ISO 27001 standardı ve buna bağlı sertifikasyon uygulanması, kamu ve özel kurumların talepleri doğrultusunda oldukça yaygınlaşmıştır. Ancak çeşitli vesilelerle yapılan gözlemlerde, pratik olarak standardın anlaşılması ve uygulanması ile ilgili ciddi bir problem olduğu görülmektedir.
Bu problemlerin daha belgenin temin aşamasında ortaya çıkmaya başladığı, belge almak isteyen kurumların karşılarında kaotik bir tedarikçi grubu ile karşılaştıkları anlaşılmaktadır. Bu karmaşa yüzünden; maliyet ve itibar açısından önemli kayıplar ortaya çıkmaktadır.
Bu yazıda; ISO 27001 sertifikası almak isteyen kurumların kendileri için en ideal akreditasyon makamı ve belgelendirme kuruluşunu seçmelerine yardımcı olmak amacıyla, soru-cevap yöntemiyle bilgilendirme yapılacaktır.
Not:
ISO 27001 kapsamında yazılmış diğer aydınlatıcı yazılara aşağıdaki bu bağlantıdan ulaşabilirsiniz.
Belgelendirme Kuruluşu ve Akreditasyon Makamı ne demektir?
Belgelendirme kuruluşu, ISO 27001 sertifikasyonu talep eden kurum ve firmalara denetçiler gönderip denetim yapan ve akabinde belge veren kuruluşlardır. Bu kurumlar TSE gibi kamu kökenli olabileceği gibi, özel sektör firmaları da olabilir.
Akreditasyon Makamı, Belgelendirme Kuruluşlarını denetleyip onlara yetki veren kurumlardır.
ISO 27001 belgelendirmesi kapsamında Türkiye’deki akreditasyon makamı TÜRKAK’dır.
Akreditasyon makamları ve belgelendirme kuruluşları arasında ilişki ve hiyerarşi nasıldır?
Akreditasyon makamları ve belgelendirme kuruluşları arasında aşağıdaki gibi bir hiyerarşi vardır.
ISO 27001 Belgelendirmesinde Otoriteler Arası Hiyerarşi
- Hiyerarşinin en tepesinde IAF (The International Accreditation Forum) vardır. Tüm akreditasyon kurumları doğrudan, belgelendirme kuruluşları da akreditasyon makamları üzerinden IAF’a bağlıdır.
- Yukarıdan aşağı inildiğinde ikinci katmanda akreditasyon kurumları vardır. Tüm akreditasyon kurumları IAF üzerinden resmi olarak birbirlerini tanıma ve geçerliliklerini kabul etme durumundadır.
- En alt katmanda ise Belgelendirme Kuruluşları vardır. Tüm belgelendirme kuruluşları en az bir akreditasyon kurumu tarafından akredite almak zorundadır. Bunlar TSE gibi kamu taraflı olabileceği gibi, ülkemizde çok sayıda örneği olan özel belgelendirme firmaları da olabilir. An itibarıyla bunlara YBM (Yönetim Belgelendirme Merkezi), SİSBEL (Sistem Eğitim ve Belgelendirme), CFE Certification, BSI Group gibi firmalar örnek verilebilir. Belgelendirme firmaları sahaya denetçi gönderip denetim yapan bizzat ISO 27001 belgesini müşterilere ulaştıran kurumlardır.
Her ülkede akreditasyon makamı tek mi olur?
Hayır, bir ülkede birden fazla akreditasyon makamı olabilir. Örneğin ABD’de ANAB ve UAF kurumlarının varlığı buna örnektir.
Bir belgelendirme kuruluşu birden fazla akreditasyon kurumu tarafından akredite edilebilir mi?
Evet bu gayet yaygın bir kurumdur. Ülkemizdeki birçok belgelendirme kuruluşu birden fazla akreditasyon makamı tarafından akredite edilmiştir. Örneğin ülkemizde bir belgelendirme firması hem TÜRKAK hem de UKAS akreditasyonu ile denetim yapabilir.
Denetime giren firmalar, akreditasyon makamını seçebilir mi?
Evet. Bir firma denetime gireceği zaman belgelendirme kuruluşuna bildirim yaparak hangi akreditasyon makamı üzerinden denetim yapacağını seçebilir. Denetim sonunda alınan ISO 27001 sertifikası üzerinde de bu makamın adı yazar.
Akreditasyon makamları ve belgelendirme kuruluşları arasında tanınırlık var mıdır?
Teorik olarak, tüm akreditasyon makamları ve onların akredite ettiği belgelendirme kuruluşları birbirlerini IAF üzerinden tanımak durumundadır. Dolayısıyla teorik olarak herhangi bir akredite belgelendirme kuruluşundan alınan belge diğer ülkelerde de geçerli olur. Örneğin Türkiye’de TÜRKAK akredite bir belgelendirme kuruluşunun verdiği belge ABD’de de geçerlidir.
O zaman belgelendirme ve akreditasyon kurumlarının birbirlerine göre üstünlüğü yok mudur?
Teorik olarak hepsinin verdiği belge aynı geçerliliktedir. Ancak pratikte akreditasyon kurumu ve belgelendirme firmasının bilinirliği/itibarı önemlidir. Ek olarak ISO 27001 sertifikasyonu isteyen kurumlar veya teknik şartnameler spesifik bir akreditasyon kurumu veya belgelendirme firmasını işaret edebilir. Örneğin İngiltere’de faaliyet gösteren bir kurum ISO 27001 belgesinin UKAS (Birleşik Krallık kökenli itibarı yüksek bir akreditasyon firması) akredite bir firma tarafından verilmiş belgeyi talep edebilir.
Türkiye özelinde örnek vermek gerekirse, kamu kurumlarının büyük çoğunluğu TÜRKAK akredite bir firma tarafından verilmiş ISO 27001 belgesi talep etmektedir.
Denetim ve belgelendirme maliyeti sabit midir?
ISO 27001 denetimine girmek ve belge almak isteyen firmaları, farklı belgelendirme firmalarının birbirlerinden ciddi oranda farklı maliyet teklif verdiğini görebilir. Bunun en temel nedeni, belgelendirme de referans alınan akreditasyon kurumu farklılığı ve belgelendirme firmasının marka değeridir? Yoksa denetim ve belgelendirmede yapılan işlemler genel olarak aynıdır.
Bir firmanın akredite olup olmadığı nasıl anlaşılır?
Bunun için en garanti yöntem akreditasyon makamlarının portalları üzerinden kuruluş adının sorgulanmasıdır?
Aşağıda TÜRKAK portalı üzerinden yapılmış ve belgelendirme makamının akreditasyonunu teyit eden bir sorgulama görünmektedir.
Örnek Bir Akredite Kuruluş Sorgulaması
Belgelendirme firmalarının işlerini düzgün yapmalarının garantisi nedir?
Akreditasyon firmaları yıllık periyotlar ve rastgele zamanlarda belgelendirme firmalarını denetlerler. Hatta kimi belgelendirme denetimlerine rastgele katılım yapabilirler. Ek olarak ISO 27001 belgesi almış firmaları ziyaret edip, hazırlık ve denetimin hakkaniyetini kontrol edebilirler.
Bilinirlik dışında ISO 27001 belge geçerliliği için rastgele bir belgelendirme firması ile çalışmanın riski var mıdır?
Ülkemizde (ve muhtemelen başka ülkelerde de) bazı belgelendirme firmalarının akreditasyonlarını kötüye kullanmaları ve sağlıklı denetimler yapmadan belge basmaları söz konusu olabilir. Rutin akreditasyon kurumu denetimleri veya şikayet sonrası bu durum ortaya çıkarsa, belgelendirme kurumunun akreditasyonu ile beraber verilmiş belge de iptal edilir. Bu bağlamda, ISO 27001 belgesi alacak tarafların belge veren firmaları akreditasyon makamları ve referanslar ile sorgulamaları ve ona göre karar vermeleri gerekir.
Doğru düzgün denetim vs. yapmadan kargo ile sertifika gönderen firmalar/kuruluşlar bu işi nasıl yapıyor? Sonrasında başlarına ne sıkıntı gelebilir?
Bu firmaların bir kısmının zaten akreditasyonları yoktur. Sertifika alan firmalarda bu şekilde “ucuz” ve “basit” olarak belge temin ettiklerinde sadece kendilerini kandırmış olmaktadırlar. Kamu otoritesinin veya kurumsal müşterilerin talebi gibi durumlarda bir şekilde bu belgeyi kullanmak istediklerinde zaten sertifikanın geçersiz olduğu anlaşılmaktadır. Bu durumda sertifika sahibi firmalar hem para hem itibar kaybı yaşamaktadır.
İkinci senaryoda ise, sertifika gönderen kuruluşlar akredite olup bu akreditasyonlarını kötüye kullanmaktadır. Bu durumda, en azından bir süre alınan sertifikalar geçerli olarak kullanılabilir. Ancak, rutin akreditasyon kurumu denetimleri veya şikayet sonrası bu durum ortaya çıkarsa, belgelendirme kurumunun akreditasyonu ile beraber verilmiş belge de iptal edilir. Veya sertifikayı kullanmak isteyen kurum kamu otoritesi veya kurumsal müşterilerin talebi sonrası ISO 27001 kayıtlarını göstermek zorunda kalabilir. Her iki durumda da bu şekilde sertifika temin etmiş kurum, para ve itibar kaybı yaşar.
Bu durumların örnekleri ülkemizde de zaman zaman yaşanmıştır.
ISO 27001 sertifikasının temininde güvenilir ve ideal yol nedir?
Sertifika alacak firmalar/kurumlar öncelikle öz kaynakları veya güvenilir bir danışman ile kurumlarında ISO 27001 BGYS altyapısını kurmalıdır. Akabinde hem akreditasyon makamı hem de referanslar üzerinden kontrol edilmiş belgelendirme kuruluşu üzerinden denetim talep edilerek sertifika alınmalıdır.
Özellikle ülkemizde bu güvenilir yöntemle sertifika temini gerek iş gücü gerekse de finansal açıdan oldukça düşük bir maliyet ile temin edilebilmektedir.
Bu nedenle gereksiz maliyet ve itibar kaybına yol açacak yollara girmeden güvenilir yolları araştırmak ve tercih etmek makul olacaktır.
Konu ile ilgili sorularınız için www.btuyum.com web sayfası üzerindeki iletişim adreslerinden bize ulaşabilirsiniz.