Yetkilendirilmiş Yükümlü Statüsünde ISO 27001 Gereksinimi
Ticaret Bakanlığı (Eski adıyla Gümrük Bakanlığı) gümrük işlemlerinin kolaylaştırılmasına yönelik çalışmaları yürütmek üzere “Yetkilendirilmiş Yükümlü Statüsü” şartları belirledi. Bu şartları sağlayan işletmelere verilen belge ile yerinde gümrükleme ve transit geçiş kolaylıkları sağlandı.
21/5/2014 tarihli ve 29006 sayılı Resmî Gazete’ de yayımlanan Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliğinin gereksinimlerinden biri de ISO 27001 Bilgi Güvenliği Yönetim Sistemi Sertifikasının alınmasıdır. Bu bağlamda bakanlık belirlenmiş bir kapsam yayınlayarak YYS (Yetkilendirilmiş Yükümlü Statüsü) başvurusu yapacak işletmelerin bu kapsam dahilinde ISO 27001 Sertifikası almalarını talep etti. Bu kapsam; aşağıdaki şekilde yayınlanmıştır.
“ISO 27001 sertifikası; ithalat, ihracat, transit, gümrükleme gibi gümrük ve dış ticaret işlemlerini ve bu işlemlere ilişkin lojistik, depolama, muhasebe, finans ve bilgi işlem gibi faaliyetlerinin elektronik bilgi varlıkları ile bu varlıkları korumak amacıyla kullandığı bilişim güvenliğini, kapsamalıdır.”
Gümrük Bakanlığı’ndan İlk Kapsam Düzeltmesi
Fakat daha sonra, Ticaret (gümrük) bakanlığı 13/10/2017 tarihli 30209 sayılı resmî gazetede yayınlanan tebliğle bir değişikliğe giderek yukarıda yer alan kapsam ifadesini değiştirmiş, bunun yerine aşağıdaki kapsam metnini yayınlamıştır.
“ISO 27001 sertifikası; gümrük ve dış ticaret işlemlerini ve bu işlemlerine ilişkin lojistik, depolama, muhasebe, finans ve bilgi işlem faaliyetlerinin bilgi varlıkları ile bu varlıkları korumak amacıyla kullandığı güvenlik önlemlerini, kapsamalı ve bu faaliyetlerin yürütüldüğü tüm idari bina ve tesislere ilişkin olarak alınmış olmalıdır.”
Böylece ISO 27001 kapsamı genişletilmiş olup, kapsamda ifade edilen faaliyetlerin yürütüldüğü tüm idari bina ve tesislerin de ISO 27001 Sertifika kapsamına alınmasını sağlandı.
21 Şubat 2020 Tarihli Kapsam Genişletme
Önceki kapsam metinlerinde “Üretim kapsamda olmalı mı?” “Bu tesisi de kapsama almalı mıyız?” şeklinde birçok yoruma neden oluyordu. Kapsam son değişikliğiyle de birçok kafa karışıklığına neden oluyordu. Son olarak bakanlık 21/02/2020 tarihli 31046 sayılı resmî gazetede yayınladığı tebliğ ile ISO 27001 sertifikalarındaki kapsama son vermiştir. Son değişikliğe göre ISO 27001 Kapsamı aşağıdaki gibidir.
“ISO 27001 sertifikası; gümrük ve dış ticaret işlemlerini ve bu işlemlerine ilişkin lojistik, depolama, muhasebe, finans ve bilgi işlem faaliyetlerinin bilgi varlıkları ile bu varlıkları korumak amacıyla kullandığı güvenlik önlemlerini, kapsamalı ve bu faaliyetlerin yürütüldüğü, kısmen kiralama yoluyla edinilenler hariç olmak üzere on beşinci fıkra kapsamındaki tüm idari bina ve tesislere ilişkin olarak alınmış olmalıdır.”
Kapsamı Belirleyen On Beşinci Fıkra
Ek-1/A’da yer alan başvuru formu ile Ek-2’de yer alan soru formunun aşağıda sayılan nitelikte tesisleri (kısmen dahi olsa kiralama yoluyla edinilenler dahil) kapsayacak şekilde doldurulmuş olması gerekir:
a) Yönetim ofisi.
b) Gümrük işlemlerine konu eşyanın konu olduğu muhasebe ve arşiv ofisleri.
c) Bilgi işlem ofisi.
ç) İthal girdi kullanılmadan ve sadece yurt içi satışa konu olacak eşyanın üretildiği üretim tesisleri hariç olmak üzere üretim tesisi.
d) Eşyanın ihraç edilmeden önce depolandığı, elleçlendiği depo/tesis.
e) Eşyanın ithal işlemleri gümrük idaresinde veya gümrük idaresince yetkilendirilen başka bir yerde tamamlandıktan sonra doğrudan getirilerek konulduğu ilk depo/tesis.
Özetle, Ticaret (Gümrük) Bakanlığı YYS kapsamında ISO 27001 Sertifikasına sahip olan işletmelerin bakanlığın son güncellemesi doğrultusunda kapsamlarını yönetmeliğin on beşinci fıkrasında ifade edilen alanları da kapsayacak şekilde revize etmesi gerekmektedir. Bu değişiklikle birlikte gümrüğe tabi ürünlerin üretildiği üretim alanları da kapsama dahil edilmesi gerekmektedir. Bununla birlikte Gümrük işlemlerine tabi eşyanın konu olduğu muhasebe ve arşiv ofisleri, Bilgi işlem ve yönetim ofisleri, ihraç öncesi eşyanın depolandığı ve elleçlendiği depo ile tesisler gibi alanlar ISO 27001 Sertifika kapsamına dahil edilmelidir.
YYS nedeniyle ISO 27001 sertifikasına sahip işletmelerin kapsam değişikliği gerekmesi durumunda belgelendirme kuruluşlarından Kapsam Değişikliği denetimi talep ederek, sertifikalarındaki kapsam metnini güncellemeleri gerekmektedir.
KAYNAK: https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=19689&MevzuatTur=7&MevzuatTertip=5