TRB ISO BELGELENDİRME PROSEDÜRÜ

(1)

HAZIRLAYAN ONAYLAYAN

YÖNETİM TEMSİLCİSİ GENEL MÜDÜR

TRB ISO 27001 Belgelendirme Prosedürü; ISO/IEC 27006:2015 ve TÜRKAK rehberleri kapsamında, TRB Belgelendirme Teknik Kontrol ve Gözetim Hizmetleri Ltd. Şti. tarafından ISO 27001 Bilgi Güvenliği Yönetim sistemi sertifikasyon süreçlerinin yürütülmesi amacıyla hazırlanmıştır. TRB’den izin alınmadan kopyalanamaz veya herhangi bir şekilde çoğaltılamaz. Tüm yasal hakkı, TRB Belgelendirme Teknik Kontrol ve Gözetim Hizmetleri Ltd. Şti’ne

aittir. Bu doküman web sitesinde yayımlanması nedeni ile belgelendirme hizmeti verilen kuruluşlarda bulunması kontrollü kopya sayılmaktadır.

REVİZYON FORMU

Revizyon No Revizyon Tarihi Revizyon Sebebi ve Yeri

00 28.11.2016 İlk Yayın

01 06.09.2017 7.1.2.2 maddesinde aday denetçi / denetçi / baş denetçi / teknik uzman mülakat / atama / değerlendirme konusunu içeren sayfa 10 içerisinde TRB uygulama kriterlerine uygun olarak revizyon yapıldı ve ilgili dokümanlar bölümüne F003 İmza Beyan Formu eklendi.

02

23.09.2017 ISO 27006:2015 standardı kapsamında madde başlıklarında genel düzenlenme yapıldı.

02 23.09.2017 MD.9.1.1 içerisinde talep edilen resmi evraklar hususu uygulamalara istinaden detaylandırılmıştır.

02 23.09.2017 MD. 9.1.4.1 Denetim Süresi hususunda uygulamalar ve standart kapsamında revizyon yapılmıştır

(2)

1. Kapsam:

ISO / IEC 17021-1:2015 Uygunluk Değerlendirmesi - Yönetim Sistemlerinin Tetkikini ve Belgelendirilmesini Sağlayan Kuruluşlar için Şartlar standardı kapsamında hazırlanan TRB Sistem Belgelendirme El Kitabı (TRB-SEK) dokümantasyonunun bir eki olan bu prosedür; ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi sertifikasyon hizmetleri uygulama esaslarını içeren ISO 27006:2015 Bilgi Teknolojisi - Güvenlik Teknikleri - Bilgi Güvenliği Yönetim Sistemlerinin Tetkik ve Belgelendirilmesini Yapan Kuruluşlar için Şartlar standardı ile IAF ID ve MD dokümanları, EA dokümanları ve Türkak Rehber dokümanları referans alınarak hazırlanmıştır.

2. Normatif Referanslar

Aşağıdaki dokümanlar normatif referanslar olarak belirtilmiştir:

 ISO 17021-1:2015 Uygunluk Değerlendirmesi – Yönetim Sistemlerinin Denetimi ve Sertifikasyonu Sağlayan Kuruluşlar İçin Gereklilikler,

 ISO 27006:2015 Bilgi Bilgi Teknolojisi - Güvenlik Teknikleri - Bilgi Güvenliği Yönetim Sistemlerinin Tetkik ve Belgelendirilmesini Yapan Kuruluşlar için Şartlar,

 ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi – Güvenlik Teknikleri - Bilgi Güvenliği Yönetim Sistemlerinin Denetimi ve Belgelendirilmesini Sağlayan Kuruluşların Gereklilikleri Standardı,

 IAF ID ve MD dokümanları,

 EA Dokümanları,

 Türkak Rehberleri.

3. Koşullar ve Tanımlar

Bu prosedür ISO / IEC 17021-1:2015 Uygunluk Değerlendirmesi - Yönetim Sistemlerinin Tetkikini ve Belgelendirilmesini Sağlayan Kuruluşlar için Şartlar standardı kapsamında hazırlanan TRB Sistem Belgelendirme El Kitabı (TRB-SEK) dokümantasyonunun bir eki olarak hazırlanmıştır.

ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi sertifikasyon hizmetleri uygulama esaslarını içeren ISO 27006:2015 Bilgi Teknolojisi - Güvenlik Teknikleri - Bilgi Güvenliği Yönetim Sistemlerinin Tetkik ve

Belgelendirilmesini Yapan Kuruluşlar için Şartlar gereklerine atıfta bulunarak TRB'nin faaliyetlerini ve sertifikasyon süreçlerinin dokümante edilmesini kapsamaktadır.

4. İlkeler

İlkelerimiz TRB -SEK Sistem Belgelendirme El Kitabı Madde 4 Prensipler içerisinde ISO 17021-1:2015 madde 4 gerekliliklerine göre belirlenmiş ve dokümante edilerek yayınlanmıştır.

İlgili Dokümanlar:

TRB-SEK TRB Sistem Belgelendirme El Kitabı Md.4 Prensipler 5. Genel Şartlar

Genel şartlar içerisinde belirtilen; Md.5.1 Yasal ve Sözleşmeye Dayalı Hususlar, Md.5.2 Tarafsızlığın Yönetilmesi ve Md. 5.3 Yükümlülük ve Finansman konuları TRB Sistem El Kitabı Madde 5 Genel Şartlar içerisinde ISO 17021-1:2015 madde 5 gerekliliklerine göre belirlenmiş ve dokümante edilerek yayınlanmıştır.

- TRB-SEK TRB Sistem Belgelendirme El Kitabı Md.5 Genel Gereklilikler 6. Yapısal Şartlar

Yapısal gereklilikler ile ilgili hususlar, TRB Sistem El Kitabı Madde 6 Yapısal Gereklilikler içerisinde ISO 17021-1:2015 madde 6 gerekliliklerine göre belirlenmiş ve dokümante edilerek yayınlanmıştır.

- TRB-SEK TRB Sistem Belgelendirme El Kitabı Md.6 Yapısal Gereklilikler 7. Kaynak Şartları

7.1 Personelin Yeterliliği

(3)

TRB; personel yeterliliği hususundaki uygulamaları ISO 17021-1: 2015 madde 7.1 Kaynak Gereksinimleri kapsamında TRB Sistem Belgelendirme El Kitabı Md. 7.1 Personelin Yeterliliği içerisinde dokümante edilmiştir.

7.1.1 Genel Değerlendirme

7.1.1.1 Genel Yeterlilik Şartları

ISO 17021-1: 2015 madde 7.1 Kaynak Gereksinimleri TRB Sistem Belgelendirme El Kitabı içerisinde Tablo- 1 Gerekli Bilgi ve Beceriler bölümü ile belirlenmiştir. Ek olarak; ISO 27006:2015 gereklilikleri bu prosedürde

bulunan Tablo-1 Bilgi Güvenliği Denetim Ekibi ve Sertifikasyon Faaliyetleri için Bilgi ve Beceriler Tablosu doğrultusunda belirlenen BGYS Müdürü, Belgelendirme Tescil Komitesi Başkan ve üyeleri, Sertifikasyon

Koordinatörü ve Yönetim Temsilcisi ile denetim ekibi üyeleri yeterlilik kriterleri sağlanarak bu alanda çalışan bütün personel için F023A Yetkinlik Matrisi - BGYS Müdürü, F023B Yetkinlik Matrisi - BGYS Başdenetçi, F023C Yetkinlik Matrisi - BGYS Denetçi, F023D Yetkinlik Matrisi - BGYS Komite ile ilgili personel / denetçi / komite üyesi dosyaları içerisinde kayıt altına alınmıştır. Personeller yeterliliklerin sürdürülebilirliğinin ispatı için TRB-SEK Sistem

Belgelendirme El Kitabı md. 7.1.1 Genel Değerlendirme içersinde yer alan Tam Zamanlı Personelin Performans Değerlendirmesi başlığı altında detaylı şekilde anlatılan değerlendirme esaslarına tabiidir ve değerlendirme sonuçları ilgili personel dosyasında F022 Personel Performans Ölçme Değerlendirme Formu ile kayıt altına alınmaktadır.

Tablo-1: Bilgi Güvenliği Denetim Ekibi ve Sertifikasyon Faaliyetleri için Bilgi ve Beceriler Belgelendirme Faaliyetleri

BGYS Müdürü Başvuru Gözden Geçirme

(Başvuru Gözden Geçirme Sırasında Denetim Ekibi Yeterliliğinin ve Denetim Süresinin Belirlenmesi)

Belgelendirme Tescil Komitesi

(Denetim Raporlarının İncelenmesi ve Belgelendirme Kararının Verilmesi)

Sertifikasyon Koordinatörü / Yönetim Temsilcisi (Baş Denetçi ve Denetim Ekibi Yetkinlik Kriterlerinin

Belirlenmesi ve Denetçi / Teknik Uzmanların Atanması) Bilgi ve Beceriler

Bilgi güvenliği yönetimi terminolojisi, ilkeleri, uygulamaları ve teknikleri

X X

Bilgi güvenliği yönetim sistemi standatları / normatif dokümanlar

X X X

İşletme yönetimi

uygulamaları X

Müşteri iş sektörü X X X

Müşteri ürünleri, prosesleri ve organizasyonu

X X X

TRB, bu uygulama dışında TRB-SEK Sistem Belgelendirme El Kitabı md.7.1.1.2 Denetim Ekibi Yeterlilik Değerlendirmesi ve Yeterliliğin Sürdürülmesi maddesinde detaylı şekilde anlatıldığı gibi sürekli olarak denetçi değerlendirmeleri aşağıda belirtilen alanlarda ayrı ayrı yapılmaktadır.

- Denetçinin TRB tarafından sahada değerlendirilmesi

- Denetim ekibinde bulunan baş denetçi tarafından değerlendirilme - Müşteri geri beslemeleri ile değerlendirme

- Belgelendirme tescil komitesi tarafından raporlara göre değerlendirme

TRB; yapılan bu değerlendirmeler sonucunda ek olarak; TRB-SEK Sistem Belgelendirme El Kitabı

md.7.1.1.2 Denetim Ekibi Yeterlilik Değerlendirmesi ve Yeterliliğin Sürdürülmesi maddesinde detaylı şekilde anlatıldığı üzere Yönetim Temsilcisi tarafından da denetçi değerlendirmeleri yapılmaktadır. Yönetim temsilcisi tarafından

yapılacak performans puanı hesabının yapılma yöntemi ve hesaplanan puanlara göre TRB tarafından yapılacak

(4)

faaliyetde TRB-SEK Sistem Belgelendirme El Kitabı md.7.1.1.2 Denetim Ekibi Yeterlilik Değerlendirmesi ve Yeterliliğin Sürdürülmesi maddesinde açıklanmıştır. TRB'de Yönetim Temsilcisi aynı zamanda BGYS Müdürü ve Baş denetçi olarak TRB denetçi havuzunda bulunduğundan dolayı tarafsızlık ve bağımsızlık ilkesine dayalı olarak değerlendirmeleri Yönetim Temsilcisi tarafından yukarıda anlatılan uygulama yöntemleri ile Sertifikasyon Müdürü tarafından yapılmaktadır. Uygulama, bu prosedür içerisinde yer alan 7.1.2 Yeterlilik Kriterlerinin Belirlenmesi ve tüm alt maddeleri için TRB tarafından aynı şekilde uygulanmakta ve kayıtları muhafaza edilmektedir.

- CV

- Referans yazıları

- ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi Baş Denetçi Sertifikası - Sahip olunan diğer sertifikalar

- Diplomalar

- F023A Yetkinlik Matrisi - BGYS Müdürü - F023B Yetkinlik Matrisi - BGYS Başdenetçi - F023C Yetkinlik Matrisi - BGYS Denetçi - F023D Yetkinlik Matrisi - BGYS Komite - F020A Baş Denetçi Değerlendirme Formu

- F020B Denetçi-Teknik Uzman Değerlendirme Formu - F020C Komite Baş Denetçi Değerlendirme Formu

- F020D Denetim Ekibinin Baş Denetçi Tarafından Değerlendirilmesi Formu - F031 Müşteri Memnuniyet Anketi

- F022 Personel Performans Ölçme Değerlendirme Formu 7.1.2 Yeterlilik Kriterlerinin Belirlenmesi

7.1.2.1 Bilgi Güvenliği Yönetim Sistemi Denetimi için Yeterlilik Kriterleri 7.1.2.1.1 Genel Şartlar

TRB; denetim ekibi üyelerinden aldığı CV, referans yazıları, Bilgi Güvenliği Yönetim Sistemi Baş Denetçi sertikası ve sahip olunan diğer sertifikalar, diplomalar, denetçi adayı daha önce herhangi bir belgelendirme kuruluşuna bağlı olarak iç / dış denetçi olarak görev aldı ise ilgili belgelendirme kuruluşundan alınmış olan denetçi kayıtları ile denetim ekibi üyelerinin geçmiş iş tecrübelerini, spesifik eğitimlerini veya bilgi seviyelerini doğrulamak için asgari düzeyde aşağıdaki kontrollerin uygulanmasını sağlayarak denetim gerçekleştirir ve bu kayıtlar ilgili denetçi dosyasında Yönetim Temsilcisi ve Sertifikasyon Koordinatörü kontrolünde muhafaza edilmektedir. TRB;

müşteri kuruluş denetim ekibi üyelerinin belirlenmesi sürecinde BGYS Müdürü tarafından bu durumun kontrolünün sağlanması yöntemi ile denetim ekibini belirlemekte ve F09 ISO 27001 Denetim Ekibi Atama Formu ile kayıt altına alınarak müşteri kuruluş dosyasında muhafazasını sağlamaktadır.

İlgili kontroller:

a) Bilgi Güvenliği alanındaki bilgi düzeyi, b) Denetlenecek faaliyet hakkında teknik bilgi, c) Yönetim Sistemleri bilgisi,

d) Denetim ilkeleri bilgisi,

e) BGYS ölçme izleme, analiz ve değerlendirme.

- CV

- Diplomalar

(5)

- F09 ISO 27001 Denetim Ekibi Atama Formu

7.1.2.1.2 Bilgi Güvenliği Yönetim Sistemi Terminolojisi, Ilkeleri, Uygulamaları Ve Teknikleri hususunda kontrol sağlanması için:

Bilgi Güvenliği Yönetim Sistemi denetimlerinin gerçekleştirilebilmesi için tüm denetim ekibi üyelerinin aşağıdaki hususlarda yetkinliklerini ispat etmeleri beklenir:

i. Bilgi Güvenliği Yönetim Sistemi dokümantasyon yapısı, genel şartları içeren maddeler ve EK-A uygulama kontrol maddeleri arasındaki ilişkiler,

ii. Bilgi Güvenliği Yönetimi ile ilgili uygulamalar, uygulama yöntemleri ve tekniklerin uygulanması, iii. Bilgi Güvenliği risk değerlendirme ve yönetimi,

iv. Bilgi Güvenliği uygulama prosesleri,

v. Bilgi Güvenliği ihlal olayları ile ilgili teknolojik süreçler.

Denetim ekibi üyelerinin tamamı Bilgi Güvenliği Yönetim Sistemi dokümantasyon yapısı, genel şartları içeren maddeler ve EK-A uygulama kontrol maddeleri arasındaki ilişkiler, bilgi güvenliği risk değerlendirme ve yönetimi ile bilgi güvenliği uygulama prosesleri hakkında bilgi ve deneyim sahibi olması gerekmekte ve bu

gereklilikleri TRB'ye teslim ettiği denetçi evrakları ile yazılı olarak beyan etmekle yükümlüdür. TRB; bu kayıtları ilgili denetçi dosyasında Yönetim Temsilcisi ve Sertifikasyon Koordinatörü kontrolünde muhafaza etmektedir. TRB;

müşteri kuruluş denetim ekibi üyelerinin belirlenmesi sürecinde BGYS Müdürü tarafından bu durumun kontrolünün sağlanması yöntemi ile denetim ekibini belirlemekte ve F09 ISO 27001 Denetim Ekibi Atama Formu ile kayıt altına alınarak müşteri kuruluş dosyasında muhafazasını sağlamaktadır.

- CV

- Diplomalar

NOT: Denetçi adayı, ISO 27001 Baş denetçi sertifikası hususunda daha önceki bir versiyona ait sertifika sahibi ise; 2013 geçiş eğitimi kaydı ve denetçi Audit Logları ile güncel revizyondaki standarda ait denetçi

uygunluğunu ispat etmekle yükümlüdür. TRB; bu kayıtları da ilgili denetçi dosyasında muhafaza etmektedir.

7.1.2.1.3 Bilgi Güvenliği Yönetim Sistemi Standartları ve Normatif Dokümanlar hususunda kontrol sağlanması için:

Bilgi Güvenliği Yönetim Sistemi denetime katılacak denetim ekibi üyelerinin aşağıdaki hususlarda yetkinliklerini ispat etmeleri beklenir:

i. ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi standart bilgisi,

ii. ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi Ek-A Uygulama Kontrol Maddeleri'nin kontrolünün sağlanması.

TRB; bu hususlardaki kontrollerini denetim ekibi üyelerinden aldığı CV, referans yazıları, Bilgi Güvenliği Yönetim Sistemi Baş Denetçi sertikası ve sahip olunan diğer sertifikalar, diplomalar, denetçi adayı daha önce herhangi bir belgelendirme kuruluşuna bağlı olarak iç / dış denetçi olarak görev aldı ise ilgili belgelendirme kuruluşundan alınmış olan Denetçi kayıtları ile sağlayarak kontrol sonuçlarını denetçi dosyalarında muhafaza etmek ile birlikte bu bilgiler ve geçmiş iş deneyimleri değerlendirmeleri ile birlikte F023A Yetkinlik Matrisi - BGYS

(6)

Müdürü, F023B Yetkinlik Matrisi - BGYS Başdenetçi, F023C Yetkinlik Matrisi - BGYS Denetçi, F023D Yetkinlik Matrisi - BGYS Komite ile ilgili personel / denetçi / komite üyesi dosyaları içerisinde kayıt altına alınmıştır. TRB;

müşteri kuruluş denetim ekibi üyelerinin belirlenmesi sürecinde BGYS Müdürü tarafından bu durumun kontrolünün sağlanması yöntemi ile denetim ekibini belirlemekte ve F09 ISO 27001 Denetim Ekibi Atama Formu ile kayıt altına alınarak müşteri kuruluş dosyasında muhafazasını sağlamaktadır.

- CV

- Diplomalar

7.1.2.1.4 İşletme Yönetimi Uygulamaları hususunda kontrol sağlanması için:

i. Sanayi sektörü bilgi güvenliği uygulamaları ve bilgi güvenliği prosedürleri,

ii. İşletme sektörü gereklilikleri ve işletme sektörnde uygulanabilir olan bilgi güvenliği süreçleri ile alakalı politikalar,

iii. Genel iş yönetimi prosesleri, uygulamaları ve politika, hedefler ve sonuçlar arasındaki süreçler,

iv. Yönetim prosesleri ve ilgili terminoloji.

Bu prosesler hakkındaki bilgiler ile insan kaynakları yönetimi, iç ve dış iletişim ve diğer ilgili destekleyici prosesler hakkındaki bilgileri ile birlikte denetim ekibi üyelerinin TRB'ye yazılı olarak ispat etmesi beklenir. TRB; bu hususlardaki kontrollerini denetim ekibi üyelerinden aldığı CV, referans yazıları, Bilgi Güvenliği Yönetim Sistemi Baş Denetçi sertikası ve sahip olunan diğer sertifikalar, diplomalar, denetçi adayı daha önce herhangi bir belgelendirme kuruluşuna bağlı olarak iç / dış denetçi olarak görev aldı ise ilgili belgelendirme kuruluşundan alınmış olan Denetçi kayıtları ile sağlayarak kontrol sonuçlarını F023A Yetkinlik Matrisi - BGYS Müdürü, F023B Yetkinlik Matrisi - BGYS Başdenetçi, F023C Yetkinlik Matrisi - BGYS Denetçi, F023D Yetkinlik Matrisi - BGYS Komite ile ilgili personel / denetçi / komite üyesi dosyaları içerisinde kayıt altına alınmıştır. TRB; müşteri kuruluş denetim ekibi üyelerinin belirlenmesi sürecinde BGYS Müdürü tarafından bu durumun kontrolünün sağlanması yöntemi ile denetim ekibini belirlemekte ve F09 ISO 27001 Denetim Ekibi Atama Formu ile kayıt altına alınarak müşteri kuruluş dosyasında muhafazasını sağlamaktadır.

- CV

- Diplomalar

- F023A Yetkinlik Matrisi - BGYS Müdürü - F023B Yetkinlik Matrisi - BGYS Başdenetçi - F023C Yetkinlik Matrisi - BGYS Denetçi

(7)

- F023D Yetkinlik Matrisi - BGYS Komite - F020A Baş Denetçi Değerlendirme Formu

7.1.2.1.5 Müşteri İşletme Sektörü hususunda kontrol sağlanması için:

i. Belirli bilgi güvenliği alanı için yasal ve düzenleyici gereklilikler ile müşteri kuruluşun bulunduğu coğrafi yapı ve bu yapının yetki alanı (yasal olarak köklü geçmişe sahip firmalara uygulanmaz.)

ii. İşletme sektörü bilgi güvenliği riskleri,

iii. Genel terminoloji, prosesler ve müşteri kuruluş sektörü ile ilgili teknolojiler, iv. Müşteri kuruluş işletme sektörü uygulamaları.

Denetim ekibi üyeleri arasında belirli bilgi güvenliği alanı için yasal ve düzenleyici gereklilikler ile müşteri kuruluşun bulunduğu coğrafi yapı ve bu yapının yetki alanı hakkında bilgi ve deneyim sahibi olması hususunun paylaşılabilmesi mümkündür. TRB; bu hususlardaki kontrollerini denetim ekibi üyelerinden aldığı CV, referans yazıları, Bilgi Güvenliği Yönetim Sistemi Baş Denetçi sertikası ve sahip olunan diğer sertifikalar, diplomalar, denetçi adayı daha önce herhangi bir belgelendirme kuruluşuna bağlı olarak iç / dış denetçi olarak görev aldı ise ilgili belgelendirme kuruluşundan alınmış olan Denetçi kayıtları ile sağlayarak kontrol sonuçlarını F023A Yetkinlik Matrisi - BGYS Müdürü, F023B Yetkinlik Matrisi - BGYS Başdenetçi, F023C Yetkinlik Matrisi - BGYS Denetçi, F023D Yetkinlik Matrisi - BGYS Komite ile ilgili personel / denetçi / komite üyesi dosyaları içerisinde kayıt altına alınmıştır.

TRB; müşteri kuruluş denetim ekibi üyelerinin belirlenmesi sürecin BGYS Müdürü tarafından bu durumun

kontrolünün sağlanması yöntemi ile denetim ekibini belirlemekte ve F09 ISO 27001 Denetim Ekibi Atama Formu ile kayıt altına alınarak müşteri kuruluş dosyasında muhafazasını sağlamaktadır.

- CV

- Diplomalar

7.1.2.1.6 Müşteri Ürünleri, Prosesleri Ve Organizasyonu hususunda kontrol sağlanması için:

i. Organizasyonun yapısının etkisi, büyüklüğü, yönetimi, yapısı, işlevleri ve bilgi güvenliği yönetim sistemleri uygulama faaliyetlerinde dış kaynaklı proses kullanımı,

(8)

ii. Kapsamlı olarak karmaşık operasyon uygulamalarının kontrolünün sağlanması, iii. Ürün ve hizmetlere yönelik uygulanabilir yasal ve düzenleyici gereklilikler.

Denetim ekibi üyeleri arasında organizasyonun yapısının etkisi, büyüklüğü, yönetimi, yapısı, işlevleri ve bilgi güvenliği yönetim sistemleri uygulama faaliyetlerinde dış kaynaklı proses kullanımı hakkında bilgi ve deneyim sahibi olması hususunun paylaşılabilmesi mümkündür. TRB; bu hususlardaki kontrollerini denetim ekibi üyelerinden aldığı CV, referans yazıları, Bilgi Güvenliği Yönetim Sistemi Baş Denetçi sertikası ve sahip olunan diğer sertifikalar, diplomalar, denetçi adayı daha önce herhangi bir belgelendirme kuruluşuna bağlı olarak iç / dış denetçi olarak görev aldı ise ilgili belgelendirme kuruluşundan alınmış olan Denetçi kayıtları ile sağlayarak kontrol sonuçlarını F023A Yetkinlik Matrisi - BGYS Müdürü, F023B Yetkinlik Matrisi - BGYS Başdenetçi, F023C Yetkinlik Matrisi - BGYS Denetçi, F023D Yetkinlik Matrisi - BGYS Komite ile ilgili personel / denetçi / komite üyesi dosyaları içerisinde kayıt altına alınmıştır. TRB; müşteri kuruluş denetim ekibi üyelerinin belirlenmesi sürecinde BGYS Müdürü

tarafından bu durumun kontrolünün sağlanması yöntemi ile denetim ekibini belirlemekte ve F09 ISO 27001 Denetim Ekibi Atama Formu ile kayıt altına alınarak müşteri kuruluş dosyasında muhafazasını sağlamaktadır.

- CV

- Diplomalar

7.1.2.2 Bilgi Güvenliği Yönetim Sistemi Denetim Ekibinin Liderliği İçin Yetkinlik Kriterleri

Bu prosedürün içerisinde anlatılmış olan 7.1.2.1 uygulama gerekliliklerine ek olarak TRB; denetim ekibi Baş denetçileri için aşağıdaki gereklilikleri sağlamalıdır:

i. Belgelendirme denetimi prosesinin yönetilmesi için ve denetim ekibinin bilgi ve becerilerinin kontrol sonuçlarını ortaya koyan bilgi düzeyi,

ii. Sözel ve yazılı iletişim etkinliğinin kontrolü.

Bu hususlardaki kontrolün denetçi adayları tarafından denetçi başvuruları süreçlerinde TRB tarafından talep edilen evraklar ile yazılı olarak ispat etmesi beklenir. Bu beklenti, Yönetim Temsilcisi ve Sertifikasyon Koordinatörü tarafından ilk atama sürecinde kontrol edilerek denetçi dosyalarında F023A Yetkinlik Matrisi - BGYS Müdürü, F023B Yetkinlik Matrisi - BGYS Başdenetçi, F023C Yetkinlik Matrisi - BGYS Denetçi, F023D Yetkinlik Matrisi - BGYS Komite yetkinlik matrisleri ve denetçi evrakları ile kayıt altına alınarak muhafaza edilir. TRB; müşteri kuruluş denetim ekibinde ataması yapılacak olan başdenetçinin belirlenmesi sürecinde BGYS Müdürü tarafından bu durumun kontrolünün sağlanması yöntemi ile Başdenetçi belirlemekte ve F09 ISO 27001 Denetim Ekibi Atama Formu ile kayıt altına alınarak müşteri kuruluş dosyasında muhafazasını sağlamaktadır.

- CV

- Diplomalar

- F023A Yetkinlik Matrisi - BGYS Müdürü - F023B Yetkinlik Matrisi - BGYS Başdenetçi - F023C Yetkinlik Matrisi - BGYS Denetçi - F023D Yetkinlik Matrisi - BGYS Komite

(9)

- F020A Baş Denetçi Değerlendirme Formu

TRB; 7.2.1 içerisinde detaylı şekilde anlatılmış olan bu gerekliliklerden; bilgi güvenliği alanındaki bilgi düzeyi ve BGYS ölçme izleme, analiz ve değerlendirme kontrolleri denetim ekibinde yer alacak bütün adaylar için kontrolü sağlanır. Denetlenecek faaliyet alanında teknik bilgi sahibi olmaları konusu denetim ekibi üyeleri arasında paylaşılabilir. Denetim ekibi üyelerinin tamamı müşteri kuruluş hakkında bilgi güvenliği olaylarına ait uygulamaları ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi standardına uygun olarak kontrol edecek yeterlilikte olmalıdır. Ve bu yeterlilik TRB tarafından ilk atama sürecinde Yönetim Temsilcisi ve Sertifikasyon Koordinatörü tarafından kontrol edilmektedir. Denetim ekibi üyeleri belirlenen bu kriterlerin deneyimine sahip olmalı ve TRB'ye bunu yazılı olarak beyan edebilmeleri beklenmektedir. Bu beklenti; denetim ekibi içerisinde yer alacak tüm üyeler için ayrı ayrı değil, bir ekip olarak yeterliliği sağlaması şeklindedir. TRB'de bu kontrollerin gerçekleştirilmesi için; bilgi güvenliği yönetim sistemi denetçi ekibi üyelerinin atamaları, Yönetim Temsilcisi ve Sertifikasyon Koordinatörü tarafından T.010 BGYS Kategori Kodları ve Faaliyet Alanları Talimatı içerisinde belirtilen ve bu prosedür içerisinde dokümante edilmiş olan Tablo-2 Bilgi Güvenliği Denetçi / Teknik Uzman Gereksinimleri'ne uygun olarak yapılır. Bu kriterlerin kontrolü ilk denetçi atamalarında Yönetim Temsilcisi ve Sertifikasyon Müdürü tarafından sağlanarak denetçi adayı TRB denetçi havuzuna dahil olduktan sonra, BGYS Müdürü ilgili müşteri için F005 Başvuru Gözden Geçirme Formu ile yaptığı kontrol sürecinde kriterleri sağlayacak şekilde F09 ISO 27001 Denetim Ekibi Atama Formu ile denetim ekibi üyelerini belirler.

Denetçi dosyalarının ilk değerlendirilmesi aşağıdaki kriterlere göre yapılmaktadır.

 ISO 27001 denetçi / teknik uzman başvuruları Yönetim Temsilcisi tarafından ISO 27006:2015 standardı denetçi atama esasları veTürkak Rehberlerinde belirlenen kriterlere göre değerlendirilir. Değerlendirmelere göre, diploma kaydı, eğitim kayıtları (Başdenetçi eğitimi, temel eğitimler vb.), iş tecrübesini gösteren referans mektupları ve varolan denetim kayıtları talep edilmektedir.

 Tablo-2 Bilgi Güvenliği denetçi gereksinimlerini belirtmektedir.

Tablo-2: Bilgi Güvenliği Denetçi / Teknik Uzman Gereksinimleri Kriterler Gereklilikler

Eğitim ve deneyim İki yıllık mesleki eğitim ve 5 yıllık profesyonel sektör deneyimi veya 3 yıllık yükseköğrenim ve 4 yıllık profesyonel deneyim, ISO 27001 Bilgi Güvenliği

konusunda, bilgi teknolojileri ya da bilgi güvenliği ile ilgili pozisyonlarda en az 2 yıl tam zamanlı iş tecrübesi.

Baş Denetçi Eğitimi En az 40 saat ISO 27001 Bilgi Güvenliği Yönetim Sistemi Baş Denetçi Eğitimi katılımı. Eğer, aynı süre ve içerikte farklı bir yönetim sistemi baş denetçi eğitimi alınmışsa, ISO 27001 Bilgi Güvenliği Yönetim Sistemi için 24 saatlik eğitim yeterliliği.

Denetçi Deneyimi En az 4 Bilgi Güvenliği Belgelendirme denetimine katılmış olmak.

Gözetim denetimleri ve yeniden belgelendirme denetimleri dahil olmak üzere, toplam 20 gün / en fazla 5 gün gözetim denetimi.

Katılımlar, dokümantasyon ve risk değerlendirmelerinin gözden geçirilmesini, uygulamalarını ve denetim raporlamalarını içermelidir. Güncel deneyimine bağlı olarak, profesyonel gelişiminin sürdürülebilirliği için var olan bilgi güvenliği ile denetim bilgi ve becerilerini sağlamalıdır.

Baş Denetçi En az 5 günlük Baş denetçi eğitimini başarı ile tamamlamak, TRB tarafından T.010 BGYS Kategori Kodları ve Faaliyet Alanları Talimatı'na uygun şekilde atanmış olduğu kodlara uygun kapsamlardaki bilgi güvenliği denetimlerine katılmış olmak.

Denetçi adayı daha önce başka belgelendirme kuruluşlarından ISO 27001 Bilgi Güvenliği Yönetim Sistemleri'ne katılım sağladığını Denetçi Audit Logları ile TRB'ye beyan edebiliyor ve yapılacak 1 saha denetimi gözlemi ile TRB Denetçi

(10)

Havuzu'na Baş Denetçi olarak atanabiliyor ise; bu denetçi adayı TRB tarafından gerçekleştirilecek denetimlerde denetçi olarak da görev alabilir.

Denetçiliğin

Sürdürülmesi - 3 yıl içerisinde en az 2 denetim gerçekleştirmiş olmak,

- 12 aylık süre içerisinde bilgi paylaşımı toplantılarına katılmış olmak, - 36 aylık süre içerisinde en az 1 kez sahada gözlemi yapılmış olmak.

Deneyim Paylaşımı Akredite olmuş diğer belgelendirme kuruluşları ile bilgi paylaşımı, aday denetçi / denetçi / baş denetçi / teknik uzman konularında yapılacak ilk atamalarda denetçi kayıtlarının paylaşımı, kapsam genişletme ve denetçiliğin sürdürülmesi. Denetçi 3 yıl içerisinde en az 1 kez bilgi paylaşımı toplantılarına katılmış olmak.

İstenen evrakların tamamlanmasının ardından, TRB BGYS Müdürü; aday evraklarının kontrolünü gerçekleştirir ve aday denetçi / denetçi / baş denetçi olarak TRB havuzunda yer almak için başvuru yapan aday ile; bu süreç dahil olmak üzere tüm TRB uygulamalarının gizliliğinin sağlanması için F001 Gizliliğin Korunumu Sözleşmesi, F002 Hizmet Calisma Kontratı imzalanır ve adaydan talep edilen F003 İmza Beyan Formu ile aday için TRB dosyası açılır. Dosyası açılan denetçi / teknik uzman'ın herhangi bir danışmanlık şirketi ile bağı varsa ya da firmalara yönetim sistemleri hakkında danışmanlık hizmeti sunuyorsa, bu hizmetin beyanını TRB'ye yazılı olarak yapması beklenmektedir. Açılan dosya akabinde aday denetçi / denetçi / baş denetçi için; BGYS Müdürü, F023B Yetkinlik Matrisi - BGYS Başdenetçi, F023C Yetkinlik Matrisi - BGYS Denetçi formları ile belirlenmiş olan TRB uygulama esaslarına göre yetkinlik kontrollerini sağlar.

Yetkinlik Matrisi kayıtları doğrultusunda TRB sistem dokümantasyonu içerisinde bulunan formata uygun olarak, T.010 BGYS Kategori Kodları ve Faaliyet Alanları Talimatı'nda belirlenen şartlara uygun olarak adayın TRB denetçi havuzunda yer alabileceği Kategori Kodları belirlenir. TRB havuzunda yer alan denetçi / baş denetçiler ancak; BGYS Müdürü tarafından belirlenen firma hizmet kategori kodları ile TRB havuzunda yer alan denetçi / baş denetçi kategori kodları'nın eşleşmesi durumunda ilgili firma denetim ekibinde yer alabilirler.

Başvuru sürecinde adaylardan geçmişe yönelik var ise; denetçi kayıtları talep edilir. Talep edilen bu kayıtlar, ilgili belgelendirme kuruluşu antetli kağıdında veya sistemlerine kayıtlı formlarına hazırlanmış, ilgili kuruluş kaşe ve genel müdür ya da sistem yetkili kişinin ıslak imzasını içermelidir. Bu tanımlamaya uygun olmayan denetçi kayıtları TRB tarafından kabul edilmez ve gerekçesi ile birlikte adaya BGYS Müdürü tarafından bildirilir. Denetçi kayıtlarının belirlenen formata uygun olaran TRB'ye sunulması durumunda BGYS Müdürü; ilgili belgelendirme kuruluşu ile iletişime geçerek söz konusu adayın durumu için sunulan kayıt ile ilgili yazılı olarak onay talep eder.

Alınan onay akabinde ilgili aday için hazırlanan yetkinlik matrisi içerisinde kayıt içeriği yazılı olarak kayıt altına alınır. Yapılan Yetkinlik Matrisi kontolleri ve belirlenen kategori kodları doğrultusunda Yetkinlik Matrisi Formlarının alt kısmında yer alan Açıklamalar bölümüne BGYS Müdürü aday ile ilgili izlenecek yol ve yöntem ile ilgili süreci tanımlayarak kayıt altına alır.

TRB havuzunda yer verilen aday denetçiler atandıkları kategori kodları ile alakalı olarak BGYS Müdürü tarafından belirlenen ve kategori kodları uyumlu olan ilk firma denetiminde denetim ekibine atamaları BGYS Müdürü tarafından yapılır ve denetim esnasında denetim ekibinde yer alan aday, F020A Baş Denetçi

Değerlendirme Formu ve F020B Denetçi-Teknik Uzman Değerlendirme Formu ile incelenir. İncelemeler form içerisinde belirlenmiş olan kriterlere göre puanlanarak kayıt altına alınır ve denetim sonunda denetim seti ile birlikte BGYS Müdürü'ne denetim ekibi baş denetçisi tarafından teslim edilir.

Denetim ekibi tarafından doldurulan F020A Baş Denetçi Değerlendirme Formu ve F020B Denetçi-Teknik Uzman Değerlendirme Formu BGYS Müdürü tarafından incelenerek denetim ekibinde yer alan söz konusu aday hakkında, aday denetçi / denetçi / baş denetçi / teknik uzman ile ilgili olarak ortak karar ve puanlamaları ile sonuç belirlenir. Sonucun olumlu olması durumunda BGYS Müdürü tarafından Tablo 2 kriterlerine göre denetçi / teknik uzman gereksinimleri incelenerek görevlendirmesi yapılır ve kendisine yazılı olarak bildirilir ve F046 İç Yazışma Formu ile TRB içerisinde duyurusunu yapar.

Bu süreç içerisinde BGYS Müdürü herhangi bir konuda aday ya da adayın sunduğu evraklar hakkında şüphe uyandıran bir durum tespit ederse; aday ile yüzyüze ya da skype gibi bir portal üzerinden online görüşme talep edebilir. Bu görüşme için gerekli görmesi durumunda BGYS Müdürü TRB yazılımı ile dosyasında yeterlilik kayıtları bulunan bir teknik uzmandan destek alabilir. Destek talep edilen teknik uzman; bu süre içerisinde şehir dışında bulunuyor ise görüşmeye kendisininde online olarak katılması talep edilebilir, ulaşılamıyorsa ilgili kriterlere sahip, TRB yazılımı ile dosyasında yeterlilik kayıtları bulunan bir teknik uzmandan destek alınabilir.Tüm bu süreç sonucuna, aday denetçi / denetçi / baş denetçi / teknik uzman başarısız olursa, F001 Gizliliğin Korunumu

Sözleşmesi, F002 Hizmet Calisma Kontratı TRB antetli kağıdı'na gerekçesi yazılarak TRB tarafından iptal edilir ve F003 İmza Beyan Formu'nu da içeren TRB formları BGYS Müdürü tarafından iptal kaşesi basılarak, aday için

(11)

açılan TRB dosyası kapatılarak, bir kopyası ile birlikte talep edilen başvuru evrakları ve diğer dokümanlarıyla birlikte adayın kendisine geri verilir.

F025 Dosya Kontrol Formu'nda belirlenen esaslara göre, Mesleki Eğitim Kayıtları ve Dokümanları ile Denetçi Eğitim Kayıtları ( denetçi / teknik uzmanlar için zorunlu) ve dokümanları tamamlandığında denetçi / teknik uzman TRB'nin onaylı denetçi listesine kayıt edilir ve bu atama F025 Dosya Kontrol Formu'nda kayıt altına alınır.

Denetçi / teknik uzman'ın son 3 yıl içerisinde beyan edebileceği denetçi kaydı varsa, bu kişiler için mülakat yapılmaz. Eğer denetçi / teknik uzman'ın denetçi kayıtlarını sunabiliyorsa, TRB; T.010 BGYS Kategori Kodları ve Faaliyet Alanları Talimatı doğrultusunda teknik alan ve denetçi kodları belirlenerek Yetkinlik Matrisi ile kayıt altına alınır. Yetkinlik matrisi, denetçinin atandığı Kategori Kodları'ndaki yeterliliğinin gerekçelerini belirtir. Ataması denetçi / baş denetçi olarak yapılan bu kişiler TRB'nin bağımsız bir baş denetçisi tarafından katılacağı ilk denetimde sahada değerlendirilir. Bu değerlendirme sonucu denetçi adayı Denetçi ya da Baş Denetçi olarak (denetim tecrübesine bağlı olarak) ilk saha denetimi değerlendirmesine müteakip TRB'nin F020A Baş Denetçi Değerlendirme Formu ve F020B Denetçi-Teknik Uzman Değerlendirme Formu ile kayıt altına alınan sonuçlarına göre atanır. Değerlendirme sonucu olumlu ise; bu kişilerin Sertifikasyon Koordinatörü F046 İç Yazışma Formu ile TRB içerisinde duyurusunu yapar.

CV, referans mektupları, yetkilendirilmiş belgelendirme kuruluşlarından alınmış Baş Denetçi Eğitim

Sertifikası, diğer sertifika ve eğitim kayıtları, F001 Gizliliğin Korunumu Sözleşmesi ve F002 Hizmet Calisma Kontratı ve F023A Yetkinlik Matrisi - BGYS Müdürü, F023B Yetkinlik Matrisi - BGYS Başdenetçi, F023C Yetkinlik Matrisi - BGYS Denetçi, F023D Yetkinlik Matrisi - BGYS Komite formları Sertifikasyon Koordinatörü tarafından oluşturularak, denetçiler / teknik uzmanlar tarafından tamamlanan mülakat kayıtları ile birlikte ilgili kişi dosyasında muhafaza edilir. Bu gereklilikler, denetim ekibinin parçası olan bütün denetçilere uygulanır. Denetçiler, en az üç BGYS denetiminin tüm aşamalarına aktif olarak katılmalıdırlar. Bu katılım, dokümantasyon, risk ve uygulama

değerlendirme ile resmi denetim raporlaması ile Aşama-1 denetimi sürecinde kapsamın onaylanması ve denetim programının gözden geçirilmesi ve uygun denetim planının hazırlanması hususlarını içermelidir.

Bu husustaki kontrol gerek mülakat gerek denetçi atamalarında talep edilen evraklar ile TRB'ye yazılı olarak ispat etmesi beklenir. Bu beklenti, Sertifikasyon Koordinatörü tarafından ilk atama sürecinde kontrol edilerek denetçi dosyalarında yetkinlik matrisleri ve denetçi evrakları ile kayıt altına alınarak muhafaza edilir.

- T.010 BGYS Kategori Kodları ve Faaliyet Alanları Talimatı - F09 ISO 27001 Denetim Ekibi Atama Formu

- F020B Denetçi-Teknik Uzman Değerlendirme Formu - F023A Yetkinlik Matrisi - BGYS Müdürü

- F023B Yetkinlik Matrisi - BGYS Başdenetçi - F023C Yetkinlik Matrisi - BGYS Denetçi - F023D Yetkinlik Matrisi - BGYS Komite - F001 Gizliliğin Korunumu Sözleşmesi - F002 Hizmet Calisma Kontratı - F003 İmza Beyan Formu - F025 Dosya Kontrol Formu

- F020B Denetçi-Teknik Uzman Değerlendirme Formu - F046 İç Yazışma Formu

7.1.2.3 Başvuru Gözden Geçirme İçin Yeterlilik Kriterleri

TRB'de başvuru gözden geçirmeyi yapacak personel ataması yapılmış ve bu personel BGYS Müdürü olarak belirlenerek Görev Tanımı yapılmıştır. BGYS Müdürü ile de görev, yetki ve sorumlulukları gereği F001 Gizliliğin Korunumu Sözleşmesi ve F002 Hizmet Calisma Kontratı imzalanarak dosyasında muhafaza edilmektedir.

BGYS Müdürü'nün yetkinlik kriterlerinin belirlenerek görev atama ve tanımının yapılmasında bu prosedürde madde 2. Norrmatif Dokümanlar bölümü ile yazılı bilgi halinde beyan edilmiş dokümanlar kullanılmıştır. BGYS Müdürü yetkinliği, Sertifikasyon Koordinatörü tarafından Yetkinlik Matrisi ile kayıt altına alınarak dosyasında muhafaza edilmektedir. BGYS Müdürü TRB tam zamanlı personeli olmak zorundadır ve TRB-SEK Sistem Belgelendirme El Kitabı md. 7.1.1 Genel Değerlendirme içersinde yer alan Tam Zamanlı Personelin Performans Değerlendirmesi başlığı altında detaylı şekilde anlatılan değerlendirme esaslarına tabiidir ve değerlendirme sonuçları ilgili personel

(12)

dosyasında F022 Personel Performans Ölçme Değerlendirme Formu ile kayıt altına alınmaktadır.

BGYS Müdürü, denetim ekibi üyelerinin yeterliliklerini belirlemek ve denetim süresinin tespitinde görev almak için aşağıdaki konularda bilgi sahibi olmalıdır:

- Genel terminoloji, prosesler,

- Müşteri işletme sektörü ile ilgili teknoloji ve riskler,

- Müşteri ürünleri, müşteri prosesleri, organizasyon yapısı, karmaşıklığı, yönetimi, işlevleri ve belgelendirme faaliyetleri ile bilgi güvenliği uygulamalarında kullanılan dış kaynaklı proseslerin kontrolü

- F023A Yetkinlik Matrisi - BGYS Müdürü - F001 Gizliliğin Korunumu Sözleşmesi - F002 Hizmet Calisma Kontratı - F025 Dosya Kontrol Formu

- TRB-SEK Sistem Belgelendirme El Kitabı

- F022 Personel Performans Ölçme Değerlendirme Formu

7.1.2.4 Denetim Raporlarını Gözden Geçirmek Ve Sertifikasyon Kararları Almak İçin Yetkinlik Şartları

TRB'de denetim raporlarının gözden geçirmelerini gerçekleştirecek personel ataması yapılmış ve bu personel BGYS Müdürü olarak belirlenerek Görev Tanımı yapılmıştır. TRB'de görevli tüm personeller gibi BGYS Müdürü ve Tescil Komitesi Başkan ve üyeleri ile de F001 Gizliliğin Korunumu Sözleşmesi ve F002 Hizmet Calisma Kontratı imzalanarak ilgili personel dosyasında muhafaza edilmektedir. Belgelendirme kararlarının verilmesini sağlayan yapı; TRB içerisinde "Tescil Komitesi" olarak belirlenmiş ve "komite başkanı" ile "komite üyeleri" olarak F033 Komite Üye Listesi Formu ile atamaları yapılmıştır. BGYS Müdürü ve Tescil Komitesi'nin müşteri kuruluşun belgelendirme talebinde bulunduğu kapsamın ISO 27001 Bilgi Güvenliği Yönetim Sistemi standart şartlarına uygunluğunun kontrolü ve bu uygunluğun sağlanması için kapsamda yapılacak değişiklikler ile oluşabilecek ilgili risklerin belirlenmesi konusunda yeterliliğe sahiptirler. Bu yeterliliğe ek olarak, aşağıdaki hususlarda da BGYS Müdürü ve Komite üyelerinin yetkinlik kontrolü sağlanarak, Sertifikasyon Koordinatörü tarafından ilgili personel dosyalarında F023A Yetkinlik Matrisi - BGYS Müdürü, F023D Yetkinlik Matrisi - BGYS Komite formları ve objektif delilleri ile kayıt altına alınmıştır.

a) Denetim ilkeleri ve yönetim sistemleri hakkında bilgi sahibi olmak, b) Denetim prosesleri ve prosedürleri hakkında bilgi sahibi olmak,

c) Bilgi Güvenliği Yönetim Sistemi dokümantasyon yapısı, genel şartları içeren maddeler ve EK-A uygulama kontrol maddeleri arasındaki ilişkiler,

d) Bilgi Güvenliği risk değerlendirme ve yönetimi hakkında bilgi sahibi olmak, e) BGYS’ye yönelik uygulanabilir prosesler hakkında bilgi sahibi olmak,

f) Bilgi Güvenliği alanında ve kuruluş sektörüne özel yasal ve düzenleyici gereklilikler hakkında bilgi sahibi olmak,

g) Bu prosedürün madde 2. Norrmatif Dokümanlar bölümü ile belirtilmiş olan dokümanlar hakkında bilgi sahibi olmak,

h) İşletme sektörü uygulamaları ile ilgili genel terminoloji ve riskler hakkında bilgi sahibi olmak,

i) Müşteri ürünleri, prosesleri, organizasyon yapısı, karmaşıklığı, yönetimi, işlev ve ilişkileri hakkında bilgi sahibi olmak.

- F001 Gizliliğin Korunumu Sözleşmesi - F002 Hizmet Calisma Kontratı - F033 Komite Üye Listesi Formu

- F023A Yetkinlik Matrisi - BGYS Müdürü - F023D Yetkinlik Matrisi - BGYS Komite

7.2 Belgelendirme Faaliyetlerine Katılan Personel

Belgelendirme Faaliyetlerine Katılan Personel için ISO 17021-1:2015 standartdı madde 7.2 ile belirtilen gereklilikler TRB Sistem El Kitabı madde 7.2 içerisinde dokümante edilmiştir.

- TRB-SEK TRB Sistem Belgelendirme El Kitabı

(13)

7.2.1 Denetçinin Bilgi ve Tecrübesi

TRB tarafından atanan denetçilerin aşağıdaki hususlarda bilgi ve tecrübeleri kontrol edilir:

- Bilgi Güvenliği Yönetim Sistemi standart bilgisi,

- CV, güncel mesleki kayıtları, referans mektupları, akredite edilmiş eğitim kurumlarından alınan baş denetçi sertifikaları ve varsa diğer sertifika kayıtları, varsa katılım sağlanan eğitim / seminer / sunum vb. kayıtlar, - T.010 BGYS Kategori Kodları ve Faaliyet Alanları Talimatı ve ISO 27001 Belgelendirme Prosedürü ile

belirlenmiş atama şartlarına uygun olarak TRB denetçi havuzunda yer aldığına dair denetçi dosyaları, - BGYS iç ve dış eğitim katılımları,

- TRB'de atanmış farklı bir denetçi tarafından yapılacak saha gözlemi sonuçlarına ait kayıtlar.

Bu kayıtlar TRB'de; Yönetim Temsilcisi ve Sertifikasyon Koordinatörü tarafından kişiye özgü açılan dosya ile F020A Baş Denetçi Değerlendirme Formu, F020B Denetçi-Teknik Uzman Değerlendirme Formu ve F021 Baş Denetçi, Denetçi ve Teknik Uzman Değerlendirme Raporu, F001 Gizliliğin Korunumu Sözleşmesi, F002 Hizmet Calisma Kontratı, F023A Yetkinlik Matrisi - BGYS Müdürü, F023B Yetkinlik Matrisi - BGYS Başdenetçi, F023C Yetkinlik Matrisi - BGYS Denetçi, F023D Yetkinlik Matrisi - BGYS Komite formları ile birlikte kayıt altına alınarak dosyasında muhafaza edilir. TRB; yapılan bu değerlendirmeler sonucunda ek olarak; TRB-SEK Sistem

Belgelendirme El Kitabı md.7.1.1.2 Denetim Ekibi Yeterlilik Değerlendirmesi ve Yeterliliğin Sürdürülmesi maddesinde detaylı şekilde anlatıldığı üzere Yönetim Temsilcisi tarafından da denetçi değerlendirmeleri yapılmaktadır. Yönetim temsilcisi tarafından yapılacak performans puanı hesabının yapılma yöntemi ve hesaplanan puanlara göre TRB tarafından yapılacak faaliyetde TRB-SEK Sistem Belgelendirme El Kitabı md.7.1.1.2 Denetim Ekibi Yeterlilik Değerlendirmesi ve Yeterliliğin Sürdürülmesi maddesinde açıklanmıştır. TRB'de Yönetim Temsilcisi aynı zamanda BGYS Müdürü ve Baş denetçi olarak TRB denetçi havuzunda bulunduğundan dolayı tarafsızlık ve bağımsızlık ilkesine dayalı olarak değerlendirmeleri Yönetim Temsilcisi tarafından yukarıda anlatılan uygulama yöntemleri ile Sertifikasyon Müdürü tarafından yapılmaktadır. TRB; bu kayıtları ilgili denetçi dosyasında Yönetim Temsilcisi ve Sertifikasyon Koordinatörü kontrolünde muhafaza etmektedir. TRB; müşteri kuruluş denetim ekibi üyelerinin belirlenmesi sürecinde BGYS Müdürü tarafından bu durumun kontrolünün sağlanması yöntemi ile denetim ekibini belirlemekte ve F09 ISO 27001 Denetim Ekibi Atama Formu ile kayıt altına alınarak müşteri kuruluş dosyasında muhafazasını sağlamaktadır.

İlgili Dokümanlar:

- T.010 BGYS Kategori Kodları ve Faaliyet Alanları Talimatı - TRB-SEK Sistem Belgelendirme El Kitabı

- CV

- Diplomalar

- F021 Baş Denetçi, Denetçi ve Teknik Uzman Değerlendirme Raporu 7.2.1.1 Denetim Ekibi Üyelerinin Belirlenmesis

TRB'de denetim ekibi üyelerinin seçilmesi ve atamalarının yapılması süreçleri Yönetim Temsilcisi ve Sertifikasyon Koordinatörü tarafından, bu prosedürün 7.1.2.1 Bilgi Güvenliği Denetimleri İçin Yeterlilik Gereklilikleri ve Tablo-2: Bilgi Güvenliği Denetçi Gereksinimleri ile dokümante edilmiş olan uygulama esaslarına göre

yapılmaktadır.

(14)

- CV

- Diplomalar

- F023B Yetkinlik Matrisi - BGYS Başdenetçi - F023C Yetkinlik Matrisi - BGYS Denetçi - F020A Baş Denetçi Değerlendirme Formu

7.2.1.2 Denetim Ekibi Baş Denetçinin Belirlenmesi

TRB'de başdenetçilerin seçilmesi ve atamalarının yapılması süreçleri Yönetim Temsilcisi ve Sertifikasyon Koordinatörü tarafından, bu prosedürün 7.1.2.1 Bilgi Güvenliği Denetimleri İçin Yeterlilik Gereklilikleri ile bu prosedürün 7.2.1.1 Denetçilerin Seçilmesi için Gereklilikler ve Tablo-2: Bilgi Güvenliği Denetçi Gereksinimleri ile dokümante edilmiş olan uygulama esaslarına göre yapılmaktadır. Bu koşullara ek olarak baş denetçiler, Bilgi Güvenliği denetimlerinin her aşamasında aktif olarak yer almış olmalıdır ve akreditasyon şartları gereğince en az 3 Bilgi Güvenliği Yönetim Sistemi denetimi ile beyan edilen belgelendirme kapsamı, denetim planı, sistem

dokümantasyonu değerlendirmesi, risk analizi ve değerlendirmesi, uygulama değerlendirme ve denetim raporlama süreçlerine katılımı sağlanmaktadır. Yönetim Temsilcisi, Sertifikasyon Koordinatörü ve BGYS Müdürü kontrolünde TRB yazılımı ve müşteri kuruluş dosyalarının muhafazası yöntemi ile bu sürecin kayıtlarını kontrol eder.

- CV

- Diplomalar

- F023B Yetkinlik Matrisi - BGYS Başdenetçi - F023C Yetkinlik Matrisi - BGYS Denetçi - F020A Baş Denetçi Değerlendirme Formu

NOT: Denetçi adayı, ISO 27001 Baş denetçi sertifikası hususunda daha önceki bir versiyona ait sertifika sahibi ise;

2013 geçiş eğitimi kaydı ve denetçi Audit Logları ile güncel revizyondaki standarda ait denetçi uygunluğunu ispat etmekle yükümlüdür. TRB; bu kayıtları da ilgili denetçi dosyasında muhafaza etmektedir.

7.3 Kuruluş dışı bireysel tetkikçi ve bireysel teknik uzmanların kullanımı

7.3.1 Denetim Ekibinin Bir Parçası Olarak Dış Denetçilerle Harici Teknik Uzmanları Kullanılması

TRB dış denetçilerin ve teknik uzmanların denetim ekibinde yer alması ile ilgili hususları TRB-SEK Sistem El Kitabı madde 7.3 içerisinde ISO 17021-1:2015 madde 7.3 gerekliliklerine bağlı olarak dokümante edilmiştir.

ISO 27006: 2015 standart gerekliliklerine uygun olarak uygulanacak ilave kontroller bu prosedürün 7.1.2.1 Bilgi Güvenliği Denetimleri İçin Yeterlilik Gereklilikleri ile yine bu prosedürün 7.2.1.1 Denetçilerin Seçilmesi için Gereklilikler ve Tablo-2: Bilgi Güvenliği Denetçi Gereksinimleri ile belirlenmiştir.

(15)

7.4 Personel Kayıtları

Belgelendirme kuruluşumuzun gerekliliklerine dayanan tüm konular TRB-SEK Sistem Belgelendirme El Kitabı madde 7.4 içerisinde ISO 17021-1:2015 madde 7.4’e bağlı olarak dokümante edilmiştir.

- TRB-SEK Sistem Belgelendirme El Kitabı 7.5 Dışarıdan Temin

Belgelendirme kuruluşumuzun gerekliliklerine dayanan tüm konular TRB-SEK Sistem Belgelendirme El Kitabı madde 7.5 içerisinde ISO 17021-1: 2015 madde 7.5 gerekliliklerine bağlı olarak dokümante edilmiştir.

- TRB-SEK Sistem Belgelendirme El Kitabı 8 Bilgi Şartları

8.1 Kamuya Açık Bilgi

Belgelendirme kuruluşumuzun gerekliliklerine dayanan tüm konular TRB-SEK Sistem Belgelendirme El Kitabı madde 8.1 içerisinde ISO 17021-1:2015 madde 8.1 gerekliliklerine bağlı olarak dokümante edilmiştir.

- TRB-SEK Sistem Belgelendirme El Kitabı 8.2 Belgelendirme dokümanları

Belgelendirme kuruluşumuzun gerekliliklerine dayanan tüm konular ISO 17021-1: 2015 Madde 8.2 şartlarına dayanılarak hazırlanan TRB-SEK Sistem Belgelendirme El Kitabı Madde 8.2'de belgelenmiştir.

8.2.1 Bilgi Güvenliği Yönetim Sistemi Sertifikasyon Dokümanları

TRB'de ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi sertifikasyon sürecinin yönetilmesi yetkisi GT.09 BGYS Müdürü Görev Tanimi ile dokümante edilen görevler doğrultusunda BGYS Müdürü'ne verilmiştir. Bu süreçte BGYS Müdürü sertifikasyon dokümanlarını imzalamak ile yetkili kılınmıştır. Sektöre özel uygulanabilir yasal ve düzenleyici gereklilikler müşteri kuruluştan başvuru esnasında F004 Sertifikasyon Başvuru Formu ve F004A Sertifikasyon Başvuru Formu EK-A ile talep edilerek BGYS Müdürü tarafından F005 Başvuru Gözden Geçirme Formu ile yapılan başvuru gözden geçirme sürecinde kontrolü sağlanır. Eğer bu alan doldurulmamış, eksik / yanlış doldurulmuş olduğu tespit edilirse BGYS Müdürü müşteri kuruluş ile irtibata geçerek bu alanın doğru ve kontrollü olarak doldurulmasını sağlar. Bilgi Güvenliği Yönetim Sistemi zorunlu dokümanı olarak kabul edilen Uygulanabilirlik Bildirgesi yayın / revizyon tarihi, revizyon numarası başta olmak üzere dokümana ait spesifik bilgilere TRB, müşteri kuruluşa özel olarak F037 ISO 27001 Sertifika Formu ile TRB Yazılımı üzerinden tanımlanmış formatta kuruluşa özel olarak basılan sertifika üzerinde yer vermektedir. Uygulanabilirlik bildirgesinde olacak bir revizyon belgenin yeniden düzenlenmesine gerek olmaz.

- GT.09 BGYS Müdürü Görev Tanimi - F004 Sertifikasyon Başvuru Formu - F004A Sertifikasyon Başvuru Formu EK-A - F005 Başvuru Gözden Geçirme Formu - F037 ISO 27001 Sertifika

8.3 Belgelendirmeye atıf ve işaretlerin kullanımı

Belgelendirme kuruluşumuzun gerekliliklerine dayalı olan tüm konular ISO 17021-1: 2015 madde 8.3'ün gerekliliklerine dayanan TRB-SEK Sistem Belgelendirme El Kitabı madde 8.3'te dokümante edilmiştir. TRB Marka ve Logo Kullanımı ile ilgili uygulama esaslarını halka açık olarak yayınlaması gerekliliği nedeni ile T.002 Belge ve Logo Kullanım Talimatı ile dokümante ederek web sitesi dokümanlar bölümünde yayımlamıştır.

- TRB-SEK Sistem Belgelendirme El Kitabı - T.002 Belge ve Logo Kullanım Talimatı

(16)

8.4 Gizlilik

Belgelendirme kuruluşumuzun gerekliliklerine dayanan tüm konular ISO 17021-1: 2015 8.4 maddesinin gerekliliklerine dayalı TRB-SEK Sistem Belgelendirme El Kitabı madde.8.4'te dokümante edilmiştir. TRB;

sertifikasyon ve denetim süreçlerinin tamamında yer alan personel, denetim ekibi üyeleri ve komite üyeleri ile F001 Gizliliğin Korunumu Sözleşmesi ve F002 Hizmet Calisma Kontratı imzalayarak ilgili kişi dosyasında Yönetim Temsilcisi ve Sertifikasyon Koordinatörü kontrolünde muhafaza etmektedir.

- TRB-SEK Sistem Belgelendirme El Kitabı - F001 Gizliliğin Korunumu Sözleşmesi - F002 Hizmet Calisma Kontratı

8.4.1 Operasyonel Kayıtlara Erişim

ISO 27006: 2015'in standart gereksinimlerine ek olarak, uygulamalar aşağıdaki gibidir:

TRB; belgelendirme başvurusu talebinde bulunan müşteri kuruluştan; F004 Sertifikasyon Başvuru Formu ve F004A ISO 27001 Sertifikasyon Başvuru Formu EK-A formlarını, Bilgi Güvenliği Yönetim Sistemi dokümanlarını, müşteri kuruluşun güncel tarihli resmi evraklarını ( Vergi Levhası, Ticari Sicil Gazetesi, Oda Sicil Kaydı ve İmza Sirküleri) talep eder. Formların TRB'ye ulaşması akabinde; BGYS Müdürü F005 Başvuru Gözden Geçirme Formu ile

kontrollerini gerçekleştirir ve başvuru formlarında eksik / yanlış herhangi bir bilgi / alan tespit ederse müşteri kuruluş yetkili kişisi ile irtibata geçerek formun tamamlanmasını sağlar. BGYS kapsamında bulunan ve F004 ISO 27001 Sertifikasyon Başvuru Formu EK-A ile müşteri kuruluştan beyan etmesi istenen özel denetime tabi olan belgeler, bölümler, uygulamalar ve tesisler hakkında bilgi istenmektedir.Formların TRB'ye ulaşması akabinde; BGYS Müdürü F005 Başvuru Gözden Geçirme Formu ile kontrollerini gerçekleştirir ve başvuru formlarında eksik / yanlış herhangi bir bilgi / alan tespit ederse müşteri kuruluş yetkili kişisi ile irtibata geçerek formun tamamlanmasını sağlar. BGYS kapsamında bulunan ve F004A ISO 27001 Sertifikasyon Başvuru Formu EK-A ile müşteri kuruluştan beyan etmesi istenen özel denetime tabi olan belgeler, bölümler, uygulamalar ve tesisler hakkında bilgi istenmektedir. Bu bilgi BGYS Müdürü tarafından F005 Başvuru Gözden Geçirme Formu ile birlikte değerlendirilir. Değerlendirme sonucunda BGYS Müdürü, gizli bilgilerin denetimin gerçekleşmesine engel teşkil ettiğini tespit ederse; müşteri kuruluş ile irtibata geçerek beyan edilen gizli bilgilere erişim izni gerekliliklerini açıklayarak erişim izni talep eder.

Erişime izin verilmemesi halinde denetimin gerçekleşemeyeceğini gerekçeleri ile net olarak açıklar.

- F004 Sertifikasyon Başvuru Formu

- F004A ISO 27001 Sertifikasyon Başvuru Formu EK-A - F005 Başvuru Gözden Geçirme Formu

8.5 Belgelendirme Kuruluşu ve Müşterileri Arasındaki Bilgi Alışverişi

Belgelendirme kuruluşumuzun gerekliliklerini temel alan tüm konular ISO 17021-1: 2015 madde 8.5

gereklilikleri temel alınarak hazırlanan TRB-SEK Sistem Belgelendirme El Kitabı madde 8.5'te dokümante edilmiştir.

- TRB-SEK Sistem Belgelendirme El Kitabı 9. Proses Şartları

9.1 Belgelendirme Öncesi Faaliyetler

TRB uygulamalarına bağlı olarak ISO 17021-1: 2015 madde 9.1.1'in gerekliliklerine dayanan tüm konular TRB-SEK Sistem Belgelendirme El Kitabı madde 9.1.1'de dokümante edilmiştir.

- TRB-SEK Sistem Belgelendirme El Kitabı 9.1.1 Başvuru

TRB; belgelendirme başvurusu talebinde bulunan müşteri kuruluştan; F004 Sertifikasyon Başvuru Formu ve F004A ISO 27001 Sertifikasyon Başvuru Formu EK-A formlarını, Bilgi Güvenliği Yönetim Sistemi dokümanlarını, müşteri kuruluşun güncel tarihli resmi evraklarını ( Vergi Levhası, Ticari Sicil Gazetesi, Oda Sicil Kaydı ve İmza Sirküleri) ve ihtiyaç halinde kuruluşun resmi "Yetkinlik Kayıtları'nı" talep eder. Formların TRB'ye ulaşması akabinde;

BGYS Müdürü F005 Başvuru Gözden Geçirme Formu ile kontrollerini gerçekleştirir ve başvuru formlarında eksik / yanlış herhangi bir bilgi / alan tespit ederse müşteri kuruluş yetkili kişisi ile irtibata geçerek formun tamamlanmasını