Denetik - BlogDenetik - Bloghttps://www.denetik.com/blogsSat, 21 Feb 2026 04:36:38 -0800http://zoho.com/sites/<![CDATA[ISO 37001:2025 Rüşvetle Mücadele Yönetim Sistemi – Yeni Versiyona Geçiş Süreci (08.01.2026)]]>https://www.denetik.com/blogs/post/iso-37001-2025-hakkında-önemli-bilgilendirme

Geçiş Bilgilendirme Kılavuzu


 ISO 37001:2025 Rüşvetle Mücadele Yönetim Sistemi Standardı, Şubat 2025 tarihinde yayımlanmıştır. Bu yeni versiyon, yürürlükte bulunan ISO 37001:2016 standardının yerini alacaktır. 28 Şubat 2027 tarihinden sonra ISO 37001:2016  belgelerinin bir geçerliliği kalmayacak ve süreç ilk belgelendirme başvurusu olarak sıfırdan başlatılacaktır.

 

ISO 37001:2025 Rüşvetle Mücadele Yönetim Sistemi Standardı  geçiş süreci kapsamında;

  • İlk belgelendirme ve yeniden belgelendirme denetimleri için 31 Ağustos 2026 tarihine kadar,

  • Sertifikalı Kuruluşlar  (gözetim denetimleri) için ise en geç 28 Şubat 2027 tarihine kadar,

kuruluşların mevcut yönetim sistemlerini ISO 37001:2025 standardının gerekliliklerine uygun hale getirerek geçişlerini tamamlamaları gerekmektedir.


DENETİK tarafından ISO 37001:2025 standardına göre belgelendirilmiş tüm kuruluşların geçiş işlemleri, kuruluşun geçişi tamamladığını beyan ettiği tarihi takiben gerçekleştirilecek gözetim veya yeniden belgelendirme denetimleri kapsamında yapılacaktır.

  • Geçişin gözetim denetimi sırasında gerçekleştirilmesi halinde, ilgili denetim süresine %40 süre artırımı uygulanacaktır.
  • Geçişin yeniden belgelendirme denetimi sırasında gerçekleştirilmesi halinde, ilgili denetim süresine %30 süre artırımı uygulanacaktır.
  • Geçişin ayrı bir denetim olarak gerçekleştirilmesi durumunda ise değerlendirme süresi en az 1 adam/gün (A/G) olarak planlanacaktır.

            ISO 37001:2025 Geçiş Sürecinde Kuruluşlardan Beklenen Çalışmalar

Geçiş süreci yalnızca doküman güncellemesiyle sınırlı olmayıp, sistemin etkinliğini artırmaya yönelik bütüncül bir yaklaşım gerektirir. Bu kapsamda kuruluşlardan beklenen temel çalışmalar şunlardır:

  • Yeni standart gereklilikleri ile mevcut sistem arasındaki farklılıkların belirlenmesi
  • Rüşvetle mücadele sisteminin organizasyon genelinde etkin biçimde uygulanabilmesi için personel farkındalığının artırılması ve gerekli eğitimlerin tamamlanması
  • ISO 37001:2025 doğrultusunda politikaların, prosedürlerin ve kontrollerin güncellenmesi ve sistem performansının ölçülmesi
  • İklim değişikliğiyle bağlantılı faaliyetler, karbon ticareti ve sürdürülebilirlik projelerini de kapsayacak şekilde rüşvet risk değerlendirmelerinin gözden geçirilmesi ve güncellenmesi
  • Geçiş planlaması ve denetim süreçleri için DENETİK ile iletişime geçilmesi
    

    ISO 37001:2025 ile Gelen Temel Yenilikler

Yeni sürüm, rüşvetle mücadele yaklaşımını güncel küresel beklentilerle daha güçlü biçimde ilişkilendirmektedir. Öne çıkan değişiklikler şu başlıklar altında toplanabilir:

Sürdürülebilirlik ve İklim Değişikliği Odağı

ISO 37001:2025, kuruluşların iklim değişikliğinin faaliyetleri ve paydaş beklentileri üzerindeki etkilerini değerlendirmesini zorunlu kılarak standardı küresel sürdürülebilirlik hedefleriyle uyumlu hale getirmiştir.

Etik Kültür ve Üst Yönetimin Rolü

Yeni versiyon, dürüstlük ve etik değerlere dayalı kurum kültürünün oluşturulmasına daha güçlü vurgu yapmaktadır. Üst yönetim, rüşvetle mücadele değerlerini aktif biçimde desteklemekten ve şeffaf, hesap verebilir bir iş ortamı yaratmaktan açıkça sorumlu kılınmıştır.

Diğer Yönetim Sistemleriyle Entegrasyon

ISO 37001:2025, diğer yönetim sistemi standartlarıyla daha gelişmiş bir uyum sunarak kuruluşların entegre, tutarlı ve sürdürülebilir bir yönetim yapısı kurmasını kolaylaştırmaktadır.

Çıkar Çatışmalarının Etkin Yönetimi

Yeni sürüm, çıkar çatışmalarının tespiti ve yönetimi konusunda daha yapılandırılmış ve açık bir yaklaşım getirmekte; kurumsal politikaların güçlendirilmesini ve tarafsızlığın korunmasını hedeflemektedir.


ISO 37001:2025 Madde Gerekliliklerinde Ne Değişti?

Madde No / Başlık

ISO 37001:2016 İçeriği

ISO 37001:2025 İçeriği

Değişikliğin Niteliği / Açıklama

0. Giriş

Rüşvetle mücadele sistemi, amaç ve kapsam açıklanmıştı.

Etik kültür, dürüstlük, şeffaflık ve sürdürülebilirlik kavramları eklendi.

ESG (Çevresel-Sosyal-Yönetişim) yaklaşımıyla ilişkilendirildi.

1. Kapsam

Rüşvetin önlenmesi ve tespiti odaklıydı.

Aynı kapsam; etik davranış ve dürüst kurum kültürü vurgulandı.

Kapsam sabit, amacı genişletildi.

2. Atıf Yapılan Standartlar

ISO 9000:2015.

ISO 9000:2021.

Referans güncellendi.

3. Terimler ve Tanımlar

24 tanım: rüşvet, çıkar çatışması, üçüncü taraf vb.

Yeni terimler: etik kültür, sürdürülebilirlik, ESG, dürüstlük göstergesi (EPI).

“Çıkar çatışması” korunmuş, kapsamı genişletildi.

4.1 Kuruluşun Bağlamı

İç/dış hususlar belirlenmeliydi.

İklim değişikliğinin faaliyetlere etkisi dikkate alınmalı.

Yeni gereklilik.

4.2 İlgili Taraflar

Paydaş beklentileri geneldi.

ESG paydaşları (çevre, toplum, finans kurumları) eklendi.

Paydaş analizi genişledi.

4.3 Sistemin Kapsamı

ABYS sınırları tanımlanıyordu.

Dijital, sürdürülebilirlik ve karbon ticareti örnekleri eklendi.

Uygulama örnekleri artırıldı.

4.4 ABYS Yapısı

Kurulmalı, sürdürülmeli, iyileştirilmeli.

HLS (High Level Structure) ile ISO 9001, 37301, 37002 vb.yle uyumlu hale getirildi.

Yapısal uyum güçlendi.

4.5 Rüşvet Risk Değerlendirmesi

4.5.1–4.5.2 alt maddeleriyle tanımlıydı.

Madde numarası korunarak ESG, çevresel ve sürdürülebilirlik riskleri eklendi.

Kapsam genişledi.

5.1 Liderlik ve Taahhüt

Üst yönetimin taahhütleri genel düzeydeydi.

Etik liderlik, dürüstlük ve şeffaflık açıkça isteniyor.

Liderlik rolü güçlendi.

5.2 Politika

Rüşvetle mücadele politikası zorunluydu.

Etik, sosyal ve çevresel sorumluluk ilkeleri eklendi.

Politika içeriği genişledi.

5.3 Roller ve Sorumluluklar

Görev ve yetkiler genel tanımlıydı.

Uyum sorumlusunun bağımsız raporlama yetkisi netleştirildi.

Hesap verebilirlik güçlendi.

6.1 Risk ve Fırsatlar

Rüşvet risklerinin değerlendirilmesi gerekiyordu.

Etik, sürdürülebilirlik ve iklimle ilgili risklerin de değerlendirilmesi şart oldu.

Risk temeli genişletildi.

6.2 Hedefler ve Planlama

Performans hedefleri belirlenmeliydi.

Etik performans göstergeleri (EPI) ve ESG hedefleri eklendi.

Ölçüm sistemi geliştirilmiş.

7.1 Kaynaklar

Gerekli kaynakların sağlanması gerekiyordu.

Etik kültürün güçlendirilmesi için kaynak tahsisi vurgulandı.

Kurumsal destek artırıldı.

7.2 Yetkinlik

Rüşvetle mücadele eğitimi zorunluydu.

Etik, çıkar çatışması, sürdürülebilirlik farkındalığı eğitimleri eklendi. İklim eğitimi koşula bağlı, zorunlu değil.

Eğitim kapsamı genişledi.

7.3 Farkındalık

Politika hakkında bilgilendirme isteniyordu.

Etik kültür, ihbar mekanizmaları ve dürüst davranış farkındalığı eklendi.

Farkındalık derinleşti.

7.4 İletişim

İç/dış iletişim tanımlıydı.

Güvenli, anonim ve dijital bildirim kanalları eklendi.

Şeffaflık artırıldı.

7.5 Dokümante Bilgi

Dokümantasyon ve kayıt kontrolü gerekiyordu.

Dijital kayıt güvenliği, gizlilik ve veri bütünlüğü şart koşuldu.

Bilgi yönetimi modernize edildi.

8.1 Operasyonel Planlama ve Kontrol

Kontroller tanımlıydı.

Etik ve sürdürülebilirlik kriterleri süreçlere entegre edildi.

Süreç yaklaşımı gelişti.

8.2 Çıkar Çatışmaları

Tanım (3.16) ve yönetim süreci (8.2) vardı.

Çıkar beyanı, kayıt, izleme ve periyodik gözden geçirme zorunlu hale geldi.

Yönetim sistemi detaylandırıldı.

8.3 Rüşvet Risk Değerlendirmesi (Detay)

Risk değerlendirme prosedürleri mevcuttu.

ESG, karbon ticareti ve yeşil fon riskleri eklendi.

Yeni risk alanları tanımlandı.

8.4 Mali ve Ticari Kontroller

Finansal süreçlerin izlenmesi gerekiyordu.

Dijital ödemeler, kripto varlıklar ve sürdürülebilir fon akışları dahil edildi.

Finansal kontrol modernize edildi.

8.5 Üçüncü Taraflarla İlişkiler

Due diligence gerekliliği vardı.

Genişletilmiş due diligence: ESG ve etik geçmiş incelemesi zorunlu.

Üçüncü taraf yönetimi güçlendi.

8.6 Kontrol Altındaki İş Ortaklıkları

Ortak girişimlerde uyum sağlanmalıydı.

Etik ve sürdürülebilirlik şartlarının sözleşmelere eklenmesi gerekti.

Uyum koşulları genişletildi.

8.7 Hediye, Ağırlama, Bağış ve Sponsorluklar

Uygulama kuralları genel düzeydeydi.

ESG bağlamında şeffaf raporlama ve onay süreçleri tanımlandı.

Şeffaflık artırıldı.

9.1 İzleme, Ölçme, Analiz ve Değerlendirme

Performans ölçümü genel düzeydeydi.

Etik performans göstergeleri (EPI) eklendi, kültür ölçümü teşvik edildi.

Ölçüm yapısı geliştirilmiş.

9.2 İç Denetim

Periyodik iç denetim yapılmalıydı.

Dijital denetim ve etik kültür denetimi eklendi.

Denetim kapsamı genişledi.

9.3 Yönetimin Gözden Geçirmesi

Yönetim gözden geçirmesi zorunluydu.

Etik performans, ESG riskleri ve iklim konuları dâhil edildi.

Kapsam genişledi.

10.1 Uygunsuzluk ve Düzeltici Faaliyet

Uygunsuzlukların giderilmesi gerekiyordu.

Etik ihlallerde kök neden analizi ve önleyici eylem planı eklendi.

İyileştirme süreci güçlendi.

10.2 Sürekli İyileştirme

Sistem sürekli iyileştirilmeli.

Etik, çevresel ve sosyal performansın sürekli geliştirilmesi vurgulandı.

Entegre iyileştirme anlayışı getirildi.

Ek A – Rehber Bilgi

Sınırlı örnekler.

ESG, iklim değişikliği, dijital süreçler ve etik performans göstergeleriyle güncellendi.

Rehber modernize edildi.


]]>Fri, 09 Jan 2026 18:12:40 +0300<![CDATA[ISO/IEC 27006-1:2024 STANDARDI GEÇİŞ DUYURUSU]]>https://www.denetik.com/blogs/post/iso-iec-27006-1-2024-standardi-geçi̇ş-duyurusu

ISO/IEC 27006-1:2024 STANDARDI GEÇİŞ DUYURUSU

ISO/IEC 27006-1:2024-Bilgi güvenliği yönetim sistemlerinin denetim ve belgelendirmesini sağlayan kuruluşlar için şartlar-Bölüm 1 standardı Mart 2024’te yayımlanmıştır. Uluslararası Akreditasyon Forumu (IAF) ilgili standardın geçişi için gerekli olan şartları IAF MD 29:2024 dokümanında belirlemiştir.

Kuruluşumuzun BGYS faaliyetlerinde yer alan personellerinin ve ilgili dokümantasyonunun bu revizyona uygunluk sağlama sürecinin en geç 31 Mart 2026 tarihine kadar tamamlanacağını tüm müşterilerimize ve diğer ilgili taraflara duyururuz.


27006-1:2024’in Getirdiği Temel Değişiklikler:

  • Uzaktan denetimlere ilişkin gereksinimlerin iyileştirildi;
    • Uzaktan denetimin dağıtımına ilişkin yeni gereksinimler eklendi
    • Uzaktan denetim uygulamasının kapsamı ve etkinliğinin denetim raporuna dahil edilmesi gereksinimi eklendi
    • Uzaktan denetim faaliyetlerinin planlanan yerinde denetim süresinin %30’undan fazlasını oluşturması halinde AB’den onay alınması zorunluluğu kaldırıldı
    •  Az sayıda veya hiç fiziksel ilgili sahaya sahip olmayan müşteriler için denetim raporunda ve sertifika belgesinde, müşterinin faaliyetlerinin uzaktan yürütüldüğünün belirtilmesi gerekliliği eklendi.
  • ISO/IEC 27006:2015’teki Ek B, Ek C olarak yeniden adlandırıldı.
  • Denetim süresi hesaplama gereksinimlerinin güncellendi (Ek C);
    • Belirli özdeş faaliyetleri gerçekleştiren kişiler kavramı tanıtıldı ve bu yeni kavram kullanılarak başlangıçtaki kişi sayısının nasıl belirleneceği gereksinimi tanımlandı.
    • Kapsam genişletmeleri için denetim süresine ilişkin yeni gereksinimler tanımlandı.
    • Birden fazla sahanın denetim süresinin hesaplanmasına yönelik yaklaşımlar açıklığa kavuşturuldu.
  • ISO/IEC 27006:2015’teki Ek C, Ek D olarak yeniden adlandırıldı.
  • ISO/IEC 27006:2015’in Ek D’si, ISO/IEC 27001:2022’nin Ek A’sında listelenen bilgi güvenliği kontrolleriyle uyumlu hale getirilerek ISO/IEC 27006-1:2024’ün Ek E’si olarak aktarıldı. Tablo D, Tablo E olarak yeniden adlandırıldı
  • BGYS sertifikasyon dokümanlarında diğer standartlara atıfta bulunulmasına ilişkin gereklilikler daha açık bir şekilde tanımlandı
  • ISO/IEC 17021-1 ile daha iyi uyum sağlayarak gereksiz tekrarlar kaldırıldı. Örneğin, 5.2, 7.1.3, 9.3.2.2 ve 9.4 (ISO/IEC 27006-1:2024) maddeleri güncellendi.
  • BGYS Denetçilerinin iş deneyimi ve eğitimine ilişkin niceliksel zorunluluk kaldırıldı. (örneğin, 4 yıllık tam zamanlı pratik işyeri deneyimi)

ISO/IEC 27006-1′ in 2024 baskısında denetim süresi belirleme gereklilikleri değiştiğinden, DENETİK ile mevcut sertifikalı müşterilerimiz arasındaki sözleşmenin revize edilmesi gerekebilir.

Değişiklikler ile ilgili detaylı bilgiler için bizimle iletişime geçebilirsiniz.

]]>Thu, 26 Dec 2024 10:55:23 +0300<![CDATA[YÖNETİM SİSTEMİ STANDARTLARINA İKLİM DEĞİŞİKLİĞİ HUSUSLARININ EKLENMESİNE İLİŞKİN IAF/ISO ORTAK TEBLİĞİ HAKKINDA]]>https://www.denetik.com/blogs/post/iklim-degisikligiYÖNETİM SİSTEMİ STANDARTLARINA İKLİM DEĞİŞİKLİĞİ HUSUSLARININ EKLENMESİNE İLİŞKİN IAF/ISO ORTAK TEBLİĞİ HAKKINDA]]>


Uluslararası Standart Teşkilatı (ISO), “Londra İklim Değişikliği Deklarasyonu'nu” desteklemek amacıyla İklim Değişikliğinin yönetim sisteminin amaçlanan sonuçlarına ulaşma kabiliyeti üzerindeki etkisini dikkate alma ihtiyacını değerlendirerek bir dizi mevcut yönetim sistemi standardına iki yeni metin ifadesinin eklenmesine ve geliştirilmekte/revize edilmekte olan tüm yeni standartlara da dahil edilmesine karar verdi.

ISO XXXXX/AMD1:2024 Standartları 23.02.2024 tarihinde yayınlandı.


]]>Fri, 01 Mar 2024 10:00:00 +0300<![CDATA[ISO 27001:2022 GEÇİŞ PLANI]]>https://www.denetik.com/blogs/post/iso-27001-2022-gecis-planiISO 27001:2022 GEÇİŞ PLANI]]>

ISO 27001:2022 Bilgi Güvenliği yönetim sistemi Geçiş Duyurusu

 

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı revize edilerek 25 Ekim 2022‘de yayımlanmıştır.

Geçiş için verilen 3 yıllık süre, 31.10.2025 tarihinde dolacaktır. Bu tarihten sonra ISO/IEC 27001:2013 belgelerinin bir geçerliliği kalmayacak ve süreç ilk belgelendirme başvurusu olarak sıfırdan başlatılacaktır.

ISO 27001:2022 Geçiş Planı

İlk Kez Belge Almak İçin Başvuran Kuruluşlar

01.11.2023 tarihi itibariyle ilk belgelendirme denetimleri ISO/IEC 27001:2022’ye göre yapılmaya başlanacaktır.

ISO/IEC 27001:2013’e göre yapılan ilk belgelendirme başvuruları 31.10.2023 tarihine kadar kabul edilecek olup 01.11.2023 tarihinden itibaren yalnızca ISO/IEC 27001:2022’ye göre yapılan ilk belgelendirme başvuruları kabul edilecektir.

 

Belgeli Kuruluşlar

DENETİK  tarafından ISO/IEC 27001:2013’e göre belgelendirilmiş tüm kuruluşların geçişi, geçişi tamamladığını beyan ettiği tarihi takiben gerçekleştirilecek gözetim/yeniden belgelendirme denetimleri ile yapılacaktır. Geçişin gözetim denetimi esnasında yapılması durumunda, gözetim denetiminin süresine 1 gün; yeniden belgelendirme denetimi ile yapılacak olması durumunda ise 0,5 gün; ilave edilerek denetim gerçekleştirilecektir .Kuruluşunuzun, planlı denetimlere ek bir geçiş denetimi talep etmesi durumunda minimum 1 gün süreyle gerçekleştirilecektir.

01.11.2023 tarihinden itibaren ilk belgelendirme ve yeniden belgelendirme denetimleri yalnızca ISO/IEC 27001:2022’ye göre yapılacaktır.

Değişikliklere Uyum İçin Öneriler

·  Yeni Standart şartlarını karşılamak üzere farklılıkların belirlenmesi

·   Uygulama planının geliştirilmesi

·   Organizasyonu etkileyen ilgili kişilere uygun eğitimin verilmesi ve farkındalık sağlanması

·  Mevcut dokümantasyonun, ISO/IEC 27001:2022 standardı ile gelen değişiklikler doğrultusunda güncellenmesi

·  Uygulanabilirlik beyanının (SoA) güncellenmesi

·  Varsa Risk Tedavi Planının Güncellenmesi

·  Geçiş ile ilgili olarak DENETİK ile bağlantıya geçilmesi


ISO 27001:2022  Geçiş Klavuzu yayındanır.


]]>Fri, 01 Mar 2024 10:00:00 +0300<![CDATA[SÜRDÜRÜLEBİLİRLİK]]>https://www.denetik.com/blogs/post/surdurulebilirlikSÜRDÜRÜLEBİLİRLİK]]>


Sürdürülebilirlik, günümüz iş dünyasının ayrılmaz bir parçasıdır. Çevresel, sosyal ve ekonomik dengenin sağlanması, firmaların uzun vadeli başarısı ve topluma olan katkısının anahtarıdır.

Denetik Belgelendirme, sürdürülebilirlik ilke ve uygulamalarını şekillendirerek, hem kendi faaliyetlerinde hem de hizmet verdiği müşterilerde bu değerlerin yayılmasını amaçlar.


Sürdürülebilirlikte ISO Standartlarının Önemi


ISO 14001 Uygulamalarımız; İşletmelerin çevresel etkilerini daha etkin bir şekilde yönetmeleri ve iyileştirmeleri amacıyla tasarlanmış uluslararası bir standarttır. ISO 14001, çevre yönetim politikalarının geliştirilmesi, çevresel risklerin tespit edilmesi, hedeflerin netleştirilmesi ve sürekli iyileştirme yaklaşımlarının uygulanmasını kapsar. İşletmelerin doğal kaynak kullanımını optimize etmelerine ve çevresel zararı en aza indirmelerine yardımcı olur, böylece çevresel sürdürülebilirlik hedeflerine ulaşmalarını destekler.


ISO 50001 Uygulamalarımız; Enerji Yönetim Sistemleri, İşletmelerin enerji performanslarını optimize etmeleri için geliştirilmiş uluslararası bir standarttır. ISO 50001, enerji yönetim politikalarının oluşturulmasından enerji tüketiminin izlenmesine, enerji verimliliğini artıracak stratejilerin belirlenmesinden tasarruf projelerinin hayata geçirilmesine kadar geniş bir süreç yelpazesini kapsar. İşletmelerin enerji maliyetlerini azaltırken aynı zamanda sürdürülebilirlik hedeflerine ulaşmalarına ve çevresel etkilerini minimize etmelerine katkı sağlar.


ISO 45001 Uygulamalarımız; ISO 45001, iş sağlığı ve güvenliği yönetim sistemleri alanında dünya genelinde kabul gören bir standart olup, işletmelerin sürdürülebilirlik hedeflerine ulaşmalarında kritik bir rol oynar. Bu standart, iş kazalarını ve meslek hastalıklarını önlemek için gerekli politika ve süreçlerin hayata geçirilmesini sağlayarak, güvenli ve sağlıklı bir çalışma ortamı oluşturur. ISO 45001, çalışanların sağlığını ve güvenliğini ön planda tutarken, işletmelere sürdürülebilir iş operasyonları gerçekleştirme fırsatı sunar. Böylece işletmeler, hem iş gücü verimliliğini artırır hem de uzun vadeli sürdürülebilir kalkınmaya katkıda bulunur.


ISO 26000 Uygulamalarımız; İşletmelerin sosyal sorumluluklarını daha etkin bir şekilde yerine getirmelerine yardımcı olan kapsamlı bir rehberdir. ISO 26000, iş etiği, insan haklarına saygı, çalışma koşullarının iyileştirilmesi, çevresel sürdürülebilirlik, toplumsal gelişim ve şeffaflık gibi temel unsurları ele alır. İşletmelere sürdürülebilir kalkınma hedeflerine ulaşma ve toplumsal sorumluluklarını yerine getirme konusunda stratejik bir çerçeve sunarak, kurumsal itibarı ve paydaş güvenini artırmalarına olanak tanır.

 

ISO 37001 Uygulamalarımız; Yolsuzlukla mücadele amacıyla oluşturulmuş uluslararası bir yönetim sistemi standardıdır. ISO 37001 işletmelerin yolsuzluk risklerini tanımlamalarına, önleyici tedbirler geliştirmelerine ve yolsuzluğa karşı etkili kontroller içeren bir yönetim sistemi kurmalarına olanak tanır. İş etiği ve dürüstlük ilkelerine dayalı bir yönetim yapısı oluşturarak, kurumsal sürdürülebilirliğe ve güvenilirliğe katkı sağlar.

 

ISO 37301 Uygulamalarımız; Bir kuruluşun yasal, etik ve sosyal sorumluluklarına uyum sağlama kapasitesini güçlendiren uluslararası bir standarttır. ISO 37301 uyum yönetimi süreçlerinin etkin şekilde hayata geçirilmesine olanak tanıyarak, işletmelerin yasal ve etik risklerini en aza indirir. İş sürekliliği ve kurumsal sürdürülebilirlik açısından hayati bir rol oynar ve şirketlerin güvenilir, sorumlu bir yönetim yaklaşımı benimsemelerini destekler.


ISO 27001 Uygulamalarımız; Bilgi güvenliğini sağlamak amacıyla oluşturulmuş uluslararası bir standarttır. ISO 27001, işletmelerin bilgi varlıklarını koruyarak, bilgi güvenliği risklerini sistematik bir şekilde yönetmelerine yardımcı olur.  Yalnızca bilgi güvenliğini sağlamakla kalmaz, aynı zamanda iş süreçlerinin kesintisiz ve sürdürülebilir bir şekilde devam etmesine de katkıda bulunur, böylece kurumsal risk yönetimi ve operasyonel güvenliği güçlendirir.


ISO 22301 Uygulamalarımız; işletmelerin iş sürekliliğini sağlamak ve olası kesintilere karşı hazırlıklı olmalarını temin etmek için geliştirilmiş uluslararası bir standarttır. Bu standart, iş sürekliliği yönetim politikalarının oluşturulması, risklerin ve iş kesintisi senaryolarının belirlenmesi, acil durum planlarının hazırlanması ve bu süreçlerin sürekli iyileştirilmesini kapsar. ISO 22301, işletmelerin beklenmedik durumlara karşı operasyonlarını korumasını ve kesintilerin etkilerini en aza indirerek faaliyetlerine hızlıca geri dönmelerini sağlar.


ISO 20000-1 Uygulamalarımız;  Bilgi Teknolojisi Hizmet Yönetimi standardı, sürdürülebilirlik hedeflerini destekleyen önemli bir çerçeve sunar. Bu standart, IT hizmetlerinin verimli bir şekilde yönetilmesini sağlayarak kaynakların optimal kullanımını teşvik eder ve çevresel etkilerin azaltılmasına katkıda bulunur. ISO 20000-1, süreçlerin sürekli iyileştirilmesini ve müşteri ihtiyaçlarına uygun hizmet sunumunu garanti altına alırken, aynı zamanda sürdürülebilir IT operasyonları oluşturarak iş sürekliliğini sağlar. Böylece işletmeler, sürdürülebilirlik ilkelerine uygun olarak IT hizmet yönetimini optimize ederken çevresel ve operasyonel sürdürülebilirliği güçlendirir.

]]>Fri, 01 Mar 2024 10:00:00 +0300<![CDATA[FELAKETLERDEN KORUNMAK VE İŞ SÜREKLİLİĞİ İÇİN; ISO 22301 İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ]]>https://www.denetik.com/blogs/post/felaketlerden-korunmak-ve-i̇ş-sürekli̇li̇ği̇-i̇çi̇n-iso-2301-i̇ş-sürekli̇li̇ği̇-yöneti̇m-si̇stemi̇ISO 22301, kuruluşun maruz kalabileceği ve iş yapmasını engelleyecek olaylardan kurtarmak için bir yönetim sistemini planlamak, oluşturmak, iletmek, i ]]>

Felaketlerden Korunmak Ve İş Sürekliliği İçin; ISO 22301 İş Sürekliliği Yönetim Sistemi

ISO 22301, kuruluşun maruz kalabileceği ve iş yapmasını engelleyecek olaylardan kurtarmak için bir yönetim sistemini planlamak, oluşturmak, iletmek, izlemek ve sürekliliğini sağlamak üzere gereksinimleri belirlemek üzere oluşturulmuş bir standarttır.

ISO 22301, kuruluşun boyutu, organizasyonu ve sektörü açısından bağımsız, bütün kuruluşlara uygulanabilir bir yönetim sistemidir. Kuruluşun belirleyeceği kapsam özgündür ve kuruluşun yapısına, çalışma ortamına ve karmaşıklığına bağlıdır.

Niçin ISO 22301 İş Sürekliliği Yönetim sistemini uygulanır?

Her kuruluş farklı sebeplerle iş sürekliliğini uygulamak isteyebilir. Başarılı uygulamalarda kuruluş, fayda sağlayacağını bilir ve buna uygun kararlılık gösterir.
• İş sürekliliğine yönelik metriklere dayalı başarımın gözlemlenmesi,
• İş sürekliliği konusundaki gerekliliklerin belirlenmesi,
• Uygun iş planlarının hazırlanarak, tehditlere yönelik hazırlıkların yapılabilmesi
• İş sürekliliğini sağlamak için, gerçekçi ve uygun kaynak kullanımının sağlanması

ISO 22301 İş Sürekliliği Yönetim Sistemi, farklı sektör, ölçek ve karmaşıklıktan kuruluşların başarı ile uygulayabilecekleri bir çerçevedir.

• İş Sürekliliği Yönetim Sistemini planlamayı, oluşturmayı, uygulamayı ve korumayı,
• Kuruluşun belirlediği iş sürekliliği ilkesine uymasını,
• İş sürekliliği yapısını diğer taraflara göstermeyi,
• Akredite bir kuruluş tarafından belgelendirmeyi
• Bu standardın gereklerine uygunluğunu kendi iş ortaklarına beyan etmeyi hedefler.

ISO 22301:2012 Temel Bölümleri

ISO 22301’in standart maddeleri, ISO Guide 83 rehberine göre düzenlenmiştir. Söz konusu bölümler;
Madde 4: Organizasyon
Madde 5: Liderlik
Madde 6: Planlama
Madde 7: Destek
Madde 8: Uygulama
Madde 9: Performans değerlendirme
Madde 10: İyileştirme

Madde 4: Organizasyon

Kuruluşun İş Sürekliliği amacını başarabilmesi için faaliyet göstermesi ile ilişkili iç ve dış unsurları değerlendirmek gerekmektedir.

Organizasyonun etkinlikleri, işlevi, hizmetleri, ürünleri, işbirliği yaptığı kuruluşlar, tedarik zincirleri, ilişkilerine yönelik yıkıcı olayların gizil etkisi, İş sürekliliği politikası ile genel risk yönetim stratejileri de dahil olmak üzere şirketin amaç, hedefleri ve diğer konulardaki politikaları arasındaki bağlantı, kuruluşun risklere karşı açık olma derecesi. Sektör veya yapı kaynaklı eksiklikler.

İlgili tarafların beklenti ve gereksinimleri, Kuruluşun uygulaması zorunlu olduğu yasalar, mevzuat ve diğer gereklilikleri, İş sürekliliği kapsamının belirlenmesinde, kuruluşun stratejik hedefleri, ana ürünleri ve hizmetleri, risk toleransı, yasal ve kontrata bağlı yaptırımları bu bölümde değerlendirilmelidir.

Madde 5: Liderlik

Üst yönetim, İş Sürekliliği Yönetim Sistemi gereklerinin yerine getirilmesi konusunda sürekli desteğini ve taahhüdünü göstermelidir. Yönetim kuruluşun hedeflerini ve amaçlarını yerine getirmek için kuruluş kaynakların kullanımını sağlamalıdır.

Üst yönetimin sorumlulukları;
• İSYS’nin, kuruluşun stratejik hedefleri ile uyumlu olmasını sağlamak,
• İSYS gerekliliklerini kuruluşun iş süreçleri ile bütünleştirmek,
• İSYS için gerekli kaynakları sağlamak,
• İş Sürekliliği yönetiminin etkin olmasının önemini ilgili taraflara iletmek,
• İSYS’nin başarımlarının, beklenen sonuçları karşılaması
• Sürekli gelişimi yönlendirmesi ve desteklemesi,
• İş sürekliliği politikasının oluşturulması ve iletilmesi,
• İSYS planlarının oluşturulması
• Gerekli sorumlulukların belirlenmesi ve yetkilendirmenin yapılması,

Madde 6: Planlama

Bu madde, başarılı bir iş sürekliliği yapısının kuruluşta uygulanabilmesi için yapılacak planlamada nelerin bulunması gerektiğini açıklar. İSYS’nin hedef, tanımlanan risklerin kuruluş tarafından karşılanmasıdır. İş sürekliliği hedeflerinin karşılaması zorunlu olduğu konular;

• İş sürekliliği politikası ile tutarlı olması,
• Organizasyonun hedeflerine ulaşmak için gerekli ürün ve hizmetleri asgari seviyeye çekmesi,
• Ölçülebilirlik,
• Kuruluşun geçerli olan gereksinimlerini dikkate alması,
• Uygun şekilde izlenmesi ve güncellenmesi,

Madde 7: Destek

Etkili bir iş sürekliliği yönetimi, gerekli kaynakların sürekli ve her uygulama aşamasında sağlanması ile başarılır. Bu kaynakların içinde, eğitim almış yeterliliğe sahip çalışanların bulunması, farkındalığın sağlanması ve iletişim ortamının oluşturulması bulunmaktadır.
Bu destek, doğru yönetilen dokümantasyon sistemi ile desteklenmelidir.
Örgütün iç ve dış iki iletişim biçimi, iletişimin içeriği, zamanlaması da dahil olmak üzere, bu bölümde ele alınmalıdır.
Dokümantasyonun oluşturulması, güncellenmesi ve kontrolü gereklilikleri bu bölümde belirtilmiştir.

İş Etki Analizi (Business Impact Analysis (BIA)): İş etki analizi, kuruluşun kritik süreçlerinin kabul edilebilir en düşük seviyede işletilmesi için önem taşıyan anahtar ürün ve hizmetlerin bağımlılığını belirlenmesini hedefler.

Risk denetimi: ISO 22301 standardı, bu sürecin işletilmesi için ISO 31000 Risk Yönetimi Standardını referans olarak alır. Bu gerekliliğin hedefi, risk denetim sürecini kurmak, uygulamak ve korumak için dokümante edilmiş tanımlamaları, analizleri ve kuruluşta olan risk oluşturan unsurların değerlendirilmesini hedefler.

İş Sürekliliği Stratejisi: İş etki analizi ve risk denetiminin sonuçları doğrultusunda elde edilen sonuçlar ışığında, kuruluşun kritik süreçlerine yönelik tehditleri önlemek için stratejiler geliştirilmelidir. Tecrübeler ve en iyi uygulamalar, kuruluşun iş sürekliliğini sağlayacak uygun göstergeleri olan stratejilerin oluşturulmasına yardımcı olabilir. İş sürekliliği stratejisi, bir kurumun kurumsal stratejinin ayrılmaz bir parçası olmalıdır.

İş Sürekliliği Prosedürü: Kuruluş, iş sürekliliğine zarar verebilecek olaylara karşı iş sürekliliğini sağlayacak yöntemleri dokümante etmelidir. Bu yöntemler;

• Uygun iç iletişim kurallarını belirlemeyi,
• Bir kesinti anında yapılacak uygulama adımlarını,
• Beklenmeyen tehditler karşısında değişen iç ve dış koşullara karşı esnek bir yapıya sahip olmayı
• Potansiyel bozucu uygulamaların etkisine odaklanmayı,
• Bağımsız olarak belirlenmiş varsayım ve analizlerin geliştirilmesini,
• Uygun azaltma faaliyetleri ile risk seviyelerinin düşürülmesini içermelidir.

Sınama ve Test: İş sürekliliği prosedürlerinin, iş sürekliliği hedefleri ile tutarlı olduğundan emin olmak için, kuruluş, düzenli olarak bu prosedürleri test etmelidir. Sınama ve testler, iş sürekliliği planları ile geçerliliği sorgulanmalı, seçilen stratejiler doğrultusunda istenen zaman dilimlerinde elde edilen sonuçların yeterliliği yönetim tarafından kabul edilen seviyede olması sağlanmalıdır.

Madde 9: Performans değerlendirme

İş Sürekliliği Yönetim sistemi oluşturulduktan sonra, sistem, geliştirilmesi amacı ile belirli zaman aralıkları ile gözlemlenmelidir. Gözlemlenmesi beklenen konular;
• İş sürekliliği kapsamı, politikası ve hedeflerinin karşılanması,
• Süreçlerin, yöntemlerin ve işlevlerin eylemlerinin başarımının ölçülmesi,
• ISO 22301 standardı ve iş sürekliliği hedeflerine uygunluğun izlenmesi,
• Planlanmış aralıklarla iç denetimler yaparak eksik İSYS başarımının izlenmesi,
• Planlanmış aralıklarla, yönetim sisteminin gözden geçirme faaliyetinin gerçekleştirilmesi

Madde 10: İyileştirme

Sürekli iyileştirme, kurum ve paydaşların faydasını arttırmak için kuruluştaki iş sürekliliğine yönelik süreçlerde güvenliğin ve verimliliğin arttırılması için yapılan faaliyetleridir.
Kuruluş, iş sürekliliği politikası, hedefleri, denetim sonuçları, gözlemlenen olayların analizi, göstergelerin geliştirilmesi, düzeltici ve önleyici faaliyetler ve yönetimin gözden geçirme etkinliği ile yönetim sisteminin etkinliğini arttırabilir.ik.com
]]>Fri, 01 Dec 2023 17:49:18 +0300<![CDATA[AKILLI ŞEHİRLERDE TOPLUMSAL YAŞAM VE BİLGİ YÖNETİM SİSTEMLERİ]]>https://www.denetik.com/blogs/post/akilli-şehi̇rlerde-toplumsal-yaşam-ve-bi̇lgi̇-yöneti̇m-si̇stemleri̇Bireysel gereklilikten toplumsal mecburiyete bilgi yönetimi Bilişimin insan ve şehir hayatında etkisi gittikçe artıyor. Kısa süre öncesine kadar iletiş ]]>

Akıllı Şehirlerde Toplumsal Yaşam ve Bilgi Yönetim Sistemleri

Bireysel gereklilikten toplumsal mecburiyete bilgi yönetimi

Bilişimin insan ve şehir hayatında etkisi gittikçe artıyor. Kısa süre öncesine kadar iletişim ve bilişim olanakları olmamasına karşılık devam eden yaşantımız, artık, bilişim bağımlısı bir duruma dönüştü. İnternet bağlantısının kesilmesi, bir kuruluşun tüm ticaretinin durmasına, bir baz istasyonun çökmesi, bölgesel bir çok sıkıntının yaşanmasına sebep olabilmektedir. Birey düzeyinde başlayan bilişim macerası, kitlelerin yaygın kullanımı, teknolojik çeşitlenme ve Pazar talebi ile toplumsal bir devrime dönüşmüştür. İhtiyaç yapısı, çalışma modelleri, pazarı yönlendirici sektörler tamamen değişmiştir.

Değişimin anahtarları; 

• Postmodern yaşam tarzı,
• Küresel tekil kültür baskısı,
• Alım gücünün artışı,
• Teknolojik çözümlerin artışı,
• İletişim çözümlerindeki çeşitlenme,
• İş süreçlerindeki etkinliği arttıracak teknolojik çözümler,
• Mobil uygulamaların yaygınlaşması

Toplumsal kabuller E-devlet uygulamaları, mobil iş çözümleri ve kişisel iletişim isteği. İnsanlar, bireysel düzeyde herkesle, bilgi kaynakları ile çözüm odakları ile iletişim içinde olmak istiyorlar. Elde ettikleri verilerin çözümü için uygulamalar geliştiriyor ve kullanıyorlar. En küçük işletmeden, uluslararası kuruluşlara kadar, teknolojik bağımlılıktan kurtulma şansı kalmamıştır. Bir balıkçının balık sürülerini, miktar ve ölçülerine kadar bilmesi, bir doktorun teşhis yeteneklerinin kullandığı cihazlara bağımlı olması, çok daha korkunç bir gerçeği ortaya koymaktadır. Bu teknolojiye sahip olmayan toplumlarının varlıklarını sürdürmede, sahip olanlara bağımlılığı kaçınılmazdır.

Bireysel gelişimin artması, toplumsal bir yaşam tarzına dönüşmekte, bu ise, çözümlerin, toplumun gereksinimlerine uygun olarak sunulmasını sağlamaktadır. Bir belediye, hizmetin sanal ortam üzerinden vermesi, hizmet kalitesinin artması ve finansal kazancı ortaya çıkarmaktadır. Beraberinde, yetkin personel, altyapı oluşturulması, yaygın ve etkin hizmet sağlayıcılar ve sürdürülebilirliğe yönelik tedbirlerin oluşturulması gerekmektedir. Hizmet alan ve veren tarafların ortak kazancı olan bu ortamdan artık geri dönüş görülmemektedir. Artık toplum olarak, sanal ortamda kazanacak, sanal ortamda biriktirecek, sanal ortamda harcayacak, hatta sanal ortamda yaşayacağız.

Teknolojik bağımlılıkta ihtiyaç ağı

Teknolojik bağımlılık, bireysel iş yapma veya bireysel eğlence aracı olmaktan uyum gerektiren, bir ağ üyeliğine geçmiştir. Sosyal paylaşımlar ve kurumsal kaynak planlama yazılımları tek başına çalıştırılmak ve kullanılmak üzere tasarlanmamıştır. Bu ağlardan birine özel veya iş amaçlı üye olmanız durumunda, üyeliğiniz, diğer tarafların (üyelerin, ağ yöneticilerinin ve hizmet sağlayıcıların) katılımı, uyumu ve sürdürmesi ile anlamlıdır. Söz konusu olgu, bir yönetiminin varlığını zorunlu kılmaktadır. Bir sistem, yöneticisi, bunu kuran ve işleten kuruluşlar. Meteoroloji, afet yönetimi, telekomünikasyon, bankacılık, sigorta sektörü, sağlık bakanlığı, enerji sektörü, regülasyon kurumları, borsalar… Bu ve sayısını arttırabileceğimiz benzer kuruluşların eş güdüm içinde çalışmaması, bir diğerinin de etkilenmesine sebep olmaktadır.

İnternet erişimindeki aksaklığın finansal akışı bozması, borsa değerinin
etkilenmesi, müşteri kayıpları ve yüklü tazminatlara yol açması buna örnek olarak verilebilir. Etki alanı içinde veya ilişkisindeki tüm kuruluşlar bu risklerden etkilenmektedir. Yeni sistem içinde devlet ve özel sektör karşıt veya birbirine alternatif tarafları oluşturmamaktadır. Birbirini bütünleyen, her hangi biri, herhangi diğerini çeken veya iten bir ilişkileri vardır. Geçmişte, tüm hizmet zincirini kendi bünyesinde tamamlayan devlet kurumları, günümüzde hizmet sağlayıcıları olmadığı takdirde bu işlevi sağlamaları ve geliştirmeleri imkânı kalmamıştır.

Teknolojik gelişim ve yasal gereklilikler

Yasa yapıcı, günümüzde, teknolojik altyapı olmaksızın yasaları uygulayıcı haline dönüşemeyecektir. Bu ilerleme, henüz yeterli etkileşime sahip olmamakla birlikte bütünleşik bir modele dönüşmesi kaçınılmazdır. Yasal kurallar, gerçek istenen hedefin, güvenli sürüş gerçekleşmesi için oluşturulmuştur. Buna karşılık uygulama, koşulları ve kuralları sabit olarak gördüğümüzde birbiri ile çelişen gerçekleri de göz önüne sermektedir. Örnek vermek gerekirse; Bir sürücü tarafından aracın kullanımı için teknik ve yasal kurallar vardır. Hız limitleri, alkollü araç kullanımı, yük taşıma sınırları, bakım ve aracın sağlıklı olması, sürücünün uyku durumu gibi tanımlı sınırlar, aslında kişi, koşullar ve çevresel faktörlerin etkisi değiştikçe değişmeli, bu değişim yasal düzenlemelerle uyum olmalı, düzenlemenin kabul etmediği sınırlara geçilmesi durumunda ilgili yaptırımlar devreye girmeli hatta sınırın geçilmesine teknoloji müsaade etmemelidir. Göz önüne alınabilecek etkenlerin bazıları aşağıdadır;

• Sürücü koltuğuna oturan kişinin mental özellikleri (belirli miktar alkol almış olması, yorgunluğu),
• Sürücünün önceki sürüşlerdeki başarımı (geçmişteki kaza oranı, karar verme hızı, tecrübesi gibi),
• Yol alınacak güzergâhın hava durumu (yağış, görüş ve durma mesafesindeki değişimler gibi),
• Yol durumu (yolun malzemesi, onarım durumu, buzlanma durumu),
• Aracın bakım durumu (periyodik bakımlarının yapılma durumu, tekerleklerin yıpranma durumu, hatta o hava durumuna uygun olup olmadığı gibi),

Aracın markası, teknik özellikleri ve yeterlilikleri Bu değişkenlerin yasal sınırlamalarla çapraz ilişkisi kurulabilmelidir. Kullanıcı, değişen koşullar doğrultusunda değişen yetkilere sahip olmalıdır. Dinçlik durumuna, aracın yeteneklerine ve hava koşullarına göre artan ve azalan sınırlar arasında sürüş sağlanabilmelidir. Hız limit değeri, mevcut durumda, sürücünün yorgun, araç bakımının yapılmamış, yolun kayganlığı fazla, yük durumunun fazla ve taşınan malzemenin tehlikeli olduğu durum ile tersi durumlar arasında fark etmemektedir. Çünkü yasal gereklilikler, sınırlamalar ile diğer toplumsal gerçekler arasında (yeterli) bir bağ henüz kurulmamıştır. Gelecek, yasal düzenlemelerin daha esnek, daha kullanışlı ve daha insan güvenliğini arttırıcı şekilde bir etkileşim içerisinde uygulanmasını imkân sağlayacaktır.

Sistem gereksinimi

Teknolojik gelişimin toplum üzerindeki faydaları yönetilebilir olduğu sürece fayda üretecektir. Kontrolden çıkmış açıkların oluştuğu yapı bedeli çok yüksek sonuçlara yol açacaktır. Tabii bir afet, bir güvenlik açığı, bir arıza, bir kapasite sorunu sistemin çökmesine yol açacaktır.

Aynı şekilde yanlış teknolojik yatırımlar veya birbirine eklemlenmesi hedeflenen parçaların birbirini bütünlememesi, yeni teknolojik çöplüklerin doğmasına ve yüksek maliyetlerin topluma ödetilmesi anlamını taşımaktadır. Bir şehrin sinyalizasyon sistemi konusundaki yatırım düşüncesi; uygun bir hedef, doğru politikaların belirlenmesi, yapım ve işletim maliyetlerinin belirlenmesi, projenin fazlandırılması ve birlikte çalışacağı diğer sistemlerle uyumu belirlendikten sonra olgunlaştırılabilir. Bu süreç, yeni, alışılmamış ve dev organizasyonların çıkmasına, regülasyonların hazırlanmasına, yeni pazarlarda, yeni rekabet koşullarının oluşturulmasını zorunlu kılacaktır. İnsan yetenekleri ve yönetim modelleri başarının anahtarı olacaktır. Bilinen modeller gelişecek, sürekli gelişim, verimlilik, yenilikçilik ve sürdürülebilirlik yeni yapının vazgeçilmez temel değerleri olacaktır.

Şehirler ve sistemler

Şehirler, fiziksel özellikler, gelişmişlikleri, alt yapısı ve mimari özelliklerinin yanısıra, yönetim modelleri ve uygulama başarıları ile de farklılaşacak. Dev yönetim modelleri, sürdürülebilir bir çalışma modeli yaşatması gereklidir. Örneğin; olası bir deprem ile İGDAŞ’ın İstanbul’daki doğalgaz şebekesini yönetmesi, açması, kapatması, boşaltması, yeniden açması ve riskli olanları tespit etmesi, söz konusu hizmeti çok kısa bir sürede vermesi ciddi bir yönetim modelini gerektirmektedir. Bu yönetim modeli, vatandaşın güvenliğinden hizmet bütünlüğüne birçok toplumsal gerekliliğin güvence altına alınmasını sağlamalıdır. Yeraltı sularının miktarı ve bu suların kirlenme oranının izlenmesi, yasal ve tıbbi gerekler doğrultusunda gerekli müdahalelerin yapılması birçok disiplinin birlikte uygulanmasını gerektirmektedir. Ölçme sistemi, sağlık gerekleri, doğal hayatın kirlenmesi, teknolojik değerlendirme birimleri ve kontrol yapısının oluşturulması gibi, her biri teknik, sosyal ve yasal bilgi birikimi gerektiren disiplinler buna örnek olarak gösterilebilir. Modern şehirlerin yönetim sistemleri, bir yönetim modelinin veya birkaç yönetim modelinin birlikte uygulandığı bir sistem olması söz konusu olamaz. Mevcut yönetim sistemleri tam veya kısmi kullanılabilecek bir girdi oluşturabilirler, buna karşılık uygulama, şehrin gereklilikleri ve hedefleriyle doğrudan ilişkilidir. ISO 9001 Kalite Yönetim Sistemi, ISO 14001 Çevre Yönetim Sistemi, OHSAS 18001 İş Güvenliği Yönetim Sistemi gibi alışılmış yönetim sistemi yaklaşımlarının yanına günümüzdeki ihtiyaçlar doğrultusunda yenileri eklenmiştir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi, ISO 20000 Bilgi Teknolojileri Yönetim Sistemi, ISO 22301 İş Sürekliliği Yönetim Sistemi, ISO 26000 Sosyal Sorumluluk Yönetim Sistemi, ISO 31000 Risk Yönetim Sistemi standardı gibi birçok yaklaşımın kullanımına başlanılmıştır. Akıllı şehirlerin tüm yönetim sistemlerini uygulaması, başarıyı sağlamayacaktır. Başarım, gerçek ihtiyaçların gerektirdiği model veya modelleri tam veya uykun disiplinin kısmi uygulanması ile gerçekleşebilecektir.

Bütünleşik Modellere Doğru

Şehirler, işletmelerin karmaşıklık dereceleri arttıkça tercih ettikleri gibi, standart ve hazır modellerden daha çok, kendi önceliklerine uygun bütünleşik bir modeli hayata geçirmeyi tercih etmektedirler. Bunun uygulama şekli ve derinliği, ihtiyaçlar, kaynaklar ve kabiliyetlerle ilişkilidir. Birçok kuruluş, GRC (Governance, Risk Management, Compliance – Yönetişim, Risk yönetimi, Uyum) tarzı bütünleştirmeye açık sistemleri kullanabilmektedir. Hâlihazırda kullanılan modellerin, yönetim yapıları, risk yönetimleri ve yasal gereksinimleri belirli hassasiyetler göz önüne alınarak bir araya getirilmekte, ortak yönetim, risklerin ortak yapı içinde izlenmesi, değerlendirilmesi ve yönetilmesi ve yasal gerekliliklerin ortak takibi ve yerine getirilmesi sağlanmaktadır. Bu yaklaşım, başarımın artmasına, yönetsel maliyetlerin düşmesine yol açmaktadır.                 

Örneğin; tabii bir afet, can güvenliğinin yanı sıra, çevresel riskleri, bilgi güvenliğini, iş sürekliliğini ve hizmetlerin yerine getirilmemesine yol açabilmektedir. Birbiri ile alakasız gibi görünen bu konuların gerçekte bir sorunun çoklanmış paydaşlarıdır. Oluşumu sonrasında ne kadar erken ve etkin çözüm oluşturulursa, kayıplar o denli az olacaktır.

Akıllı şehirlerin, yönetimleri, bu sebeple, etkin bir strateji yönetimi yapmalı, riskler doğrultusunda, gerekli yönetim modellerinden ilgili disiplinleri çalışma programlarına dahil etmelidirler. Akıllı şehirleri yönetecek kadrolar, bu gereksinimden dolayı daha çok, teknik yeterliliğe sahip olan kişiler olacaktır.

Bütünleşik modellerin riskleri

Çok sayıda faydasının yanı sıra bütünleşik modeller, beraberlerinde bazı riskleri de getirmektedir. Bu risklerin başında, veri ve bilgi bütünlüğünün, doğruluğunun sağlanması, veri elde etme, işleme ve kontrol etme işlemlerinin güvence altına alınmasıdır. Bazı durumlarda güvence altına alınması tek bir kişi veya birim düzeyinde yetkilendirmeden vazgeçip, bu işlemlerin ayrı kişi veya birimler tarafından yapılmasını sağlamaktır. Bir terör saldırısında, tek nokta hedef haline gelmekte, örneğin metro işletmesinin, su dağıtımının, şehir aydınlatmasının yönetilmesi bu kapsamda değerlendirilebilir. Yönetsel sürekliliğin olmaması veya tehdit altında olması sürdürülebilir bir yapı oluşmasını engellemektedir. Belediye seçimlerinin yönetimi değiştirmesi, kamu yetkililerinin tayini veya tedarikçi değişimleri, iyi kurgulanmayan bir yapıda kesintiye, iptale yol açabilmektedir. Bir diğer tehdit sürekli değişiklik talebidir. İyi hazırlamama veya hedefe odaklanmamadan kaynaklanan bu sorunlar çalışanların yönetim sistemine olan güvenlerini azaltır.

Başarılı uygulamanın anahtarları
Yapının büyümesi, risklerin çeşitlenmesine karşılık geleceğin akıllı şehirlerinin yönetimi, geleceğin akıllı kuruluşların yönetiminden farklı olmayacak. Başarıya ulaşmak, bazı temel prensiplerin sağlıklı hayata geçirilmesi ile sağlanabilecektir;
• Üst yönetimin desteklemediği bir yönetim sisteminin başarılı olma ihtimali yoktur. Üst yönetim, katılımı, kaynak ayırması ve yönetim araçlarını etkin kullanması ile desteğini hissettirmelidir.
• Bilhassa kamu kesiminden kaynaklanabilecek siyasi yaklaşımlar, halkın gerçek ihtiyaçları göz önüne alınarak, kişisel veya bir kesimin önceliklerinin öne çıkmasından kaçınılmalıdır.
• İyi bir proje yönetimi, iyi bir risk çalışması, iyi bir kaynak planlaması yapılmalıdır. Yapılacak çalışmanın kurulum ve işletim kaynakları ve koşulları baştan belirlenmelidir.
• Alternatifler karşılaştırılmalı, sonuca gidecek en faydalı içerik program içine alınmalıdır.
• Yapıyormuş gibi yapmak, sadece yönetim sisteminin başarısızlığına yol açmaz. Daha sonra yönetim tarafından gelecek öneri ve uygulamalara olan güveni de sarsar. Kesinlikle “yapıyormuş gibi yapma” yaklaşımından kaçınılmalıdır.
• Farkındalılığın tüm çalışanlarda oluşması sağlanmalıdır. Farkındalılığın oluşması, sadece bir anlatım ile sağlanamaz. Yönetim ve proje gurubu, farkındalılığın organizasyonda oluşturulması sürecini tasarlamalı, uygulamalı, ölçmeli ve geliştirmelidir.
• Büyük organizasyonlardaki büyük projeler, bazen üst yönetimin bazen de çalışanların sabrını tüketecek deneme yanılmaları gerektirebilir. Bu sebeple, kaynakların ve moral değerlerinin verimli kullanılabilmesi için, bir pilot proje yapmak, oluşturulan modelin yaygınlaştırılması, çoğu zaman başarılı sonuçlara yol açmaktadır.
Bu anahtar yaklaşımlar arttırılabilir. Fakat her sorunun çözümü içinde barındırmasında olduğu gibi, durum, koşullar ve kaynaklar göz önüne alınarak farklılıklar belirginleştirilmeli, öncelikler belirlenmelidir.

Sonuç

Gelecek, dünden çok daha hızlı bir değişime açıktır. Bu değişim, teknolojinin insan ve toplum üzerindeki etkisini arttıracak, şehirler kapalı devre bir oyun sistemine benzeyecektir. İhtiyaçları planlanabilen, riskleri değerlendirilebilen, kaynakların daha etkin kullanıldığı bu şehirlerde, yönetim sistemleri de farklılaşacaktır. Daha açık, daha teknik olacak yapının teknolojik bir felakete dönüşmemesi için şehre uygun bir yönetim modeli belirlenmeli, uygulanmalı, ölçülmeli ve yönetilmelidir.

Kaynak
1. Denetik Belgelendirme Piyasa Gelişim Raporu Eylül 2011, www.denetik.com 2. Denetik Belgelendirme Piyasa Gelişim Raporu Şubat 2012, www.denetik.com 3. Denetik Belgelendirme Piyasa Gelişim Raporu Nisan 2012, www.denetik.com
]]>Wed, 22 Nov 2023 10:24:18 +0300<![CDATA[UZAKTAN ÇALIŞMADA SİBER GÜVENLİK AÇISINDAN İLK 5 RİSK NEDİR?]]>https://www.denetik.com/blogs/post/uzaktan-çalişmada-si̇ber-güvenli̇k-açisindan-i̇lk-5-ri̇sk-nedi̇rSon dönemde yeni normal pandemi sürecinde uzaktan çalışma hayat kurtardı. Fakat, uzaktaki çalışanlarınız farkında olmadan şirketinizin verilerini risk ]]>

WHAT ARE THE TOP 5 RISKS FOR CYBER SECURITY IN REMOTE WORKING?

Son dönemde yeni normal pandemi sürecinde uzaktan çalışma hayat kurtardı. Fakat, uzaktaki çalışanlarınız farkında olmadan şirketinizin verilerini riske atıyor olabilir. Evden çalışmak potansiyel olarak veri ihlallerine, kimlik sahtekarlığına ve bir dizi başka olumsuz sonuca yol açabilir. Uzaktan çalışanların kuruluşunuz için siber güvenlik riskleri oluşturabileceği en iyi beş yolu ve risk azaltma ipuçlarını öğrenmek için yazımızı okuyunuz..

İşte 2021 için uzaktan çalışma siber güvenlik risklerinin en önemli ilk 5’i:

  • Kimlik Avı Uygulamaları
  • Zayıf Parolalar
  • Şifrelenmemiş Dosya Paylaşımı
  • Güvensiz Ev Wi-Fi
  • Kişisel Cihazlardan Çalışma

Uzak çalışanlarınız, ağınızın güvenliği için en büyük tehdit olabilir. Çalışanlar, siber güvenliğin en kötü uygulamalarını bilmeden takip ederek, bilgisayar korsanlarına ve siber suçlulara ağınıza ve şirketinizin hassas verilerine erişim izni verebilir. İş operasyonları aniden veya geçici olarak uzaktan çalışmaya geçtiğinde, çalışanların nasıl güvenli bir şekilde çalışmaya devam edecekleri konusunda kafaları karışabilir.

Uzaktan çalışanlara yönelik en büyük siber tehdit, kimlik avı düzenleridir.

Kimlik avı düzenleri, bir kurbanı kişisel oturum açma kimlik bilgilerini veya hassas bilgileri sağlaması için kandırmak için genellikle e-posta üzerinden meşru bir kaynak olarak görünen bir kişi veya kuruluşu içerir.

Kimlik avı e-postaları o kadar karmaşık hale geldi ki, özellikle kimlik avı e-postaları e-posta filtrelerini geçip doğrudan çalışanın ana gelen kutusuna götürdüğünde, çalışanların bunları algılaması giderek zorlaşıyor.

Peki ne yapılabilir?

Çalışanları kimlik avı e-postalarını nasıl tespit edecekleri ve önleyecekleri konusunda eğitmek, kimlik avı e-postalarının şirket veri güvenliğine yönelik oluşturduğu riski büyük ölçüde azaltabilir. Kapsamlı bir siber güvenlik bilinci eğitim programı oluşturmak için, yeni çalışanlar kapıdan içeri girdikleri andan itibaren uygulayın.

Çalışanları ilk günlerinden itibaren kimlik avı ve siber güvenlik en iyi uygulamaları konusunda eğiterek ve haber bültenleri, kimlik avı testleri ve periyodik eğitimlerle eğitime devam ederek, şirket genelinde güçlü bir siber güvenlik işyeri kültürü aşılanacaktır.

Şifreler

Şirketiniz uzak ağınızı korumak için VPN’leri, güvenlik duvarlarını ve diğer siber güvenlik yazılımlarını kullanıyor olsa bile, çalışanlar hesaplarını zayıf parolalarla korurken insan hatası devreye girer. Bilgisayar korsanları, insan hatasından yararlanmanın daha kolay olduğunu bilirler ve daha sonra gelişmiş bir güvenlik yazılımını aşmaya çalışırlar, bu nedenle hassas şirket bilgilerine erişmek için hesap parolalarını kırmaya çalışırlar. Siber suçlular şifreleri kırmak için çeşitli önlemler kullanır. Örneğin, kötü korunan hesaplara kolayca erişmek için kullanılabilecek yaygın olarak kullanılan şifrelerin listelerini derlerler.

Bilgisayar korsanları bazen farklı varyantları deneyerek bir şifreyi sürekli olarak kırmaya çalışmak için tasarlanmış kod yazarlar. Yeterli zamana sahip bir bot, aşırı derecede karmaşık olmadığı sürece muhtemelen bir kişinin şifresini kırabilir.

Tekrarlanan şifreler, bilgisayar korsanlarının istismar ettiği diğer bir yaygın güvensiz uygulamadır. Bilgisayar korsanları bir hesabın parolasını kırdığında, aynı parolayla diğer hesaplara erişmeye çalışırlar. Özellikle kişisel ve ticari hesaplarda şifreleri tekrarlayan çalışanlar, şirket hesaplarının ele geçirilmesi konusunda daha yüksek risk altındadır.

Peki ne yapılabilir?

Parola ilkeleri, kuruluşunuzda kişisel sorumluluk kültürünün gelişmesine yardımcı olabilir. Kişisel bilgilerin kullanılmasına ilişkin parolalar ve yasaklar ve hesap oturum açma işlemleri için yinelenen parolalar, önerilen parola ilkesi maddeleridir. Rastgele bir kelime grubunu bir araya getirerek oluşturulan parolalar, siber güvenlik uzmanlarının paylaştığı en önemli ipuçlarından biridir. Güvenli parolalar 4-12 kelime veya daha fazla herhangi bir yerde olabilir ve daha uzun parolaların kırılması daha zordur.

Örneğin, bir parola “tavukG0ogHawaii” olabilir. Parolaları daha güvenli hale getirmek için noktalama işaretleri, karakter ikameleri ve sayılar eklenebilir.

Sosyal medya çağında doğum günleri ve mezuniyet günleri gibi şifrelerde sıkça kullanılan kişisel bilgiler online olarak kolaylıkla bulunabilmektedir. Örneğin, bir bilgisayar korsanı bir çalışanın Facebook profiline göz atarsa, şifrelerde kullanılan genel bilgileri bulmak için resimleri, gönderileri ve “Hakkımda” bilgilerini kullanabilir.

Çalışanlar parolalarına ortak kişisel bilgileri dahil etme eğiliminde olsalar da, parola politikanızda bunu yapmaktan vazgeçmeleri gerekir.

İster yapışkan notta ister telefonunuzdaki Notlar uygulamasında olsun, bir şifre yazdığınızda, kötü niyetli birinin onu bulması için bir fırsat yaratırsınız.

Parola politikanıza parolaları yazmayı engelleyen bir madde eklemeyi hedefleyin. Çalışanlar, hatırlamak için parolalar yazmak zorunda kalırlarsa, güvenli bir parola saklama programını düşünmelidirler.

Dosya paylaşımı

Şirketler ağlarında depolanan verileri şifrelemeyi düşünürken, bir yerden diğerine aktarılırken verileri şifrelemeyi düşünmeyebilirler. Çalışanlarınız, müşteri hesap bilgilerinden dosyalara ve daha fazlasına kadar günlük olarak o kadar çok hassas bilgi paylaşır ki, şirketiniz bu bilgilerin bir bilgisayar korsanı tarafından ele geçirilmesini önleyemez.

Hassas şirket bilgileri ele geçirilirse kimlik sahtekarlığına, fidye yazılımı saldırılarına, hırsızlığa ve daha fazlasına yol açabilir.

Peki ne yapılabilir?

Hassas veriler, e-posta veya telefon üzerinden gönderildiğinde şifrelenmelidir. E-posta şifreleme söz konusu olduğunda, popüler bir e-posta platformu olan Outlook, düz metin e-postaları şifreli metne dönüştürebilen özelliklere sahiptir, böylece yalnızca anahtara sahip alıcı mesajın şifresini çözebilir.

E-posta verilerini, ekleri ve kişi listelerini korumak için e-posta şifreleme platformlarını da kullanabilirsiniz.

Sesli posta bilgileri doğru iş telefonu sistemi ile şifrelenebilir. Bazı iş telefonu sağlayıcıları, hassas verilerin korunmasını sağlamak için sesli posta verilerini şifreleyebilen ve güvenli bir şekilde e-posta gönderebilen özelliklere sahiptir.

Veriler ayrıca Dropbox ve OneDrive gibi güvenli bir dosya paylaşım platformu kullanılarak şifrelenebilir. Bu platformlar, bilgilerin uçtan uca şifrelenmesini sağlar.

Ev Wi-Fi

Şirketler genellikle uzaktaki çalışanlarının iş dizüstü bilgisayarlarını güvence altına almayı düşünürken, çoğu şirket, çalışanlarının evde çalıştığı Wi-Fi ağlarının şirket verilerinin güvenliği için nasıl bir risk oluşturabileceğini düşünmüyor.

Örneğin, birçok kişi akıllı telefonlarını veya antivirüs yazılımlarını güncellemeyi bilirken, ev yönlendirici yazılımlarında yapılan güncellemeler genellikle göz ardı edilir. Akıllı telefonunuz gibi diğer cihazlarda güncellemeler tamamlanmadığında olduğu gibi, güncellenmeyen yönlendiricilerde güvenlik açıkları yamalanmaz, bu da zaman içinde veri ihlali risklerine yol açabilir.

Ek olarak, şirketlerin ofislerinde ağ trafiğini izlemek ve kötü amaçlı etkinlikleri engellemek için genellikle güvenlik duvarları varken, birçok kişinin evlerinin ağını koruyacak bir güvenlik duvarı yoktur. Bazı yönlendiriciler hibrit yönlendirici güvenlik duvarları olsa da, bu güvenlik duvarları o kadar güvenli değildir ve bu da uzaktaki çalışanlar için potansiyel ağ güvenlik açıklarına yol açabilir.

Peki ne yapılabilir?

Güncellemeler mevcut olduğunda yönlendiricinizin yazılımını periyodik olarak güncellemek, bir bilgisayar korsanının bunları kullanabilmesi için mevcut tüm güvenlik açıklarının hızla düzeltilmesini sağlar. Ek olarak, yönlendiricinizin etkinleştirilebilecek herhangi bir şifreleme özelliği olup olmadığını kontrol edin.

Şirketinizin bütçesi varsa ve çalışanlar bir süre uzaktan çalışacaksa, her çalışana veya en azından çok sayıda hassas veriyle çalışanlara evlerinin Wi-Fi’ını daha iyi korumak için bir güvenlik duvarı sağlamayı düşünün.

Kişisel Cihazlardan Çalışma

Çalışanlar uzaktan çalışırken, genellikle tüm ofislerini paketlemiyorlar ve yazıcılar ve masa telefonları gibi ev teknolojilerini getirmiyorlar. Bu, işlerini uzaktan yürütmek için kişisel akıllı telefonlarını ve ev yazıcılarını kullanmaya başvurabilecekleri anlamına gelir.

Kişisel cihazlardan çalışmak çalışanlara özgürlük ve esneklik duygusu verebilirken, bu cihazlar siber güvenlik riskleri oluşturabilir.

Kişisel akıllı telefonlar söz konusu olduğunda, çoğu insan, özellikle de sesli mesajlar kadar sıradan veriler söz konusu olduğunda, onları şifrelemeyi düşünmez. Bununla birlikte, kişisel bir cep telefonunda çalışma yapıldığında, örneğin telefon görüşmeleri ve iş hesaplarında oturum açma gibi, bu verilere telefon şifrelenmediği sürece bilgisayar korsanları tarafından potansiyel olarak erişilebilir.

Yazıcılar, görünüşte bir kişinin günlük yaşamını iyileştirebilecekken, bilgisayar korsanlarının üzerinde depolanan verilere erişmek için yararlanabilecekleri güvenlik açıklarına sahip olabilen birden fazla özelliğe sahiptir. Uzaktan çalışanlar kişisel ev yazıcılarından iş belgelerini yazdırdığında, bu potansiyel bir güvenlik sorunu oluşturabilir.

Birçok işletme çalışanlara iş bilgisayarları sağlarken, bazıları uzaktaki çalışanların kişisel bilgisayarlardan çalışmasına izin verir. Bu ilkeler tipik olarak iş operasyonlarını daha esnek hale getirerek işyeri kültürünü iyileştirme çabasıyla yapılsa da, bu ilkeler şirket verilerini risk altında bırakabilir çünkü kişisel bilgisayarlar tipik olarak iş bilgisayarları kadar güvenli değildir.

Peki ne yapılabilir?

Telefonlar Nasıl Güvenli Hale Getirilir

Çalışanlarınız kişisel telefonlarda iş yapıyorlarsa, telefonlarını şifrelemedikleri sürece bundan kaçınmalarını isteyin. Veriler, telefonda sıkı bir şifreyi etkinleştirmek gibi basit eylemlerle kolayca korunabilir, ancak ek önlemler de alınabilir. Android telefonlarda, güvenlik ayarlarında bir şifreleme özelliği etkinleştirilebilir. İPhone’larda, belirli sayıda başarısız erişim denemesinden sonra telefonu otomatik olarak silen bir ayarı etkinleştirebilirsiniz.

Yazıcılar Nasıl Güvenli Hale Getirilir

Ev yazıcıları, çalışanlarınızın uzaktan çalışırken kapatmalarını önermeniz gereken bir dizi güvenli olmayan özelliğe sahiptir. Örneğin, “her yerden yazdır” özellikleri, ofisten uzakta olsanız bile evde bir belge yazdırmanıza izin verir. Ancak, bu özelliğin çok az güvenliği vardır, çünkü makineyle herhangi bir yerden iletişim kurmanıza izin vermek için güvenlik duvarınızda bir delik açması gerekir. Çalışanlarınıza bu özelliği kapatmalarını tavsiye etmeyi düşünün.

Başka bir güvensiz ev yazıcısı özelliği, yazıcınızdaki sabit sürücüye taradığınızda, dosyalarınızı almak için ağdaki bilgisayarlardan klasörü açmanıza izin veren yaygın bir varsayılan ayardır.

Bu ayar, şirketinizin ağındaki herhangi bir yerden bu cihaza bilgi yazılmasını ve bu cihazdan kaldırılmasını sağlar ve genellikle çok az veya hiç güvenlik olmadan yapılır. Çalışanlara bu özellikle yazıcıları kapatmalarını önerin.

Bilgisayarların Güvenliği Nasıl Sağlanır

Uzaktaki çalışanlarınızın bilgisayarlarının güvenliğini sağlamak söz konusu olduğunda, elbette en güvenli çözüm, her çalışana kişisel bir bilgisayardan çalışmak zorunda kalmaması için bir iş dizüstü bilgisayarı sağlamaktır.

Sanal masaüstlerinde, bir çalışanın kişisel cihazı çalınırsa, veriler fiziksel masaüstü yerine sanal masaüstünde saklandığından hiçbir şirket verisi kaybolmaz.

]]>Tue, 21 Nov 2023 17:43:00 +0300