Gümrük ve Ticaret Bakanlığı’nca hizmete giren Yetkilendirilmiş Yükümlü Statüsü (YYS) ya da uluslararası adı ile “Authorized Economic Operator (AEO)” uygulaması 2013 yılından beri ithalat ve ihracat sektörünün merceğinde.
YYS, ithalat ve ihracatta gümrük işlem sürecini en aza indirmek ve basitleştirmek amacıyla, dış ticaret firmalarına yerinde gümrükleme, izinli gönderici, ortak transit gibi avantajlar sağlıyor.
Bugünlerde etki alanı genişleyen YYS’nin elde edilebilmesi için bakanlıkça ‘Emniyet ve Güvenlik Standardı Koşulu’ yani ISO 9001 ve ISO 27001 standartlarına uygun belgelere sahip olmak şartları aranıyor.
Şirketlere, Bilgi Güvenliği Yönetim Sistemi olarak da bilinen ISO 27001 sertifikası için danışmanlık hizmeti sağlayan Türkiye’nin önde gelen siber güvenlik şirketlerinden Lostar ise sertifikasyon sürecinde müşterilerini uyarıyor; ISO 27001 sertifikası sağlıklı bir YYS uygulamasının olmazsa olmazı.
Siber Bülten’e konuşan Lostar’ın Süreç Departmanı Ekip Lideri Özgür Altıntaş’a göre ise ISO 27001 ve YYS çalışmaları paralel yürütülmeli, YYS çalışmaları sürecin dışında bırakılmamalı.
İlgili yazı >> Bilgi güvenliği yönetim sistemi danışmanlığı
Altıntaş, firmaların YYS’ye başvuru yapabilmek için ISO 27001 sertifikasını hızlıca alırken YYS’nin beklentilerini karşılayabilecek seviyede bir proje gerçekleştiremediklerinin de altını çiziyor.
“Kaçırdıkları detaylar projeyi geriye sarıp bazı değişikliler yapmalarına neden oluyor. Bu da hem zaman, hem de para kaybına neden olabiliyor.
“ISO 27001 çalışmaları yapılırken YYS çalışmalarını dışarda tutmamak gerekiyor. İkisinin paralel yürüyerek birbirinden beslenmesi önemli. Bir danışmanlık faaliyetine girdiğinizde YYS’yi sonraya atmak sağlıklı olmayabilir” diyor Altıntaş.
Altıntaş’a göre, Lostar bugüne kadar sektöründe öncü kuruluşlarla ISO 27001 Bilgi Güvenliği Yönetim Sistemi danışmanlık hizmeti sunarak projeleri başarıyla tamamlamış.
İlgili yazı >> TS EN ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı Türkçeleştirilmesi
Şirketin ana faaliyet alanının bilgi güvenliği olduğu için ISO 27001 üzerine birçok vakayla karşılaştıklarını söyleyen Altıntaş, firmaları sıkça düştükleri bir yanlış konusunda da uyarıyor.
“ISO 27001 denildiğinde ve bilgi güvenliği ismi geçtiğinde firmaların hepsinin bu projenin sadece ve sadece Bilişim Teknolojileri (BT) tabanlı olmasını düşünmeleri en büyük yanılgılardan bir tanesi. Aslında bakarsanız bir bilgi güvenliği yönetim sistemi çalışması yaptığınızda firmanın baştan uca her departmanına, çalışanına ve varlığına değmeniz gerekiyor. Yaptığınız çalışmalarda bunları da entegre etmeniz lazım,” diyor Altıntaş.
ISO 27001 belgesi tam olarak nedir?
ISO 27001 Sertifikası alan bir firma, şirket genelinde bilgi güvenliği yönetim sisteminin kurgulanmış olduğunu temin etmiş oluyor.
Operasyonel süreçlerde ürettiğiniz çıktıların, veri ve diğer bilgi varlıklarının çevresinde dönen kayıtların güvenliğini sağladığınız anlamına geliyor.
“Bu sertifikayı temin ettiğinizde sizde bu yapının mevcut olduğu ve oto kontrol mekanizması ile sürekli iyileştirme faaliyetlerini yürütebildiğiniz belgelenmiş olur,” diyor Altıntaş.
ISO 27001 danışmanlık hizmetlerinde Lostar’ın sürecin en başından sonuna kadar devrede olduğunu sözlerine ekleyen Altıntaş, süreci şu şekilde anlatıyor:
“ISO 27001 ile ilgilenen firmalar bize geliyorlar ve danışmanlık talebinde bulunuyorlar. Biraz firmaların altını deşiyoruz, motivasyon kaynakları var mı diye inceliyoruz. İç ve dış hususları değerlendiriyoruz.
“Süreç değişiklik gösteriyor. Bir firmanın büyüklüğü proje süresinin değişmesine neden olur yani çoklu lokasyonlarda süreler biraz daha uzayabilirken tek lokasyonlu olan yerlerde iyi bir proje planı ve sıkı çalışma ile 3 ayda bitirdiğimiz projeler var,” diyor Altıntaş.
Her yıl düzenli denetim yapılıyor
“Bakanlık, sertifika temin edilmesi istendiğinde sadece Türk Akreditasyon Kurumu TÜRKAK’a akredite olan bir sertifika kuruluşundan alabilirsiniz diye beyan etmiş. Bu Gümrük Bakanlığı’nın beğendiğimiz bir çalışması.”
Firmaların bir kısmında sertifikayı temin ettikten sonra ‘artık hayatımız kurtuldu denetime girmeyeceğiz’ gibi bir yanlış yaklaşımın olduğunu aktaran Altıntaş, bu düşüncenin aksine sertifikasyon kuruluşlarının her sene düzenli tetkike geldiklerini söylüyor.
“Yıllık tetkiklerde yönetim sisteminizin işlerliğini kontrol ederler. 3 yılda bir de sıfırdan bir denetim yaparlar. Baştan sona tekrar sertifikasyon denetimi gerçekleştirilir. Denetimde size sertifikanın devamlılığı yönünde ya da iptali yönünde karar alırlar,” diye belirtiyor Altıntaş.
ISO 27001 sertifikası olmadan YYS’ye başvuru yapılmayacağını, YYS olmadan da Gümrük Bakanlığı’nın sunmuş olduğu imtiyazlardan faydalanılamayacağının altını çizen Altıntaş, ekliyor:
“Bu imtiyazlar firmalara büyük faydalar sağlıyor. Özellikle dış ticaret faaliyetleri yoğun olan firmalar için büyük kayıplar yaşayabilir. Hem rekabet avantajlarını kaybedebilir, hem de ciddi para kaybına neden olabilir.”