proseslerin tasarımı, kullanımı ve yönetiminden sorumlu personelin, eğitim,
öğretim ve/veya deneyim açısından yeterli ve uygun şekilde kalifiye olduğundan emin olmalıdır.
Bunun için kuruluş, kendi personeli veya adına çalışanların aşağıdakilerin farkında olması için prosedürler
geliştirmeli ve sürdürmelidir.
a) Güvenlik yönetimi politika ve prosedürleri ve güvenlik yönetimi sisteminin şartlarıyla uyumlu olmanın
önemi,
b) Güvenlik yönetimi politikası ve prosedürleri ve acil durum hazırlığı ve tepki verme şartları dâhil, güvenlik
yönetimi şartlarıyla uyumu elde etmek için çalışanların rolleri ve sorumlulukları,
c) Belirlenmiş işletim prosedürlerinden ayrılmanın kuruluşun güvenliği üzerindeki potansiyel sonuçları.
Yeterlilik ve eğitimle ilgili kayıtların tutulması gereklidir.
4.4.3 İletişim
Kuruluşun, uygun güvenlik yönetimi bilgilerinin ilgili çalışanlar, taşeronlar ve diğer paydaşlara iletiminin
sağlanmasını temin etmek için prosedürleri olmalıdır. Güvenlikle ilgili bazı bilgilerin doğası gereği hassas
olması sebebiyle, yayımından önce bu bilgilerin hassasiyetine gerekli önem verilmelidir.
4.4.4 Dokümantasyon
Kuruluş, aşağıdakileri içeren ama bununla sınırlı kalmayan bir güvenlik yönetimi dokümantasyonu sistemi
oluşturmalı ve sürdürmelidir.
a) Güvenlik politikası, amaçları ve hedefleri,

b) Güvenlik yönetim sisteminin kapsamının tanımı,
c) Güvenlik yönetim sisteminin temel unsurlarının, bunların etkileşiminin ve ilgili dokümanlarla
referanslarının tanımı,
d) Bu standard tarafından istenen dokümanlar, kayıtlar dâhil,
e) Kuruluş tarafından belirlenmiş, proseslerin etkili planlama, işletim ve kontrolünün sağlanması için gerekli
olduğuna karar verilmiş, belirli güvenlik tehditleri ve riskleriyle ilgili kayıtlar dâhil, dokümanlar.
Kuruluş, bilgi güvenliği hassasiyetine karar vermeli ve yetkisiz ulaşımı engellemek için gerekli adımları
atmalıdır.
4.4.5 Dokuman ve veri kontrolü

Kuruluş, aşağıdakileri sağlamak için bu standardın 4. Maddesince şart koşulan tüm dokümanların, veri ve
bilgilerin kontrolü için prosedürler oluşturmalı ve sürekliliğini sağlamalıdır:
a) Bu dokümanlar, bu bilgiler sadece yetkili kişiler tarafından ulaşılabilir ve bulunabilir olması,
6
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
b) Bu dokümanların veri ve bilgileri uygunluğu bakımından yetkili kişiler tarafından, periyodik olarak
gözden geçirilir, gerekirse revize edilmesi,
c) Güvenlik sisteminin etkili çalışması için işletimlerin uygulanmasının önemli olduğu yerlerde, ilgili
doküman, veri ve bilgilerin güncel versiyonlarının mevcut olması,
d) Kullanılmayan tüm doküman, veri ve bilgilerin yayım ve kullanım noktalarından kaldırılması, aksi
takdirde yanlışlıkla kullanıma karşı güvenceye alınması,
e) Yasal veya bilgi koruma amaçlarıyla veya her iki amaç için saklanan arşivlenmiş dokümanlar, veri ve
bilgilerinin uygun şekillerde tanımlanması,
f) Bu doküman veri ve bilgilerinin güvende olması ve elektronik olanların uygun olarak yedeklenmesinin
ve geri kazanımlarının temin edilmesi.
4.4.6 İşletimsel kontrol

Kuruluş aşağıdakileri elde etmek için gerekli olan işletim ve faaliyetleri tanımlamalıdır:
a) Güvenlik yönetimi politikası,

b) Faaliyetlerin kontrolü ve belirgin riskler olarak tanımlanmış tehditlerin hafifletilmesi,
c) Yasal, meşru ve diğer düzenleyici güvenlik şartlarıyla uyum,
d) Güvenlik yönetim amaçları,
e) Güvenlik yönetim programlarının teslimi,
f) Gerekli tedarik zincir güvenliği seviyesi.
Kuruluş, bu işletim ve faaliyetlerinin aşağıdaki belirlenmiş koşullarda yapılmasını temin etmelidir:

a) Yokluklarının, Madde 4.4.4 a)’dan f)’ye kadar listelenmiş olan işletim ve faaliyetlerin yerine
getirilmesinde başarısızlığa yol açabileceği durumları kontrol etmek için dokümante edilmiş
prosedürlerin oluşturulması, uygulanması ve sürdürülmesi,
b) Yukarı doğru olan tedarik zinciri faaliyetlerinin oluşturacağı tehditlerin değerlendirilmesi ve bunların
kuruluş ve diğer aşağı doğru olan tedarik zinciri operatörleri üzerinde oluşabilecek etkilerini hafifletmek
için kontrollü uygulanması
c) Güvenlik üzerinde etkisi olan mal veya hizmetler için şartların oluşturulması ve sürdürülmesi ve
bunların tedarikçi ve taşeronlara bildirimi.
Bu prosedürler, donanım, enstrüman vb. uygun olan güvenlikle ilgili eşyaların tasarım, kurulum, işletim,
yenileme ve modifikasyonu için kontrolleri içermelidir. Güvenlik yönetimi işletimlerini ve faaliyetleri
etkileyebilecek yeni faaliyetler yapıldığında veya mevcut düzenlemeler revize edildiğinde, kuruluş,
uygulanmadan önce bunlarla ilgili güvenlik risk ve tehditlerini göz önüne almalıdır.
Göz önüne alınacak yeni veya revize düzenlemeler aşağıdakileri içermelidir:
a) Revize kuruluş yapısı, roller veya sorumluluklar,

b) Revize güvenlik yönetimi politikası, amaçlar, hedefler veya programlar,
c) Revize prosesler ve prosedürler,
d) Donanım veya yazılım içerebilecek olan, yeni altyapı, güvenlik donanımı veya teknolojilerin kullanıma
sunumu,
e) Yeni taşeronlar, tedarikçiler veya personelin uygun şekilde devreye alınması
4.4.7 Acil durumlara hazırlıklı olma, tepki verme ve güvenliğin tekrar sağlanması
Kuruluşun, güvenlik hadiseleri ve acil durum potansiyellerini ve bunlara verilecek tepkileri tanımlamak için ve
bunlarla ilgili olası sonuçları engellemek ve hafifletmek için uygun plan ve prosedürler oluşturmalı, uygulamalı
ve sürdürmelidir. Plan ve prosedürler, olay veya acil durumlar sırasında ya da sonrasında gerekli olabilecek
tanımlanmış donanım, tesis ve hizmetlerin sağlanması ve bakımı konusunda bilgi içermelidir.
Kuruluş, özellikle güvenlik ihlalleri veya tehditleri sebebiyle ortaya çıkan kaza veya acil durum hallerinin
oluşmasından sonra acil durum hazırlığı, tepki verme ve güvenliği tekrar elde etme plan ve prosedürlerinin
etkinliğini periyodik olarak gözden geçirmelidir.
4.5 Kontrol ve düzeltici faaliyet
4.5.1 Güvenlik performansının ölçümü ve izlenmesi

Kuruluş, güvenlik yönetim sisteminin performansını ölçmek ve izlemek için prosedürler oluşturmalı ve
sürdürmelidir. Aynı zamanda, güvenlik performansını da ölçmek ve gözlemlemek için prosedürler oluşturmalı
7
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
ve devamlılığını sağlamalıdır. Kuruluşun, anahtar performans parametrelerini ölçme ve izleme sıklığını

belirlerken, potansiyel bozucu mekanizmaları ve bunların sonuçları dâhil, ilgili güvenlik tehdit ve risklerini göz
önünde bulundurması gereklidir. Bu prosedürler aşağıdakileri sağlamalıdır:
a) Kuruluşun ihtiyaçlarına uygun şekilde hem nitel hem de nicel ölçümler,

b) Kuruluşun güvenlik yönetimi politikasının, amaçlarının ve hedeflerinin hangi düzeyde yerine
getirildiğinin izlenmesi,
c) Güvenlik yönetimi programları, işletim kontrol kriterleri ve uygulanabilir yasal, meşru ve güvenlikle ilgili
diğer düzenleyici şartlarla uyumun izlenmesine dair proaktif performans ölçütleri,
d) Güvenlikle ilgili bozulmaların, başarısızlıkların, kazanın, uygunsuzlukların (ramak kalma ve yanlış
alarm durumları dâhil) ve yetersiz güvenlik yönetim sistemi performansına ilişkin geçmişe ait diğer
kanıtların izlenmesi için reaktif nitelikli performans ölçütleri,
e) Müteakip düzeltici ve önleyici faaliyet analizlerinin sağlanması için yeterli olan izleme ve ölçme
sonuçlarının ve verilerinin kayıt altına alınması. Performans ve/veya ölçme ve izleme için bir izleme
donanımı gerektiğinde, bu donanımın gereken kalibrasyonu ve bakım için olan prosedürlerin
oluşturulması ve bakımını şart koşması gereklidir. Kalibrasyon ve bakım faaliyetlerinin ve sonuçlarının
kayıtlarının, yasalar ve kuruluşun politikasıyla uyum açısından yeterli bir zaman boyunca korunması.
4.5.2 Sistem değerlendirme

Kuruluş, periyodik gözden geçirme, test, kaza sonrası raporlar, alınan dersler, performans değerlendirme ve
tatbikat yoluyla güvenlik yönetim planları, prosedürleri ve kabiliyetlerini değerlendirmelidir. Bu faktörlerdeki
belirgin değişmelerin derhal prosedürlere yansıtılması gereklidir.
Kuruluş, ilgili yasa ve yönetmelikleri, en iyi endüstriyel uygulamaları ve kendi politika ve amaçlarıyla
uyumluluğu periyodik olarak değerlendirilmelidir.
Kuruluş bu periyodik değerlendirmelerinin sonuçlarının kayıtlarını tutmalıdır.
4.5.3 Güvenlikle ilgili başarısızlıklar, kaza, uygunsuzluklar ve düzeltici ve önleyici faaliyetler

Kuruluş aşağıdaki hususlara dair sorumluluk ve yetkilerin tanımlanması için prosedürler oluşturmalı,
uygulamalı ve sürdürmelidir:
a) Güvenlik konusunda meydana gelebilecek potansiyel aksaklıkları tanımlamak, değerlendirmek ve

oluşmasının önünü kesebilmek için önleyici faaliyetlerin başlatılması,
b) Güvenlikle ilgili olan aşağıdaki noktaların soruşturulması:
1. Ramak kalma ve yanlış alarmlar dâhil olmak üzere aksamalar,
2. Kaza ve acil durum halleri,
3. Uygunsuzluklar,
c) Bu tip başarısızlıklar, kaza veya uygunsuzluklardan doğabilecek sonuçların hafifletilmesi için tedbir
alınması,
d) Düzeltici faaliyetlerin başlatılması ve tamamlanması,
e) Uygulanan düzeltici faaliyetlerin etkinliğinin doğrulanması
Yaşam ve kamu güvenliğinin hızlı maruziyetinin, önerilen düzeltici ve önleyici faaliyetlerin derhal
uygulanmasıyla, engellenmesi durumu hariç bu prosedürler, önerilenlerin güvenlik tehdidi ve risk
değerlendirme prosesleri yoluyla gözden geçirilmesini şart koşmalıdır.
Mevcut olan veya potansiyel tüm uygunsuzlukların sebeplerini ortadan kaldırmak için yapılan, tüm düzeltici ve
önleyici faaliyetlerin, karşılaşılabilecek güvenlik yönetimi ile ilgili tehdit ve risklerle orantılı ve problemlerin
büyüklüğüne göre olması gerekir. Kuruluş, dokümante edilmiş prosedürlerde düzeltici ve önleyici faaliyetlerden
kaynaklanan her değişikliği yapmalı, kayıt altına almalı ve ihtiyaç duyulduğunda gereken eğitimleri gündemine
koymalıdır.
4.5.4 Kayıtların kontrolü

Kuruluş, elde edilen sonuçları, kendi güvenlik yönetim sisteminin şartlarına ve bu standarda olan uygunluğu
göstermek için gerekli olan, kayıtları oluşturmalı ve tutmalıdır. Kuruluş, kayıtların, tanımlanması, depolanması,
korunması ve bertaraf edilmesi için prosedür/prosedürler oluşturmalı, uygulamalı ve sürdürmelidir.
Kayıtlar okunaklı, tanımlanabilir ve izlenebilir kalmalıdır.
8
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
Elektronik ve dijital dokümanların değiştirilmelerine karşı korumalı olması, güvenli bir şekilde yedeklenmesi ve
sadece yetkili personele ulaşılabilir olması gerekir.
4.5.5 Tetkik
Kuruluş, aşağıdakileri sağlamak için bir güvenlik yönetimi tetkik programı oluşturmalı, uygulamalı, sürdürmeli
ve güvenlik yönetim sisteminin tetkiklerinin planlanmış aralıklarla yapılmasını temin etmelidir.
a) Güvenlik yönetim sisteminin;
1. Bu standardın 4. Maddesindeki şartların hepsi dâhil olmak üzere güvenlik yönetimi için planlanmış
ayarlamalara uygun,
2. Doğru şekilde uygulanmış ve sürdürülmüş,
3. Kuruluşun, güvenlik yönetimi politikası ve amaçlarını etkili bir şekilde karşılamakta olup olmadığının
tespit edilmesi,
b) Geçmiş tetkiklerin ve uygunsuzlukları düzeltmek için yapılan faaliyetlerin sonuçlarının gözden geçirilmesi,
c) Tetkik sonuçlarıyla ilgili yönetime bilgi verilmesi,
d) Güvenlik donanımları ve personelin doğru şekilde yerleştirildiğinin doğrulanması.
Herhangi bir tarife kapsamındaki tetkik programı, kuruluşun faaliyetlerinin maruz olduğu tehditler ve risk
değerlendirmelerinin ve önceki tetkiklerin sonuçlarına dayanmalıdır. Tetkik prosedürü, tetkik yapma ve
sonuçları raporlama için gereken sorumluluklar ve şartların yanı sıra, kapsam, sıklık, metodoloji ve yeterlilikleri
de içermelidir. Mümkünse, tetkikler, tetkik edilen faaliyetten doğrudan sorumlu olmayan bağımsız personel
tarafından uygulanmalıdır.
Not - "Bağımsız personel" deyimi muhakkak kuruluş dışından olan bir personel anlamına gelmez.
4.6 Yönetimin gözden geçirmesi ve sürekli iyileştirme

Üst yönetim, kuruluşun güvenlik yönetimi sistemini, sürdürülen uygunluğu, doğruluğu ve etkinliğinden emin
olmak için planlanmış aralıklarla gözden geçirmelidir. Gözden geçirmeler, güvenlik politikası ve güvenlik amaç,
tehdit ve riskleri dâhil, güvenlik yönetim sistemindeki değişiklik ihtiyaçları ve iyileştirme için olan fırsatların
değerlendirilmesini kapsamalıdır. Yönetimin gözden geçirmesine dair kayıtlar tutulmalıdır. Yönetimin gözden
geçirmesi için girdiler aşağıdakileri içermelidir:
a) Yasal şartlar ve kuruluşun onaylamış olduğu diğer şartlara uygunluk değerlendirmeleri ve tetkik sonuçları,
b) Şikâyetler dâhil, ilgili dış unsurlardan gelen iletim,
c) Kuruluşun güvenlik performansı,
d) Amaçların ve hedeflerin karşılanma derecesi,
e) Düzeltici ve önleyici faaliyetlerin durumu,
f) Yönetimin daha önceki gözden geçirmeleri ile bağlantılı izleme faaliyetleri,
g) Yasal ve diğer gelişmeler dâhil güvenlik bakımından değişen şartlar
h) İyileştirme önerileri.
Yönetimin gözden geçirmesi çıktıları, sürekli iyileştirmeye ilişkin kararlılıkla tutarlı bir şekilde güvenlik yönetim
sisteminin diğer öğeleri, güvenlik politikası, amaçları ve hedeflerinde meydana gelebilecek olası değişimlerle
ilgili tedbirleri ve kararları içermelidir.
9
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
Ek A
(Bilgi için)
ISO 28000:2007, ISO 14001:2004 ve ISO 9001:2000 arasındaki eşlemeler
ISO 28000:2007 ISO 14001:2004 ISO 9001:2000

Tedarik zinciri güvenlik 4 Çevre yönetim 4 Kalite yönetim sistemi 4
yönetim sisteminin sistemi şartları şartları (sadece başlık)
şartları (sadece başlık) (sadece başlık)
Genel şartlar 4.1 Genel şartlar 4.1 Genel şartlar 4.1

Güvenlik yönetimi 4.2 Çevre politikası 4.2 Yönetim bağlılığı 5.1
politikası
Kalite politikası 5.3
Sürekli iyileştirme 8.5.1

Güvenlik risk 4.3 Planlama 4.3 Planlama (sadece başlık) 5.4
değerlendirmesi ve (sadece başlık)
planlama
(sadece başlık)
Güvenlik risk 4.3.1 Çevresel yönler 4.3.1 Müşteri odaklılık 5.2
değerlendirmesi
Ürünle ilgili şartların 7.2.1
belirlenmesi
Ürünle ilgili şartların gözden 7.2.2

geçirilmesi
Yasal, meşru ve diğer 4.3.2 Yasal ve diğer şartlar 4.3.2 Müşteri odağı 5.2
güvenlik düzenleyici
şartları Ürünle ilgili şartların 7.2.1
belirlenmesi
Güvenlik yönetimi 4.3.3 Amaçlar, hedefler ve 4.3.3 Kalite amaçları 5.4.1
amaçları programlar
Kalite yönetim sistemi 5.4.2
planlaması

hedefleri program/programları
planlaması

program/programları program/programları
planlaması

Uygulama ve işletim 4.4 Uygulama ve 4.4 Ürün farkındalığı 7
(sadece başlık) faaliyetler (sadece başlık)
(sadece başlık)
10
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
Yeterlilik, eğitim ve 4.4.2 Yeterlilik, eğitim ve 4.4.2 (İnsan kaynakları) Genel 6.2.1
farkındalık farkındalık
Yeterlilik, eğitim ve 6.2.2
farkındalık
İletişim 4.4.3 İletişim 4.4.3 İç iletişim 5.5.3
Müşteri iletişimi 7.2.3

Dokümantasyon 4.4.4 Dokümantasyon 4.4.4 (Dokümantasyon şartları) 4.2.1
Genel
Dokümanlar ve veri 4.4.5 Belgelerin kontrolü 4.4.5 Dokümanların kontrolü 4.2.3

kontrolü
İşletimsel kontrol 4.4.6 İşletimsel kontrol 4.4.6 Ürün gerçekleştirme 7.1
planlaması
Ürünle ilgili şartların 7.2.1

belirlenmesi
Ürünle ilgili şartların gözden 7.2.2

geçirilmesi
Tasarım ve geliştirme 7.3.1

planlaması

girdisi

çıktısı

gözden geçirme

doğrulama

onaylama

değişikliklerin kontrolü
Satın alma prosesi 7.4.1
Satın alma bilgisi 7.4.2
Satın alınan ürünlerin 7.4.3

doğrulanması
Üretim ve hizmet 7.5.1

sağlanmasının kontrolü
Ürün ve hizmet sağlanması 7.5.2

için olan proseslerin
kontrolü
Ürün muhafaza 7.5.5
11
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
Acil durumlara hazırlıklı 4.4.7 Acil durum hazırlığı ve 4.4.7 Uygunsuz ürünlerin 8.3
olma, tepki verme ve tepki verme kontrolü
güvenliğin tekrar
sağlanması
Kontrol ve düzeltici 4.5 Kontrol 4.5 Ölçme, analiz ve iyileştirme 8
faaliyet (sadece başlık) (sadece başlık) (sadece başlık)
Güvenlik 4.5.1 Gözlemleme ve 4.5.1 Gözlemleme ve ölçme 7.6

performansının ölçümü ölçme aletlerin kontrolü
ve izlenmesi
Genel (ölçme, analiz ve 8.1
iyileştirme)
Proseslerin gözlemlemesi 8.2.3

ve ölçülmesi
Ürünün gözlemlenmesi ve 8.2.4

ölçülmesi
Veri analizi 8.4

Sistem değerlendirme 4.5.2 Uygunluk 4.5.2 Proseslerin gözlemlenmesi 8.2.3
değerlendirilmesi ve ölçülmesi
Ürünün gözlemlenmesi ve 8.2.4

ölçülmesi
Güvenlikle ilgili 4.5.3 Uygunsuzluk, 4.5.3 Uygunsuz ürünlerin 8.3
başarısızlıklar, kaza, düzeltici ve önleyici kontrolü
uygunsuzluklar ve faaliyet Veri analizi 8.4
düzeltici ve önleyici
faaliyetler Düzeltici faaliyet 8.5.2
Önleyici faaliyet 8.5.3

Kayıtların kontrolü 4.5.4 Kayıtların kontrolü 4.5.4 Kayıtların kontrolü 4.2.4
Tetkik 4.5.5 İç tetkik 4.5.5 İç tetkik 8.2.2
Yönetimin gözden 4.6 Yönetim gözden 4.6 Yönetimin bağlılığı 5.1

geçirmesi ve sürekli geçirme
iyileştirme Yönetim gözden geçirme 5.6
(sadece başlık)
Genel 5.6.1
Gözden geçirme girdisi 5.6.2
Gözden geçirme çıktısı 5.6.3
12
ICS 47.020.99 TS ISO 28000:2013-06
ISO 28000:2007
Kaynaklar
[1] ISO 9001:2000, Quality management systems — Requirements
[2] ISO 14001:2004, Environmental management systems — Requirements with guidance for use
[3] ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing
[4] ISO/PAS 20858:2004, Ships and marine technology — Maritime port facility security assessments and
security plan development
[5] ISO/PAS 28001, Security management systems for the supply chain — Best practices for implementing
supply chain security — Assessments and plans
[6] ISO/PAS 28004:2006, Security management systems for the supply chain — Guidelines for the
implementation of ISO/PAS 28000
13

TS Iso 28000

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

TS Iso 28000

Uploaded by

Copyright:

Available Formats

TÜRK STANDARDI

Tedarik zincirinde güvenlik yönetim sistemleri için özellikler

Specification for security management Spécifications pour les systèmes de

TÜRK STANDARDLARI ENSTİTÜSÜ

Tedarik zincirinde güvenlik yönetim sistemleri için

Specification for security management systems for

Spécifications pour les systèmes de management de la sûreté pour la

Uluslararası standardlar, ISO/IEC Direktifleri Bölüm 2’ye göre yazılmıştır.

Şekil 1 – ISO 28000 ve diğer ilgili standardlar arasındaki ilişki

ULUSLARARASI STANDARD ISO 28000: 2007(E)

Tedarik zincirinde güvenlik yönetim sistemleri için özellikler

a) Bir güvenlik sisteminin oluşturulması, uygulanması, sürdürülmesi ve iyileştirilmesi,

Uyumun gösterilmesinde tekrarlama yapmak bu standardın amacı değildir.

2 Atıf yapılan standard ve/veya dokümanlar

3.3 Güvenlik yönetimi

3.4 Güvenlik yönetimi hedefi

3.5 Güvenlik yönetimi politikası

3.6 Güvenlik yönetimi programları

3.7 Güvenlik yönetimi hedefi

3.9 Tedarik zinciri

3.9.1 Dağıtım yönetimi

3.9.2 Tedarik yönetimi

3.10 Üst yönetim

3.11 Sürekli iyileştirme

4 Güvenlik yönetim sisteminin unsurları

Şekil 2 - Güvenlik yönetim sistemi unsurları

4.1 Genel şartlar

Kuruluş, güvenlik yönetim sisteminin kapsamını tanımlamalıdır. Kuruluşun bu şartların uygunluğunu

4.2 Güvenlik yönetim politikası

4.3 Güvenlik risk değerlendirmesi ve planlama

Kuruluş, bu değerlendirmelerin sonuçlarının ve bu kontrollerin etkilerinin göz önüne alınmasını sağlamalı ve

a) Güvenlik yönetimi amaçları ve hedefleri ,

Kuruluşun, tehdit, risk tanımlaması ve değerlendirmesi için metodolojisi:

4.3.2 Yasal, meşru ve diğer güvenlik düzenleyici şartlar

4.3.3 Güvenlik yönetimi amaçları

a) Yasal, meşru ve diğer güvenlik düzenleyici şartları,

Güvenlik yönetimi amaçları:

4.3.4 Güvenlik yönetimi hedefleri

4.3.5 Güvenlik yönetimi programları

Bu sırada aşağıdaki hususları tarif eden dokümantasyon mevcut bulunmalıdır.

4.4 Uygulama ve işletim

4.4.1 Güvenlik yönetimi için yapı, yetki ve sorumluluklar

Roller, sorumluluklar ve yetkiler tanımlanmalı, doküman haline getirilmeli ve uygulanmalı ve devamlılığın

4.4.2 Yeterlilik, eğitim ve farkındalık

Yeterlilik ve eğitimle ilgili kayıtların tutulması gereklidir.

a) Güvenlik politikası, amaçları ve hedefleri,

4.4.5 Dokuman ve veri kontrolü

a) Bu dokümanlar, bu bilgiler sadece yetkili kişiler tarafından ulaşılabilir ve bulunabilir olması,

4.4.6 İşletimsel kontrol

a) Güvenlik yönetimi politikası,

Kuruluş, bu işletim ve faaliyetlerinin aşağıdaki belirlenmiş koşullarda yapılmasını temin etmelidir:

Göz önüne alınacak yeni veya revize düzenlemeler aşağıdakileri içermelidir:

a) Revize kuruluş yapısı, roller veya sorumluluklar,

4.5 Kontrol ve düzeltici faaliyet

4.5.1 Güvenlik performansının ölçümü ve izlenmesi

ve devamlılığını sağlamalıdır. Kuruluşun, anahtar performans parametrelerini ölçme ve izleme sıklığını

a) Kuruluşun ihtiyaçlarına uygun şekilde hem nitel hem de nicel ölçümler,

4.5.2 Sistem değerlendirme

Kuruluş bu periyodik değerlendirmelerinin sonuçlarının kayıtlarını tutmalıdır.

4.5.3 Güvenlikle ilgili başarısızlıklar, kaza, uygunsuzluklar ve düzeltici ve önleyici faaliyetler

a) Güvenlik konusunda meydana gelebilecek potansiyel aksaklıkları tanımlamak, değerlendirmek ve

4.5.4 Kayıtların kontrolü

Kayıtlar okunaklı, tanımlanabilir ve izlenebilir kalmalıdır.