KURULUŞLARIN ÇEVRE İLİŞKİLERİ

Kuruluşların hayatta kalmak için, içinde bulundukları çevre ile iyi ilişkiler kurması önemlidir. Kuruluşlar ve çevreler arasında karşılıklı çıkarlar söz konusudur. Kuruluşlar içinde bulundukları çevreyi etkileyebileceği gibi, çevre de Kuruluşları doğrudan ya da dolaylı etkileyebilir. Kuruluşun ilişki kurduğu çevresi “uzak” çevresi olabileceği gibi “yakın” çevresi de olabilir. Kuruluşların çevresi iç çevresi, sektörel çevresi, ulusal çevre ve uluslararası çevre olmak üzere dört başlık altında incelenebilir:

1.KURULUŞUN İÇ ÇEVRESİ

Kuruluşun iç çevresi olarak Kuruluş içinde bulunan aktörler kabul edilebilir. Kuruluş sahipleri, ortaklar, yöneticiler ve çalışanlar bu grup içinde yer alır. Bazı aile Kuruluşlarında, Kuruluş sahibi ile yönetici aynı kişidir. Bu durumda girişimcilik ve yöneticilik görevleri aynı kişide toplanmıştır. Nispeten küçük Kuruluşlarda bu durum normal karşılansa da büyük, kurumsal, çok ortaklı Kuruluşlarda yönetici ve girişimcinin “aynı” kişi olması doğru değildir. Nitekim kurumsal yönetim (corporate governance) anlayışına göre; hesap verenle, hesap soranın farklı kişiler olması gerekir.

1.Kuruluş Sahipleri, Ortaklar

Kuruluş sahipleri ve hissedarları Kuruluşun kuruluşundan itibaren kuruluş ile etkileşim halindedirler ve beklentileri fazladır. Kuruluş sahipleri ve hissedarlar kuruluş aşamasında sağladıkları sermayenin kısa sürede kendilerine dönüşlerini beklerler. Bu nedenle sermayelerinin takibini sağlamak ve sermayelerinden kâr elde edebilmek için kuruluş ile sürekli bir etkileşim içinde bulunurlar (Can, Tuncer ve Ayhan, 1999, 40).
Kuruluş sahipleri ortak oldukları Kuruluşun verimli çalışmasını, Kuruluş kaynaklarından yeterli düzeyde faydalanabilmeyi (ortaklıkları oranında kâr payı almak-temettü almak), Kuruluş tarafından sürekli bilgilendirilmeyi ve Kuruluşun itibarının yüksek olmasını beklerler.

2.Kuruluş Çalışanları

Kuruluşların amaçlarına ulaşabilmeleri için farklı becerilere ve uzmanlıklara sahip çalışanlar istihdam etmeleri gerekir. Kuruluşlar için İş gücü rekabette önemli bir koşuldur.
Kuruluşlar deneyimli ve başarılı iş gücünü kullanarak rekabette üstünlük sağlamak isterler. Bu nedenle nitelikli çalışanların kuruluşa kazandırılması önemlidir.
Kuruluşlar eğitimler aracılığıyla hali hazırdaki çalışanlarının niteliklerini korumaya çalışırlar.
Aslında Kuruluşu, Kuruluş yapan çalışanlardır. Yoksa Kuruluşun binası, kullandığı teçhizatlar, makineler, bilgisayarlar kolayca değiştirilebilir. En azından uygun fonları bulan her girişimci istediği “modern” Kuruluşu kurabilir. Ancak o Kuruluşu rekabette öne geçiren çalışanların “hayal gücüdür”. Bu yüzden önemli olan Kuruluşu bir yerlere getirecek, rekabette öne çıkaracak nitelikleri çalışanları bulmaktır.
Kuruluşlarda çalışan ve kuruluş arasında en önemli ilişki “ücret” konusunda ortaya çıkmaktadır. Ücret ve İş koşulları ile ilgili ilişkiler yazılı olarak ve yasal düzenlemeler ile belirlenmiştir. Kuruluş ve çalışanlararası ilişkiler Kuruluş beklentilerinin ve çalışan isteklerinin karşılandığı sürece sağlıklı biçimde devam eder (Can, Tuncer ve Ayhan, 1999, 41).

3.Yöneticiler

Yöneticiler, Kuruluşun yönetimini üstlenmiş olan ancak girişimcinin isteğiyle ücret karşılığı çalışan kişilerdir. Bu nedenle yöneticiler girişimcilerin istekleri doğrultusunda hareket ederler ve girişimci – çalışan arası iletişimde aracılık yaparlar. Çalışanlar İş ile ilişkilerinde yöneticilerle iletişime geçerler. Çalışanlar ve tüketiciler açısından bakıldığında yöneticiler, isteklerini gerçekleştirebilecek kişiler gibi gözükselerdi yöneticilerin sınırları ancak girişimcinin belirlediği kadar olduğu unutulmamalıdır (Can, Tuncer ve Ayhan, 1999, 41).
Yöneticiler de diğer çalışanlar gibi emeklerinin karşılığı olan ücret konusunda Kuruluş sahipleri ile ilişki halindedirler. Kuruluş sahipleri yöneticilerden etkili ve verimli çalışma beklerken, yöneticiler de İş sahiplerinin beklentilerini diğer çalışanları yönlendirerek ve koordine ederek yerine getirmeye çalışırlar. Bazen de özellikle küçük aile Kuruluşlarında girişimci olan kişi (patron), aynı zamanda İşin başında olan yönetici olabilir. Ancak bu durumda hem yürütme, hem de denetim fonksiyonunu aynı kişinin yürütmesi sağlıklı bir durum değildir. İşi yapanlarla, denetleyenlerin farklı otoriteler olmasına “Kurumsal Yönetim” adı verilir. Başka bir ifadeyle kurumsal yönetim (corporate governance) Kuruluştaki söz sahipleri ile hak sahipleri arasındaki ilişkilerin düzenlenmesidir.

2.KURULUŞUN SEKTÖREL ÇEVRESİ

Kuruluşlar bir yandan kendilerine kurulma ve İşleyiş imkânı veren kişilere, diğer yandan ise faaliyetlerinin yönlendirileceği kişi ve kurumlara karşı sorumluklarını yerine getirmek amacıyla ilişki kurmak mecburiyetindedirler (Can, Tuncer ve Ayhan,1999, 39). Kuruluşun faaliyetlerini sürdürebilmesi ve uzun süreler var olabilmesi için sektörel çevreleri ile yakın ilişkiler kurması çok önemlidir. Kuruluşların sektörel çevresi dört başlık altında toplanabilir:
a. Tüketiciler,
b. Tedarikçi Kuruluşlar,
c. İkame ürünler.
d. Rakipler

a. Tüketiciler

Tüketiciler, piyasada Kuruluşlar tarafından sunulan ürünlerin potansiyel kullanıcılarıdır. Tüketiciler belirli ihtiyaçlarını ve isteklerini karşılamaya yönelik hareket ederler. Tüketiciler ürünü satın aldıklarında ise o Kuruluşun tüketicisi ve aynı zamanda müşterisi olurlar. Tüketiciler, bireysel tüketiciler olabileceği gibi endüstriyel tüketicilerde olabilir (Mirze, 2010, 48). Tüketiciler ile kurulacak ilişkiler Kuruluşun başarısını belirleyici olacaktır. Tüketiciler açısından Kuruluş ile iletişim ürün veya hizmet satın alma ile oluşurken; Kuruluş açısından ise iletişim tüketici ihtiyaç ve isteklerini saptamak ve değişimlerini belirleyerek yeni pazarlara yönelmek şeklinde olacaktır. Tüketiciler Kuruluşlardan ihtiyaç ve isteklerine uygun ürün ve hizmet sunmasını beklerler. Kuruluş ise tüketicilerin bu ihtiyaç ve isteklerini karşılayarak pazarda yer sahibi olur. Bu nedenle Kuruluş ve tüketici arasında iki taraf için de olumlu sonuçlar oluşturacak ilişkiler kurulması önemlidir (Can, Tuncer ve Ayhan, 1999, 42). Genel olarak tüketicilerin Kuruluştan beklentisi kaliteli ürün ya da hizmeti ucuza almaktır.

b. Tedarikçiler

Tedarikçiler, Kuruluşların üretimde kullanacakları ham madde, yarı mamul, madde, finans, enerji, insan kaynağı, danışmanlık, bilgi vb. ihtiyaçlarını karşılayan kurumlardır. Üretilecek ürünlerin kalitesi Kuruluşların dışarıdan tedarik edeceği ürünlerin kalitesi ile doğru orantılıdır. Üretici ve tedarikçi arasında kurulacak ilişki, kalitenin korunması, zamanında ürünlerin pazara sunulması çok önemlidir (Mirze, 2010, 49-50). Kuruluşların üretim yapabilmeleri için ucuz ve kaliteli ham maddeye zamanında ulaşabilmeleri gerekmektedir. Tedarikçi Kuruluşlar açısından ise sipariş aldıkları Kuruluşlarle olan ilişkilerinin sürekliliği önem taşımaktadır. Başka bir deyişle tedarikçiler uzun süreli iş ilişkileri kurmak isterler. Bu nedenle iki kesimin arasında kurulacak iyi ilişkiler, iki tarafa da fayda sağlayacaktır (Can, Tuncer ve Ayhan,1999, 43).

c. ikame Ürünler/Hizmetler

İkame ürünler, Kuruluşun ürünlerinin yerini alabilecek ürün ve hizmetlerdir. Yöneticiler, rekabet açısından rakiplerin ürünlerini, faaliyetlerini ve ataklarını izlemenin yanında ikame ürün tehdidini de izlemek zorundadır. Çünkü tüketici beklentilerinde meydana gelebilecek değişiklikler tüketicileri ikame ürüne yönlendirme ihtimalini yükseltir. (Mirze, 2010, 51). Klasik ikamelere örnek olarak şunlar verilebilir: meyve suyu yerine ayran, karayolu yerine demir yolu ulaşımı. Bir de bazı hizmetler, başka hizmetlerle ikame edilebilir. Örneğin güvenlik hizmeti olarak bekçilerin
yerine elektronik alarm sistemi kullanmak ya da toplantı amacıyla video konferans teknolojisi kullanımının, havayolu şirketlerinin ikamesi olarak görülmesi gibi.

d. Rakip Firmalar

Rakipler, aynı sektör içerisinde ve aynı hedef kitle için benzer ürün veya hizmet üreten Kuruluşlardır. Kuruluşlar aynı sektörde daha fazla paya sahip olmak daha fazla satış geliri elde etmek amacıyla diğer kuruluşlarla rekabet içine girerler. Rakipler birbirlerini sürekli olarak izler ve birbirlerinin yaptıkları hamlelere karşılık verme çabasındadırlar. Tüm bunların yanında günümüzdeki küresel rekabetten dolayı bazı Kuruluşlar rekabet yerine birlikte hareket etmektedirler (Mirze, 2010, 50). Rakipler Kuruluştan centilmence rekabet etmesini ister. Aynı futboldaki (fair play) yaklaşımı gibi. Ancak bu şekilde yapılan ticaret anlamlıdır. Aksi halde bir Kuruluş faturasız ürün alıp faturasız satıyorsa ya da sigortasız işçi çalıştırıyorsa (maliyetleri düşünmek için) rekabette rakiplerin karşısında avantaj sağlayabilir. Devlet farklı mekanizmalarla (teftiş vb.) haksız rekabeti önlemeye çalışır. Çünkü haksız rekabet vergi kaybı da doğurduğu gibi yatırımcıların o ülkeyi terk etmesini hızlandırır. Kuruluşların haksız rekabet ortamına girmeleri Kuruluşlar için olumsuz bir izlenim yaratmaktadır. Kuruluşlar rakiplerine üstünlük sağlayabilmek için etik dışı davranışlar sergilemektedirler. Ancak bu gibi durumlarda devletin müdahalesi de söz konusu olabilmektedir.

3.KURULUŞUN ULUSAL ÇEVRESİ

Kuruluşun içinde bulunduğu ülkedeki kuruluşu doğrudan veya dolaylı etkileyecek tüm etmenler Kuruluşun ulusal çevresini oluşturur. Kuruluşun ulusal çevresi aşağıdaki üç unsurdan oluşur:
• Devlet,
• Toplum,
• Kurumlar.

a. Devlet

Devlet yasalarla ve benzeri düzenlemelerle Kuruluşlar üzerinde yaptırım gücüne sahiptir (Mevzuat). Bunun yanında devletin diğer kişi ve kurumlarla arasındaki ilişkileri düzenlemesi için Kuruluşlarla ilişki içinde olması kaçınılmazdır. Kuruluşlar açısından ise Kuruluş sürekliliğini sağlamak için devlet tarafından zorunlu tutulan yaptırımlar Kuruluşlara devlet ile ilişkileri mecbur kılmaktadır. Devletin üstlenmiş olduğu görevleri yerine getirebilmesinde Kuruluşların sağladığı maddi ve manevi katkı önemlidir. Kuruluş faaliyeti sonucu istenen ödentiler, zorunlu vergiler ve diğer ödentiler devlet ve Kuruluşlar arası yakın ilişki gerektirir.
Devlet ile Kuruluş arası ilişkilerin daha iyi bir şekilde yürütülmesi için Kuruluşların istihdama olanak sağlamaları, vergi ve benzeri yükümlülüklerini yerine getirmeleri, devlet politikalarına uyumluluk göstermeleri, döviz tasarrufuna yönelik önlemler almaları ve olağanüstü durumlarda ülkeye yardımcı olmaları gerekmektedir
(Can, Tuncer ve Ayhan, 1999, 44).

b. Toplum

Toplum ve Kuruluş ilişkileri, tüketici grubunu da içine alan geniş bir kitledir. Toplum ve Kuruluş arası ilişkiler hem toplumun Kuruluştan beklentileri hem de toplumdaki bireylerin Kuruluşlardan beklentileri olarak iki açıdan ele alınabilir: Kuruluşun sunduğu ürün-hizmetler ile tüketicileri tatmin etmesi ve istihdam gibi konular Kuruluş ile toplumdaki ilişkilere örnek olarak verilebilir. İkinci açıdan ise Kuruluşlar, toplumsal kaynakları kullanan varlıklardır. Bu nedenle Kuruluşların çevreye etkileri, kültürel ve toplumsal değerlere duyarlılığı gibi konular Kuruluş ve toplum arası ilişkileri yakından ilgilendirir (Can, Tuncer ve Ayhan, 1999, 44). Diğer yandan Kuruluşların sosyal sorumluluk çerçevesinde yaptığı bazı gönüllü katkılar yine toplumun ihtiyaçlarını karşılamaya yöneliktir.

c. Kurumlar

Kuruluşların ilişki içinde olduğu kurumlar başta aile olmak üzere dini, askeri, politik, kültürel, sosyal ve ekonomik nitelikli kurumlardır. Kuruluşların devlet ve toplum ile olan ilişkileri en başta bu iki öğenin desteği ile oluşan kurumlar sayesinde oluşur. Kuruluşların kurumlara karşı birtakım sorumlulukları vardır. Bunlar Kuruluşun etkileşim içinde olduğu grupların niteliğine göre farklılıklar gösterir. Örnek vermek gerekirse yapılacak reklamların çeşitli kültürel gruplara karşı saygılı olması Kuruluş ve kurumlar arası ilişkide önem taşımaktadır. Kuruluşlar bu nedenle çeşitli kurumları incitici eylemlerde bulunmamalı ve sorumlulukları doğrultusunda hareket etmelidirler (Can, Tuncer ve Ayhan, 1999, 45).

4.KURULUŞUN ULUSLARARASI ÇEVRESİ

Kuruluşların uluslararası çevrede faaliyet gösterebilmesi için genellikle belirli bir büyüklüğe gelmesi ve yurt dışı ile bağlantılı işler yapması gerekmektedir. Kuruluşlar açısından faaliyette bulunacakları ülke ile iyi ilişkiler kurmaları önemli kolaylıklar sağlayacaktır. Mevcut piyasalardaki ani değişimler, yeni gelişen ülkelerarası piyasalar, önemli siyasal, kültürel ve politik uluslararası olaylar, dış ticarette iş birlikleri ve ülkelerarası teşvik ve engeller uluslararası çevrede Kuruluşlar için önemli konulardır (Mirze, 2010, 49). Uluslararası düzeyde ortaya çıkan ilişkiler şu şekilde özetlenebilir (Can, Tuncer ve Ayhan, 1999, 46-47):
• Gidilen ülke pazar ve tüketicileri ile ilişkiler,
• Gidilen ülkedeki resmi kurumlar ile ilişkiler,
• Gidilen ülkedeki ekonomik ve ticari anlaşmalar,
• Çok uluslu Kuruluşlar.

a. Gidilen Ülke Pazar ve Tüketicileri İle İlişkiler

Kuruluşların gidecekleri ülkedeki hedef kitleyi ve ürün pazarını iyi bilmesi rekabet açısından Kuruluşlare önemli avantajlar sağlar. Kuruluşların diğer ülkelerde etkin bir biçimde faaliyet gösterebilmeleri için ülkelerin tüketici profillerini ve tüketim davranışlarını yakından izlemeleri gerekmektedir. Bunun yanında yatırım yapılacak ülkedeki ürün ve tüketici pazarı yakından incelenmeli ve gerekli ön araştırmalar yapılmalıdır.

b. Gidilen Ülkedeki Resmi Kurumlar İle İlişkiler

Kuruluşlar faaliyet gösterecekleri ülkedeki resmi kurumları iyi tanımalıdır. Ülkedeki yabancı yatırımcılara yönelik uygulanacak tüm kanun ve kuralların Kuruluşlar tarafından önceden araştırılması, Kuruluşlar yapacakları yatırımın avantaj ve dezavantajlarını karşılaştırması açısından büyük kolaylıklar sağlayacaktır.

c. Gidilen Ülkedeki Ekonomik ve Ticari Anlaşmalar

Kuruluşlar için gidilecek ülkedeki ekonomik ve ticari kuruluşlar önceden incelemek büyük yarar sağlar. Bazı ülkeler arasında yapılmış özel ticari ve ekonomik anlaşmalar olabilir. Kuruluşlar ticari anlaşma yapılmış ülkelerde faaliyete geçerek vergi indirimi gibi bazı özel avantajlar elde edebilirler.

d. Çok Uluslu Kuruluşlar

Bazı Kuruluşlar kuruluşlarından itibaren küresel Kuruluş olma yolunda ilerlerken, bazı Kuruluşlar ise ekonomik büyümeleri sonucu çok uluslu Kuruluş haline gelebilirler.
Çok uluslu Kuruluşların kaynakları, ekonomik güçleri büyüktür. Çok uluslu Kuruluşlar bulundukları ülkede güçlü bir konuma gelebilirler. Bu nedenle Kuruluş ile ülke arasındaki ilişkiler iyi yürütüldüğü sürece iki taraf açısından da olumlu sonuçlar ortaya çıkması kaçınılmazdır. Tüm bunların yanında günümüzde küreselleşme ile birlikte Kuruluş ve uluslararası çevre arası mesafe kısalmıştır. İnternetin ticarette kullanımı ile birlikte tüm uluslararası ticari anlaşmalar, zaman ve işlem maliyetleri gibi etkenler nerdeyse ortadan kalkmıştır. Kuruluşlar artık internet aracılığı ile diğer ülkelerle kolay ve düşük maliyetle ticaret yapabilmektedirler.

SWOT Analizi Nedir? ISO Standartlarında İç Ve Dış Hususlar Belirlenirken Nasıl Kullanılır?

Durum analizinde kullanılan ikinci bir yaklaşım SWOT(GZFT) analizidir. Yukarıda ifade edildiği üzere SWOT stratejik iş birimi açısından güçlü ve zayıf yönlerle sektör ve pazara ilişkin fırsat ve tehdit değerlendirmesine dayalı bir analizdir. Durum analizinde SWOT analizinin kullanımıyla kısa süreli ama geniş bakış açılı bir değerlendirme yapılmış olur.
Pazardaki her türlü gelişme, pazarlama ya da işletme yönetiminin farkında olup olmamasından bağımsız olarak işletme ve pazarlama çabalarını etkileyebilir. Bu bağlamda pazarlama yönetimleri izlesin ya da izlemesin, farkında olsun veya olmasın, pazar çevresindeki her gelişme tehdit olabilir. Bu gelişmelerin fırsat olabilmesi ya da fırsat olarak değerlendirilebilmesi ise farkındalık ve izleme gerektirir.
Gelişmeleri analizci bir yaklaşımla izleyen pazarlama yönetimleri açısından herhangi bir gelişmenin fırsat olabilmesi ayrıca, pazarlama yetenekleri bakımından rakiplere oranla üstünlük veya farklılığa sahip olmayı gerektirir.
Durum analizi olarak SWOT analizi de portföy matrislerinde olduğu gibi stratejik iş birimi düzeyinde ayrı ayrı hazırlanır. Tablo 4.1’de orta gelir düzeyindeki pazarda itibarlı bir yapı şirketinin konut ürününe ilişkin örnek bir SWOT matrisi yer almaktadır.

SWOT analizi sonucunda oluşturulan matristen hareketle pazarlama yönetimi;güçlü yönleriyle fırsatları değerlendirmeye çalışacak ve tehdit oluşturabilecek durumlara karşı da zayıf yönler bilinmek suretiyle ya önlem almaya çalışacak ve güçlendirme çabası içinde olacak ya da tehditlerden kaçınabilmenin yollarını arayacaktır.
İş portföy ya da SWOT yaklaşımlarıyla durum analizi gerçekleştirilmesi sonucu iş birimleri ve pazar çevresi hakkında kendini tanımış olan pazarlama yönetimi; vizyon, stratejik amaçlar ve misyonunu da dikkate almak suretiyle pazarlama amaç ve hedeflerini belirler. Bu süreç bir başka deyişle aslında ürün-pazar stratejilerinin belirlenmesi olarak da değerlendirilir. SWOT matrisi örneğinden hareketle; “mevcut ürünle mi devam edilecek, yeni ürünlere açılım sağlanacak mı?” sorularına cevap yanında “mevcut pazarla mı yetinilecek yoksa yeni pazarlara açılınacak mı?” sorularına da cevap aranmış olacaktır.

KAYNAK: YBS Eğitim Notlarından Derlenmiştir.

Kuruluş Bağlamı Ve İlgili Taraflar Dokümanı Hazırlanmış Olarak Var Mı?

ISO 9001:2015 Kuruluş Bağlamı Ve İlgili Taraflar Örnek Doküman İçin Tıklayınız Online Satınalmayı 7/24 Satın Alabilirsiniz.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi bilgi varlıklarına ilişkin süreç tabanlı risklerin düşünüldüğü yönetim standardıdır. Bilgi güvenliği; kurumsal bilgi varlıklarına ait gerçekleşebilecek risklerden doğabilecek zararı minimize etmek ve herhangi bir sebepten doğabilecek kesinti durumlarında kurum/kuruluş ana faaliyetlerinin devamlılığını sağlamayı hedefler. Bu hedefler için de kurumsal bilgi varlığının gizlilik, bütünlük ve erişilebilirliğini göz önünde bulundurur. Kurum/kuruluş bilgi varlıklarında karşılaşılabilecek riskler değerlendirilerek bertaraf edilmesini amaçlamaktadır.

ISO 27001, Bilgi Güvenliği Yönetimi Sistemi standart şartlarını sağlamak için yapılması gereken adımların tanımlandığı denetlenebilir uluslararası tek standarttır.

Bu kapsamda Bilgi Güvenliği ISO 27001 standardında “Doğruluk, açıklanabilirlik, inkâr edememe ve güvenilirlik gibi özellikleri kapsayan, bilginin gizliliği, bütünlüğü ve kullanılabilirliğinin korunması” olarak tanımlanmıştır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Tarihi Gelişimi Nasıl Olmuştur?

Bilgi varlığının korunması için minimumda yapılması gerekli olan güvenlik önlemlerini belli bir çerçevede sunar. ISO 27001, Uluslararası Standardizasyon Örgütü (ISO) ile Uluslararası Elektroteknik Komisyonu (IEC) tarafından kurulan Birleşik Teknik Komite’ye bağlı bir alt organizasyon tarafından oluşturulmuş olan 27000 bilgi güvenliği standartları ailesinin Bilgi Teknolojisi – Güvenlik Teknikleri – Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler başlığına sahip denetlenebilir/belgelenebilir standardıdır. Bilgi güvenliğinin yönetimsel olarak kurulumu ve belgelendirilmesi bu standart üzerinden yapılmaktadır.

Bilgi güvenliği standardı dünyada ilk olarak 1995 yılında BSI (İngiliz Standartlar Enstitüsü) girişimleri ile temelleri atılarak bir İngiliz Standardı BS7799 olarak yayınlanmıştır. 2000 yılında, ISO tarafından ISO 17799 olarak yayınlanmıştır. Ülkemizde ise TSE tarafından 2002 yılında kabul edilmiş ve yayınlanmıştır. 2005 yılında revizyona gidilerek standart ISO 27001 halini almıştır. Standart son halini ise 2013 yılı Kasım ayında alarak ISO 27001:2013 olmuştur. Şuan son güncel versiyonu ISO 27001:2013 Bilgi güvenliği Yönetim Sistemi Standardı geçerlidir.

ISO 27001 Standardının Faydaları Nelerdir?

• Sektör bağımsız olup, her türlü büyüklükteki kurum için uygulanabilir.
• İç denetimlerin bağımsızlığının ve etkinliğinin sağlanması ile kurumsal yönetişim ve iş sürekliliği ihtiyaçlarını karşılar.
• Yasa ve Mevzuatlara uyumun sağlandığını gösterir.
• Müşteri bilgilerinin güvenliğine gösterilen önem ile rekabet avantajı ve kurumsal itibarı güçlendirir.
• Kurumsal risklerin ön görüldüğünü ve bu riskleri en aza indirgemek için çalışma yapıldığını gösterir.
• Teknik ve teknoloji bağımlı bir standart değildir. Belli bir ürün ve ya bilgi teknolojisi ile ilgilenmez.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Maddeleri Nelerdir?

1 Kapsam

2 Atıf yapılan standard ve/veya dokümanlar

3 Terimler ve tarifler

4 Kuruluşun bağlamı

4.1 Kuruluşun ve bağlamının anlaşılması

4.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması

4.3 Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi

4.4 Bilgi güvenliği yönetim sistemi

5 Liderlik

5.1 Liderlik ve bağlılık

5.2 Politika

5.3 Kurumsal roller, sorumluluklar ve yetkiler

6 Planlama

6.1 Risk ve fırsatları ele alan faaliyetler

6.2 Bilgi güvenliği amaçları ve bu amaçları başarmak için planlama

7 Destek

7.1 Kaynaklar

7.2 Yeterlilik

7.3 Farkındalık

7.4 İletişim

7.5 Yazılı bilgiler

8 İşletim

8.1 İşletimsel planlama ve kontrol

8.2 Bilgi güvenliği risk değerlendirme

8.3 Bilgi güvenliği risk işleme

9 Performans değerlendirme

9.1 İzleme, ölçme, analiz ve değerlendirme

9.2 İç tetkik

9.3 Yönetimin gözden geçirmesi

10 İyileştirme

10.1 Uygunsuzluk ve düzeltici faaliyet

10.2 Sürekli iyileştirme

ISO 27001 Bilgi Güvenliği Yönetim Sistemi EK-A Kontrol Maddeleri

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardının EK-1 Kontrol maddelerinde 113 Madde tanımlanmıştır. Bu maddeler şunlardır;

5 Güvenlik Politikası

          5.1 Bilgi güvenliği politikası

5.1.1 Bilgi güvenliği politika dokümanı

5.1.2 Bilgi güvenliği politikasını gözden geçirme

6 Bilgi Güvenliği Organizasyonu

       6.1 İç organizasyon

6.1.1 Yönetimin bilgi güvenliğine bağlılığı

6.1.2 Bilgi güvenliği koordinasyonu

6.1.3 Bilgi güvenliği sorumluluklarının tahsisi

6.1.4 Bilgi işleme tesisleri için yetki prosesi

6.1.5 Gizlilik anlaşmaları

6.1.6 Otoritelerle iletişim

6.1.7 Özel ilgi grupları ile iletişim

6.1.8 Bilgi güvenliğinin bağımsız gözden geçirmesi

6.2 Dış taraflar

6.2.1 Dış taraflarla ilgili riskleri tanımlama

6.2.2 Müşterilerle ilgilenirken güvenliği ifade etme

6.2.3 Üçüncü taraf anlaşmalarında güvenliği ifade etme

7 Varlık Yönetimi

7.1 Varlıkların sorumluluğu

7.1.1 Varlıkların envanteri

7.1.2 Varlıkların sahipliği

7.1.3 Varlıkların kabul edilebilir kullanımı

7.2 Bilgi sınıflandırması

7.2.1 Sınıflandırma kılavuzu

7.2.2 Bilgi etiketleme ve işleme

8 İnsan Kaynakları Güvenliği

8.1 İstihdam öncesi

8.1.1 Roller ve sorumluluklar

8.1.2 Tarama

8.1.3 İstihdam koşulları

8.2 Çalışma esnasında

8.2.1 Yönetim sorumlulukları

8.2.2 Bilgi güvenliği farkındalığı, eğitim ve öğretimi

8.2.3 Disiplin prosesi

8.3 İstihdamın sonlandırılması veya değiştirilmesi

8.3.1 Sonlandırma sorumlulukları

8.3.2 Varlıkların iadesi

8.3.3 Erişim haklarının kaldırılması

9 Fiziksel ve Çevresel Güvenlik

9.1 Güvenli alanlar

9.1.1 Fiziksel güvenlik çevresi

9.1.2 Fiziksel giriş kontrolleri

9.1.3 Ofisler, odalar ve olanakları korumaya alma

9.1.4 Dış ve çevresel tehditlere karşı koruma

9.1.5 Güvenli alanlarda çalışma

9.1.6 Açık erişim, dağıtım ve yükleme alanları

9.2 Teçhizat güvenliği

9.2.1 Teçhizat yerleştirme ve koruma

9.2.2 Destek hizmetleri

9.2.3 Kablolama güvenliği

9.2.4 Teçhizat bakımı

9.2.5 Kuruluş dışındaki teçhizatın güvenliği

9.2.6 Teçhizatın güvenli olarak elden çıkarılması ya da tekrar kullanımı

9.2.7 Mülkiyet çıkarımı

10 Haberleşme ve İşletim Yönetimi

10.1 Operasyonel prosedürler ve sorumluluklar

10.1.1 Dokümante edilmiş işletim prosedürleri

10.1.2 Değişim yönetimi

10.1.3 Görev ayrımları

10.1.4 Geliştirme, test ve işletim olanaklarının ayrımı

10.2 Üçüncü taraf hizmet sağlama yönetimi

10.2.1 Hizmet sağlama

10.2.2 Üçüncü taraf hizmetleri izleme ve gözden geçirme

10.2.3 Üçüncü taraf hizmetlerdeki değişiklikleri yönetme

10.3 Sistem planlama ve kabul

10.3.1 Kapasite planlama

10.3.2 Sistem kabulü

10.4 Kötü niyetli ve mobil koda karşı koruma

10.4.1 Kötü niyetli koda karşı kontroller

10.4.2 Mobil koda karşı kontroller

10.5 Yedekleme

10.5.1 Bilgi yedekleme

10.6 Ağ güvenliği yönetimi

10.6.1 Ağ kontrolleri

10.6.2 Ağ hizmetleri güvenliği

10.7 Ortam işleme

10.7.1 Taşınabilir ortam yönetimi

10.7.2 Ortamın yok edilmesi

10.7.3 Bilgi işleme prosedürleri

10.7.4 Sistem dokümantasyonu güvenliği

10.8 Bilgi değişimi

10.8.1 Bilgi değişim politikaları ve prosedürleri

10.8.2 Değişim anlaşmaları

10.8.3 Aktarılan fiziksel ortam

10.8.4 Elektronik mesajlaşma

10.8.5 İş bilgi sistemleri

10.9 Elektronik ticaret hizmetleri

10.9.1 Elektronik ticaret

10.9.2 Çevrimiçi işlemler

10.9.3 Herkese açık bilgi

10.10 İzleme

10.10.1 Denetim kaydetme

10.10.2 Sistem kullanımını izleme

10.10.3 Kayıt bilgisinin korunması

10.10.4 Yönetici ve operatör kayıtları

10.10.5 Hata kaydı

10.10.6 Saat senkronizasyonu

11 Erişim Kontrolü

11.1 Erişim kontrolü için iş gereksinimi

11.1.1 Erişim kontrolü politikası

11.2 Kullanıcı erişim yönetimi

11.2.1 Kullanıcı kaydı

11.2.2 Ayrıcalık yönetimi

11.2.3 Kullanıcı parola yönetimi

11.2.4 Kullanıcı erişim haklarının gözden geçirilmesi

11.3 Kullanıcı sorumlulukları

11.3.1 Parola kullanımı

11.3.2 Gözetimsiz kullanıcı teçhizatı

11.3.3 Temiz masa ve temiz ekran politikası

11.4 Ağ erişim kontrolü

11.4.1 Ağ hizmetlerinin kullanımına ilişkin politika

11.4.2 Dış bağlantılar için kullanıcı kimlik doğrulama

11.4.3 Ağlarda teçhizat tanımlama

11.4.4 Uzak tanı ve yapılandırma portu koruma

11.4.5 Ağlarda ayrım

11.4.6 Ağ bağlantı kontrolü

11.4.7 Ağ yönlendirme kontrolü

11.5 İşletim sistemi erişim kontrolü

11.5.1 Güvenli oturum açma prosedürleri

11.5.2 Kullanıcı kimlik tanımlama ve doğrulama

11.5.3 Parola yönetim sistemi

11.5.4 Yardımcı sistem programlarının kullanımı

11.5.5 Oturum zaman aşımı

11.5.6 Bağlantı süresinin sınırlandırılması

11.6 Uygulama ve bilgi erişim kontrolü

11.6.1 Bilgi erişim kısıtlaması

11.6.2 Hassas sistem yalıtımı

11.7 Mobil bilgi işleme ve uzaktan çalışma

11.7.1 Mobil bilgi işleme ve iletişim

11.7.2 Uzaktan çalışma

12 Bilgi Sistemleri Edinim, Geliştirme ve Bakımı

12.1 Bilgi sistemlerinin güvenlik gereksinimleri

12.1.1 Güvenlik gereksinimleri analizi ve belirtimi

12.2 Uygulamalarda doğru işleme

12.2.1 Giriş verisi geçerleme

12.2.2 İç işleme kontrolü

12.2.3 Mesaj bütünlüğü

12.2.4 Çıkış verisi geçerleme

12.3 Kriptografik kontroller

12.3.1 Kriptografik kontrollerin kullanımına ilişkin politika

12.3.2 Anahtar yönetimi

12.4 Sistem dosyalarının güvenliği

12.4.1 Operasyonel yazılımın kontrolü

12.4.2 Sistem test verisinin korunması

12.4.3 Program kaynak koduna erişim kontrolü

12.5 Geliştirme ve destekleme proseslerinde güvenlik

12.5.1 Değişim kontrol prosedürleri

12.5.2 İşletim sistemindeki değişikliklerden sonra teknik gözden geçirme

12.5.3 Yazılım paketlerindeki değişikliklerdeki kısıtlamalar

12.5.4 Bilgi sızması

12.5.5 Dışarıdan sağlanan yazılım geliştirme

12.6 Teknik açıklık yönetimi

12.6.1 Teknik açıklıkların kontrolü

13 Bilgi Güvenliği İhlal Olayı Yönetimi

13.1 Bilgi güvenliği olayları ve zayıflıklarının rapor edilmesi

13.1.1 Bilgi güvenliği olaylarının rapor edilmesi

13.1.2 Güvenlik zayıflıklarının rapor edilmesi

13.2 Bilgi güvenliği ihlal olayları ve iyileştirmelerin yönetilmesi

13.2.1 Sorumluluklar ve prosedürler

13.2.2 Bilgi güvenliği ihlal olaylarından öğrenme

13.2.3 Kanıt toplama

14 İş Sürekliliği Yönetimi

14.1 İş sürekliliği yönetiminin bilgi güvenliği hususları

14.1.1 Bilgi güvenliğini iş sürekliliği yönetim prosesine dahil etme

14.1.2 İş sürekliliği ve risk değerlendirme

14.1.3 Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve gerçekleştirme

14.1.4 İş sürekliliği planlama çerçevesi

14.1.5 İş sürekliliği planlarını test etme, sürdürme ve yeniden değerlendirme

15 Uyum

15.1 Yasal gereksinimlerle uyum

15.1.1 Uygulanabilir yasaları tanımlanma

15.1.2 Fikri mülkiyet hakları (IPR)

15.1.3 Kurumsal kayıtların korunması

15.1.4 Veri koruma ve kişisel bilgilerin gizliliği

15.1.5 Bilgi işleme olanaklarının kötüye kullanımını önleme

15.1.6 Kriptografik kontrolleri düzenleme

15.2 Güvenlik politikaları ve standartlarla uyum ve teknik uyum

15.2.1 Güvenlik politikaları ve standartlarla uyum

15.2.2 Teknik uyum kontrolü

15.3 Bilgi sistemleri denetim hususları

15.3.1 Bilgi sistemleri denetim kontrolleri

15.3.2 Bilgi sistemleri denetim araçlarının korunması

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi Alınırken KOSGEB Desteklerinden Yararlanılabilir mi? Şartları Nedir? Nasıl Başvurulur.

ISO 27001 Bilgi Güvenliği belgesini kuruluşunuza ilk defa alıyorsanız ve KOBİ tanımına giriyor iseniz ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi için KOSGEB’ten destek alabilirsiniz. KOSGEB Genel Destek Programı İçerisinde Belgelendirme Desteğine başvuru yapabilirsiniz.

Kosgeb Tarafından Belgelendirme Desteği Şartları şu şekildedir;

8.11. BELGELENDİRME DESTEĞİ

8.11.1. Destek Unsurları

(1) İşletmelerin; Türk Standartları Enstitüsü (TSE), Türk Akreditasyon Kurumu (TÜRKAK) ve TÜRKAK tarafından akredite edilmiş kurum/kuruluşlardan akredite oldukları konularda alacakları ürün, sistem, personel, laboratuvar akreditasyon belgeleri ve TÜRKAK tarafından her hangi bir konuda akredite edilen belgelendirme kuruluşlarından alacakları İş Sağlığı ve Güvenliği Yönetim Sistemi (OHSAS) belgesine ilişkin giderlere destek verilir. Bu destek belge için ödenen ücreti (müracaat ve dosya inceleme, tetkik, denetim, belge ücreti) kapsar.

(2) Daha önce herhangi bir konuda sistem belgesi almış olan işletmelere aynı sistem belgesi konusunda destek sağlanmaz. Ayrıca belge yenilemeye destek verilmez.433 (3) Her bir belge için destek üst limiti 2.500 (ikibinbeşyüz) TL’yi, ISO/IEC 15408, ISO/IEC 19790, ISO/IEC 24759, ISO/IEC 15504, TS 13298, ISO 9241-151, ISO/IEC 25051, ISO/IEC 40500:2012, ISO/IEC 12207 ve ISO/IEC 15288 kapsamlarındaki belgeler için ise destek üst limiti 10.000 (onbin) TL’yi geçemez.

Olarak tanımlanmıştır. Bu kapsamda ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi TÜRKAK onaylı olarak alınması durumunda belge ücretinin %60 oranında kosgeb tarafından (%60 ücretin 2500TL yi geçemez) ödenecektir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi için ödenecek danışmanlık, Eğitim veya yazılım için KOSGEB desteği bulunmamaktadır.

ISO 27001:2017 madde A.12.6 Teknik Açıklık Yönetimi maddesi gereği ISO 27001 belgesi alacak kuruluşlar Server sistemlerinin açıklıklarını tarama yapmalı ve bu açıklıkların neler olduğunu raporlaması gerekmektedir. Bunun için şuanda kullanılan açık kaynak kodlu ve ücretsiz Nessus yazılımı kullanılabilir. Yapacağınız teknik açıklık kontrolünde DDos atakları SQL injection, Parola kontrolü, eski pluginler, port açıklıkları vb.. konuları içermelidir. Ayrıca sosyal mühendislik uygulanarak bilgi sistemleri kullanıcılarının parola ve şifre paylaşımları konusundaki bilinçliliği de ölçülmelidir. Yapılan teknik taramadan sonra çıkan açıklıklar risk değerlendirmede ela alınmalı ve yüksek çıkan riskleri için planlamalar oluşturulmalıdır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi ve Sistem Odasının Fiziksel Güvenlik alt yapısı nasıl olmalıdır.

Giriş Kontrolü

• Sistem odasına girişler kontrollümü?(Kart Okuyucu, Avuç içi damar okuyucu veya Şifreli Giriş Var mı?
• Sistem odası girişleri Loglanmakta mıdır?

Çıkış Kontrolü

• Sistem odası çıkışları loglanıyor mu?
• Sistem odası kapısı açil bir durum karşısında dışarı doğru açılıyor mu?
• Sistem odası kapısında Push sistemi mevcut mu?

Su Baskını Kontrolü

• Sistem odası yapının orta katında mı?
• Su basmasına karşı su tahliye yolları planlanmış mı?
• Sistem odası zemini yerden yükseltilmiş mi?(15-20 cm)

Isı Toz ve Nem Kontrolü

• Sistem odası Kliması mevcut mu?
• Klima sistemi Devre dışı kalmasına yönelik tedbir mevcut mu?
• Homojen olarak oda sıcaklığı ayarlanmış mı?
• İlgili yerlerde Isı ölçerler mevcut mu?(odanın büyüklüğüne göre zeminde tavanda, kabinde ölçüm)
• Oda sıcaklığı 10-40 C arasında mı?
• Sıcaklığın aşılması durumunda uyarı sistemi mevcut mu?
• Nem Ölçerler mevcut mu?
• Sunucular Toza karşı korunuyor mu?

Yangın Kontrolü

• Yangın Algılama sistemi mevcut mu?
• Gazlı Yangın Söndürücü Kullanılıyor mu?(FM200 Vb..)
• Yangın Söndürme siteminin basınç kontrolü mevcut mu?

Enerji Kontrolü

• Enerji kabloları Kablo kanalı ile korunmakta mı?
• Elektrik Kesintisine karşı UPS sistemi mevcut mu? Kapasitesi Yeterlimi?
• Enerji Yedekleme sistemi mevcut mu?(Jeneratör Alt Yapısı var mı?)
• UPS çalışması sırasında oluşan manyetik alandan Serverler korunabilmekte mi?
• Topraklama Yapılmış mı? Ölçüm Sonuçlarına göre önlemler yeterlimi?
• Zemin antistatik özelliklere sahip mi?

Deprem Kontrolü

• Kabinler Yere veya Duvara sabitlenmiş mi?
• Kabinler arası yerleşim uygun mu? Havalandırma Şartlarına uygun tasarlanmış mı?
• Depreme Yönetmeliği şartları sağlanıyor mu?

Kablolama Kontrolü

• Kablolarda etiketlemeler yapılmış mı?
• Kablolar kablo kanalı ile korunmakta mı?
• Haşerelere karşı kablolar korumaya alınmış mı?
• Kablolar düzenli bir şekilde duruyor mu?

ISO 27001 Bilgi Güvenliği Yönetim Sisteminde Sistem odası istenen şartları sağlamıyor yine de belge alınabilir mi?

ISO 27001 Bilgi Güvenliği Yönetim Sistemi için  Sistem odası için birçok şart istenmektedir fakat ISO 27001 standardı bir yönetim standardı olması sebebiyle olabilecek eksiklikleri kuruluşların fark edip bu eksiklikler için plan yapmaları istenmektedir. Yani istenen şart sistem odası ile ilgili risk değerlendirme yapılmalı ve çok riskli bir durum söz konusu olmadığı durumda (majör bir eksiklik yok ise)  belge almaya engel değildir. Zaten belgenin amacı eksikliklerinizi fark edip bunları gidermek için plan yapmaktır. Dolayısıyla sistem odası için yapacağınız risk değerlendirmede yüksek çıkan riskler için plan, program, sorumlu ve bütçeleme yapıp bu plan çerçevesinde ilerlemeniz belge almanıza engel değildir.

ISO 27001 Bilgi Güvenliği Yönetim Sisteminde Active Directory Kullanılmıyor yine de belge alınabilir mi?

ISO 27001 Kuruluşun büyüklüğü göz önüne alınarak yapılan risk değerlendirme sonucu eğer bir domain yapısı kullanmamanız çok ciddi bir risk oluşturmuyor ise belge alabilirsiniz. Örneğin 5 kişinin çalıştığı bir şirkette çok fala gizli bilginin olmadığı bu kuruluşta bir domain yapısı olmaması çok riskli değildir. Fakat 500 kişinin çalıştığı ve çok gizli verilerin olduğu, Ar-ge çalışmalarının yapıldığı bir kuruluşta domain yapısı olmadan 500 kullanıcıyı yönetmek imkânsız olacağından Active Directory yapısının kurulması gerekmektedir.

ISO 27001 Bilgi Güvenliği Yönetim Sisteminde Felaket Kurtarma Merkezi Kurmak Zorunluluğu var mı?

Yine tüm bu soruların cevabı risk değerlendirme sonucu verilebilir. Yukarıdaki örnekte de bahsettiğimiz gibi 5-10 kişinin çalıştığı bir kuruluşun verilerini yedeklenmemesi çok riskli olmayabilir ve FKM kurmak zorunda olmayabilir. Fakat bir banka iseniz sisteminizden saniyeler içinde binlerce veri işleniyorsa. Anlık bir veri kaybı dahi sizin için çok riskli ise FKM kurma zorunluluğunuz olacaktır.

ISO 27001:2017 Bilgi Güvenliği Yönetim Sistemi Dokümanları

ISO 27001:2017 Bilgi Güvenliği Yönetim Sistemi versiyonuna ait ve son güncelemeleride yapılmış şekilde doküman seti veya dokümanları alabilirsiniz.

Doküman satınalmak için tıklayınız.

ISO 27001:2017 Bilgi Güvenliği Yönetim Sistemi Eğitimi / Online Eğitim

ISO 27001:2017 Bilgi Güvenliği Yönetim Sistemi Online Eğitimi alarak sertifikanızı alabilirsiniz. hemde yüz yüze eğitimden çok daha ucuza halledebilirsiniz. dilerseniz yüz yüze eğitimlerimizede katılabilirsiniz.

Online ISO 27001:2017 Bilgi Güvenliği Yönetim Sistemi eğitimi almak için tıklayınız.