Enerji Sektöründe ISO 27001 Bilgi Güvenliği Zorunluluğu

450

Enerji Sektöründe ISO 27001 Bilgi Güvenliği Zorunluluğu

Elektronik Haberleşme Güvenliği kapsamında ülkemizde belgelendirilmesi zorunlu tutulan ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardı yıllar içerisinde çeşitli yönetmelikler ile farklı sektörden kurum ve kuruluşlar içinde zorunlu hale getirilmiştir. En son Gümrük İşlerinin Kolaylaştırılması Yönetmeliği ile karşımıza çıkmıştı.

Bu makalemde de Enerji Sektörü ile ilgili 26 Aralık 2014 Tarihli ve 29217 Sayılı Resmî Gazete’de değişiklikleri yayınlanan ve 3 farklı sektöre gelen ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi belgelendirilme zorunluluğu ile ilgili yönetmeliklerden ve bu bağlamda sektördeki firmaların izleyeceği yol veya yollar hakkında ufak bir bilgilendirme yapacağım.

İlk etapta gözüme çarpan olay, zorunlu tutulan yönetmeliklerde belirtilen akreditasyon şartının farklılaştırılmış olması. Örnek olarak Elektronik Haberleşme Güvenliği Kapsamında “Uygunluk belgesi: TS ISO/IEC 27001 veya ISO/IEC 27001 belgesi verebilmek üzere akredite edilmiş kuruluşlardan alınan”  yani alınan belgenin akreditasyonunun hangi ülkeye ait olduğunun farketmeyeceğini belirtmesine rağmen, Gümrük İşlerinin Kolaylaştırılması Yönetmeliği içerisinde “Avrupa Akreditasyon Birliğinin karşılıklı tanıma anlaşmalarına imza atmış akreditasyon kurumları tarafından akredite edilmiş uygunluk değerlendirme kuruluşlarınca düzenlenecek ve akreditasyon kurumunun markasını taşıyan güncel ISO 9001 ve ISO 27001 sertifikalarının” olarak belirtilmekteydi. Bu yeni yönetmeliklerde ise Direk TÜRK AKREDİTASYON KURUMU (TÜRKAK) tarafından akredite edilmiş kuruluşlardan alınmasını belirtiyor.

Enerji sektörü ile ilgili olarak kimlere zorunlu bu belge sorusunu sorduğumuzda sektörel olarak Elektrik, doğalgaz ve petrol piyasalarındaki firmalara zorunlu tutuluyor. Bu bağlamda da yukarıda tarih ve sayı olarak vermiş olduğum resmi gazetede yayınlanan 3 adet yönetmelik değişikliği gözümüze çarpıyor bunlar Enerji Piyasası Düzenleme Kurumu (EPDK) tarafından yayınlanmış olup;

PETROL PİYASASI LİSANS YÖNETMELİĞİNDE DEĞİŞİKLİK YAPILMASINA DAİR YÖNETMELİK

DOĞAL GAZ PİYASASI LİSANS YÖNETMELİĞİNDE DEĞİŞİKLİK YAPILMASINA DAİR YÖNETMELİK

ELEKTRİK PİYASASI LİSANS YÖNETMELİĞİNDE DEĞİŞİKLİK YAPILMASINA DAİR YÖNETMELİK

 Bu 3 yönetmelikle karşımıza çıkmıştır.

 Peki ne yazıyor bu yönetmeliklerde?

Elektrik Piyasası ile ilgili olan kısımda yönetmelik içerisinde Madde 2.d’de

OSB üretim lisansı sahipleri hariç olmak üzere, kurulu gücü 100 MW ve üzerinde olan ve geçici kabulü yapılmış bütün üretim tesisleri için, kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletmek, TS ISO/IEC 27001 standardına uygun faaliyet gösterdiğini Türk Akreditasyon Kurumuna (TÜRKAK)akredite olmuş bir belgelendirme kuruluşuna ispat ederek sistemlerini belgelendirmek ve söz konusu belgelerin geçerliliğini sağlamak.

Yine aynı yönetmelik içerisinde Madde 3.p’de

Kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletmek, TS ISO/IEC 27001 standardına uygun faaliyet gösterdiğini Türk Akreditasyon Kurumuna akredite olmuş bir belgelendirme kuruluşuna ispat ederek sistemlerini belgelendirmek ve söz konusu belgelerin geçerliliğini sağlamak,

 

Petrol Piyasası ile ilgili olan kısımda yönetmelik içerisinde 2.n içerisinde

“n) Kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletmek, TS ISO/IEC 27001 standardına uygun faaliyet gösterdiğini Türk Akreditasyon Kurumuna akredite olmuş bir belgelendirme kurumuna ispat ederek sistemlerini belgelendirmek ve söz konusu belgelerin geçerliliğini sağlamak”

35 ve 36. Maddesinde ise kapsamı belirtilmiştir.

“35) Kurumsal Bilişim Sistemi: Kuruluş çalışanları tarafından kullanılan bilgisayarlar, bunlara hizmet veren dosya, uygulama, veri tabanı ve e-posta sunucusu ve ağ altyapısının tamamını,
36) Endüstriyel Kontrol Sistemleri: Enerjinin üretilmesi, enerji sağlayan ham petrol, taş kömürü ve benzeri hammaddelerin işlenip tüketime hazır hale getirilmesi, enerjinin iletim veya dağıtım katmanları aracılığı ile aktarılması gibi süreçlerin bir veya birden fazla merkezden izlenmesini, bazen de yönetilmesini sağlayan bilgi ve iletişim sistemlerini,”

Doğalgaz için ise

“İletim lisansı sahibi, çalıştırdığı kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletmek, TS ISO/IEC 27001 standardına uygun faaliyet gösterdiğini Türk Akreditasyon Kurumuna akredite olmuş bir belgelendirme kurumuna ispat ederek sistemlerini belgelendirmek ve söz konusu belgelerin geçerliliğini sağlamakla yükümlüdür.”

ve

“Sevkiyat kontrol merkezi kurmakla yükümlü dağıtım lisansı sahibi, çalıştırdığı Kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletmek, TS ISO/IEC 27001 standardına uygun faaliyet gösterdiğini Türk Akreditasyon Kurumuna akredite olmuş bir belgelendirme kurumuna ispat ederek sistemlerini belgelendirmek ve söz konusu belgelerin geçerliliğini sağlamakla yükümlüdür.”

Yayınlanan bu yönetmelikler içerisinde kapsam ve belgelendirme için neler yazdığına değindik. Bu yönetmelikler içindeki yükümlülükler de 01/03/2016 tarihinde yürürlüğe girecektir.

Bu yönetmelik şartlarına uyan firmaların 01/03/2016 tarihine kadar bu belgeyi almaları gerekmektedir. Bu belgeyi almaları için ne gibi yollar izlemesi gerektiği ile ilgili de tek bir tavsiyem olacak. Kaliteli ve iyi bir danışmanlık hizmeti alarak denetime hazır hale gelmek olacaktır.

Geçen gün sevdiğim bir abimin (Gürcan GÜRSU) sayfasında gördüğüm bir söz ile makalemi sonlandırıyorum.

“Dünyada hiç kimse hiçbir şeyi daha kötü yapmadan daha ucuza satamaz. Bir malın / hizmetin sadece fiyatına bakmak bazı hileleri kabul etmek demektir.

 

2 Yorumlar

  1. Dostum Bu Yönetmeliğe göre IT Altyapısı Başka Bir yerde Olan Bir Elektrik Dağıtım Firması, IT Altyapı Destek Hizmetlerini Ayırmak Zorunda mı? Aynı BDDK daki gibi.
    Yani Holding içinde Banka İştiraki var ise Banka İle İlgili Tüm Altyapı ve IT Hizmetini Holding den ayrı Tutması gerekli gibi

CEVAP VER

Please enter your comment!
Please enter your name here