15 Nisan 2014

Yetkilendirilmiş Yükümlülük ve ISO27001


ISO 27001 Yetkilendirilmiş yükümlülük
Kolay ve Güvenilir İhracat İçin ISO 27001 Şartı

T.C. Gümrük ve Ticaret Bakanlığı, kolay ve güvenli ihracatı teşvik amacıyla 10 Ocak 2013 tarihinde Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği’ ni  Resmi Gazete’de yayımlayarak ihracatçı firmaların gümrük işlerinde zaman kazanmasını ve lojistik maliyetlerini düşürmesini amaçlamaktadır.
Yetkilendirilmiş Yükümlü Statüsü uygulaması ile dış ticaretin en önemli ve ilk basamağı olan ihracat olgusu teşvik edilmektedir. Yetkilendirilmiş Yükümlü belgesine sahip olan kuruluşlar, 'İhracatta Yerinde Gümrükleme' ve 'İzinli Gönderici' gibi uygulamalarla beraber gümrük işlemlerinde kaybedilen zamanın ve artan maliyetlerin önüne geçme fırsatını bulabileceklerdir. Uluslararası arenada rekabet koşullarının giderek sertleştiği günümüzde bu uygulama ülke ihracatının elini güçlendirmek amacını taşımaktadır.




Başvuru Sırasında ISO 9001 ve ISO 270001 Şartı

‘İhracatta Yerinde Gümrükleme’ ve ‘İzinli Gönderici’ ayrıcalıklarını elde etmek isteyen kuruluşların yerine getirmekle yükümlü oldukları birtakım koşullar bulunmaktadır. T.C. Gümrük ve Ticaret Bakanlığı, Yetkilendirilmiş Yükümlülük Statüsü’nü kazanmak isteyen kuruluşlardan ISO 9001 Kalite Yönetim Sistemi ve ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikalarına sahip olmalarını istemektedir.
Kuruluşumuz uzmanlık gerektiren ISO 27001 Bilgi Güvenliği Yönetim Sertifikası danışmanlığında yeterli ve engin bir tecrübeye sahip olmakla beraber hali hazırda sektöründe lokomotif pozisyonda bulunan kuruluşlara danışmanlık yapmaktadır. Kuruluşumuz aktif olarak ISO 27001 Bilgi Güvenliği Yönetim Sertifikası danışmanlığıyla birlikte Penetrasyon (Sızma) Testleri hizmeti de vermektedir.

BTRisk ISO 27001 Bilgi Güvenliği Yönetim Sertifikası Danışmanlığı

Bilgi Güvenliği ve BT Yönetişim Hizmetleri

Bilgi güvenliği ve BT yönetişim hizmetlerimiz güvenlik ve uyum risklerini en aza indirecek, bilgi güvenliği ve BT kontrol yatırımlarını optimize edecek aşağıdaki hizmet alanlarından oluşur:

  • Bilgi güvenliği kontrolleri ve BT süreç kontrolleri denetimleri,
  • Bilgi güvenliği ve BT risk analizi,
  • ISO27001 uyumlu Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulum danışmanlığı,
  • PCI DSS uyum değerlendirme hizmeti,
  • Elektronik ticaret kurumları için Webtrust prensip ve kriterleri açısından süreç ve güvenlik kontrol değerlendirme hizmeti,
  • CobiT, ITIL, CMMI, Prince v.d. genel kabul görmüş çerçeve ve standartlara uyumlu bilgi teknolojileri yönetişim süreçleri danışmanlığı,
  • Bilgi güvenliği kontrolleri ve bilgi teknolojileri süreç kontrolleri denetimleri için iç denetim birimlerine eş kaynak hizmeti sağlanması ve kurum BT iç denetim fonksiyonunun kurulması.

BTRisk Metodu

BTRisk bilgi güvenliği ve BT denetim ve yönetişim hizmetlerinde genel kabul görmüş standart ve çerçeveleri esas alarak uluslararası denetim mesleki standartlarına ve danışmanlık nosyonuna uygun biçimde hizmet verir.
Denetim hizmetlerinde her bir denetim alanı için aşağıdaki genel denetim teknikleri gerekli kombinasyonlarla uygulanarak yeterli güvence sağlanır:
  • Mülakat
  • Doküman inceleme
  • Gözlem
  • Yeniden gerçekleştirme
Bilgi güvenliği yönetim sistemi danışmanlığı hizmetimiz ana hatları Deming döngüsüne paralel olarak hazırlanmış olan aşağıdaki fazları içeren BGYS metodumuz doğrultusunda sağlanır:


Hazırlık: Hazırlık fazı Deming döngüsünü oluşturan ana adımların dışındadır. Ancak çok sayıdaki proje deneyimimizde bu faza olan ihtiyaç gözlenmiş ve hazırlık fazı BGYS kurulum metodumuzun standart bir adımı haline gelmiştir. Bu safhada BGYS kapsamının somutlaştırılması, proje ekibinin bilgi güvenliği ve yönetim sistemi eğitimleri ile oryantasyonunun sağlanması, yönetim desteğinin görünür hale getirilmesi sağlanır.

Planlama: Bilgi güvenliği risk analizi ile mevcut durum ortaya konarak kontrol geliştirme ve iyileştirme ihtiyaçları belirlenir.

Uygulama: Yönetsel süreçleri içeren yönetim sistemi bileşenleri ile risk analizinde eksikliği ortaya çıkan kontroller geliştirilir ve uygulamaya alınır. Kurum personeli için farkındalık eğitimleri sağlanır.

Kontrol Etme: İç denetim ve yönetim gözden geçirme adımları ile düzeltici ve önleyici faaliyet ihtiyaçları belirlenir.

Önlem Alma: Belirlenen ve çeşitli taraflarca bildirilen düzeltici ve önleyici faaliyet gereksinimleri doğrultusunda gerekli iyileştirmeler uygulanır.

Bilgi güvenliği risk analizinde ISO27001 uyumlu olarak aşağıdaki adımlar izlenir:
  • Bilgi güvenliği kontrolleri için fark analizi yapılarak kurumun bilgi güvenliği ile ilgili iş ve yasal gereksinimleri, bilişim altyapısı ve bilgi güvenliği kontrol noktaları ile ilgili bilgiler toplanır.
  • Tespit edilen bilgi varlıklarına yönelik bilgi güvenliği tehditleri ve bilgi varlıklarının güvenlik açıklıkları belirlenir. Tehdit olasılık değerleri ve açıklık düzeyleri yaşanan bilgi güvenliği olayları, fark analiz sonuçları ve diğer bilgi kaynaklarından faydalanılarak tahmin edilir.
  • İş ve yasal gereksinimler ışığında bilgi varlıklarının değerleri gizlilik, bütünlük ve erişilebilirlik bilgi güvenliği kriterleri bazında belirlenir.
  • Her bir varlık, tehdit ve açıklık senaryosu için varlık değeri, tehdit olasılığı ve açıklık düzeyi değerleri kullanılarak bilgi güvenliği risk değeri hesaplanır.
  • Tespit edilen riskler için riski azaltma, kabul etme, transfer etme ya da kaçınma seçenekleri arasından uygun olan risk yanıt stratejileri belirlenir.
  • Azaltılmasına karar verilen riskler için uygulanacak kontrol geliştirme ve iyileştirme planları geliştirilir.

Bilgi teknolojileri risk analizinde aşağıdaki adımlar izlenir:

  • Kurumun iş ihtiyaçlarına, organizasyonuna, altyapısına ve coğrafi yerleşimine uygun risk birimleri oluşturulur ve BT risk uzayı tanımlanır.
  • Risk birimleri için etki ve açıklık kriterleri geliştirilerek yöneticilere ve kontrol sorumlularına aktarılır.
  • Yönetici ve kontrol sorumlularından toplanan bilgilere, denetim raporlarına, geçmiş olay kayıtlarına, konjonktürel gelişmelere ve düzenleme gereksinimlerine göre etki ve açıklıklar derecelendirilir.
  • Risk düzeyi hesaplanan risk birimleri için iyileştirme ve denetim stratejileri belirlenir.

BTRisk Bakış Açısı

BTRisk bilgi güvenliği ve BT riskleri hakkındaki teknik deneyimi nedeniyle yüzeysel değerlendirmelerde görünmeyen ancak kritik olan BT ve bilgi güvenliği risklerini net biçimde ortaya koyar. Hem teknoloji hem de hizmet şirketi olmanın sağladığı avantajla somut iyileştirme stratejileri geliştirir.

BTRisk her bir ISO27001 standart gereksinimini karşılayan yazılı BGYS kurulum metodu ile ISO27001 BGYS kurulum proje risklerini en aza indirmiştir.
Çok sayıda denetim ve kontrol uyum danışmanlığı projesinin sonucu olarak geliştirdiği genel ve detaylı kontrol soruları, bilgi varlık kategorileri, tehdit ve açıklık veritabanlarına sahiptir. Bunlara ek olarak geliştirdiği varlık, tehdit ve açıklık ağaçları vasıtası ile hızlı ve pratik risk değerlendirme imkanına sahiptir.

Risk analiz ve BGYS yazılımı vasıtası ile metodunu somutlaştırmıştır. Bu yazılım sayesinde müşterilerine elektronik ortamda bilgi güvenliği risk takibini yapma imkanını sağlar.
Yüksek güvenlik ve uyum ihtiyacına sahip sektörlerde gerçekleştirdiği çok sayıda proje nedeniyle sektörel düzenlemeler ve iş ihtiyaçları hakkında uzmanlık sahibidir.

Profesyonel hizmet şirketi olmanın gerektirdiği bilgi veritabanları ve metod geliştirme kültürü sayesinde bilgi ve deneyimini kendi personeline olduğu gibi hizmet verdiği kurum personeline de yüksek düzeyde aktarır. BTRisk hizmet verdiği kurumlara sadece verilen hizmetin çıktılarını değil aynı servisi orta ve uzun vadede üretme yetkinliğine sahip olma imkanı da sağlar.

5 Soruda Yetkilendirilmiş Yükümlü Statüsü

Yetkilendirilmiş Yükümlü Statüsü nedir?
Yetkilendirilmiş yükümlü, gümrük yükümlülüklerini yerine getiren, kayıt sistemi düzenli ve izlenebilir olan, mali yeterlilik, emniyet ve güvenlik standartlarına sahip bulunan, kendi oto kontrolünü yapabilen güvenilir firmalara gümrük işlemlerinde birtakım kolaylık ve imtiyazlar tanıyan uluslararası
bir statüdür.

Kimler Yetkilendirilmiş Yükümlü olabilir?
Serbest Bölgeler dâhil Türkiye Gümrük Bölgesinde yerleşik, en az üç yıldır faaliyette bulunan gerçek ve tüzel kişiler ile kamu kurum ve kuruluşları yetkilendirilmiş yükümlü olabilir. Üç yıldan az süredir faaliyette bulunan kişilerin durumu ise Bakanlıkça ayrıca değerlendirilir.

Yetkilendirilmiş Yükümlü Statüsü’ nün sağladığı kolaylıklar nelerdir?
  • İhracatta yerinde gümrükleme (ihracat eşyasını ihracat gümrük idaresine sunmadan işlemlerini kendi tesislerinden yapabilme),
  • İzinli gönderici (transit eşyasını hareket gümrük idaresine sunmadan kendi tesislerinden sevk edebilme),
  • Teminatlı işlemlerinde her bir işlem için ayrı teminat yerine götürü teminat uygulaması kapsamında tutarı önceden belirlenmiş süresiz ve düşümsüz teminat verebilme,
  • Teminatlı işlemlerinde kısmi oranda teminat verebilme,
  • Odalarca onay ve gümrük müdürlüklerince vize işlemlerine gerek kalmaksızın A.TR dolaşım belgesi düzenleyebilme,
  • Eşyanın kıymetine bakılmaksızın Fatura Beyanı ve EUR.MED Fatura Beyanı düzenleyebilme,
  • Eksik belgeyle beyanda bulunabilme,
  • Eşya türüne göre sınırlama olmaksızın tam beyanlı yaygın basitleştirilmiş usulden (gümrük işlemlerinin, eşya taşıttan indirilmeden tamamlanması) yararlanabilme,
  • Gümrük Yönetmeliğiyle belirlenmiş eşyanın ithalinde 6 ay öncesine kadar alınmış tahlil raporu ibraz edebilme,
  • Gümrük Yönetmeliğiyle belirlenmiş eşyayı tahlil sonuçları alınmadan teslim alabilme,
  • Konşimentosu ibraz edilemeyen petrol ve türevlerini konşimento ibrazından önce teslim alabilme,
  • Ayniyat tespitine ilişkin Bakanlıkça yapılacak farklı düzenlemelerden faydalanabilme.
  • Azaltılmış zorunlu bilgilerden oluşan özet beyan verebilme,
  • İthalatta ve ihracatta gümrük işlemlerinin eşyanın tesliminden önce fiziki muayene ve belge kontrolünün olmadığı hat olan mavi hatta işlem görebilme,
  • Taşıt üstü işlemlerde de mavi hattan yararlanabilme,
  • Daha az belge kontrolü veya muayeneye tabi tutulabilme,
  • Belge kontrolü veya muayenenin yapılacak olması halinde, bu işlemleri öncelikle gerçekleştirebilme gibi kolaylıkları sağlamaktadır.


Yetkilendirilmiş Yükümlü olmanın şartları nelerdir?
Yetkilendirilmiş yükümlü olmak isteyen başvuru sahiplerinde aranan 4 temel
koşul bulunmaktadır:
  • Güvenilirlik Koşulu
  • Ticari Kayıtların Güvenilir ve İzlenebilir Olması Koşulu
  • Mali Yeterlilik Koşulu
  • Emniyet ve Güvenlik Koşulu 

ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikası neden gereklidir?
Yönetmelikte belirtilen 'Ticari Kayıtların Güvenilir ve İzlenebilir Olması' ve 'Emniyet ve Güvenlik' koşulları için firmaların ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasına sahip olması gereklidir.