EnglishFrançaisDeutschItalianoРусскийTürkçe
Sosyal:
Bir şey mi aramıştınız?
Arama
ABD
+90(552)9516557
EnglishFrançaisDeutschItalianoРусскийTürkçe

Sistem Belgelendirme Prosedürü

  1. AMAÇ

 

Bu prosedürün amacı, yönetim sistemi belgelendirmesi için tetkik öncesi, tetkik sırası ve tetkik sonrası gereken süreçleri, sorumluları ve tutulacak kayıtları tanımlamaktır.

 

  1. KAPSAM

 

ISO/IEC 17021-1:2015  IS0/IEC 22003 ve ISO/IEC 27006:2015 standartları ile ilgili EA ve IAF dokümanları, AKREDİTE KURULUŞU Rehberleri temel alınarak hazırlanan bu prosedür, ISO 9001 KYS, ISO 22000 GGYS,ISO 14001 ÇYS, ISO 45001 İSG, ISO 50001 EnYS ve ISO 27001 BGYS belgelendirme faaliyetlerini kapsar.

 

  1. TANIMLAR

 

Denetim: Bir kuruluşun belgelendirmesi ile ilgili olarak belgelendirme/tescil kararını vermek üzere kuruluşun belgelendirme işlemlerine temel alınan standardın ilgili şartlarını karşılayıp karşılamadığını tayin etmek ve dokümantasyonun gözden geçirilmesi, denetim, denetim raporunun hazırlanması da dahil belgelendirme işleminin sonuçlandırılması için gerekli bilgileri sağlamak üzere yapılan bütün faaliyetler.

 

Uygunsuzluk: Yönetim sistemi şartlarından bir tanesinin veya daha fazlasının eksikliği veya uygulanamaması veya sürdürülememesi veya mevcut objektif kanıtlara göre kuruluşun sağlayacağı kalite konusunda önemli oranda şüphe doğuran bir durum.

 

BGYS’ de merkez ofis veya bir sahada, bir uygunsuzluk tespit edildiğinde, düzeltici faaliyet prosedürü merkez ofise ve belgelendirmenin kapsadığı tüm sahalara uygulanır.

 

Majör (Büyük) Uygunsuzluk: Standart maddelerinden herhangi birinin veya alt başlıklarının yeterli olarak tanımlanmaması ve/veya uygulanmamasıdır. Aynı zamanda sistemin sağlıklı çalışmasını etkileyecek eksiklik ve aksaklıkların olmasıdır.

 

ISO 50001 EnYS için Majör Uygunsuzluk Önemli Uygunsuzluk anlamına gelmektedir.

Uygunsuzlukların önemli olarak sınıflandırılması aşağıdaki durumlarda olabilir:

 

  1. Enerji performansı iyileştirmesinin elde edilemediğine dair tetkik kanıtının olması,
  2. Etkin süreç kontrolünün mevcut olduğuna dair kayda değer şüphe bulunması,
  3. Aynı şartlarla veya hususlarla ilişkili çok sayıda küçük uygunsuzlukların bulunması sistematik kusuru gösterebilir ve dolayısıyla bu durum önemli uygunsuzluk oluşturur.

 

Minör (Küçük) Uygunsuzluk: Sistem standart şartlarından, sistemin genelini etkilemeyen uygunsuzluklardır. Kuruluşun yönetim sisteminin, denetim standardındaki bir maddeye, yönetim sisteminin işlemesini etkilemeyecek düzeyde diğer unsurlardan bağımsız ve münferit uygunsuzluklardır Yönetim sisteminin yapısından kaynaklanmayan ve sistemin kontrollü proses, üretim sağlama becerisini azaltmayan uygunsuzluk türüdür. Firmanın dokümante edilmiş yönetim sistemi ya da gereksinimlerle ilgili kısmi uygunsuzluklar, Firma yönetim sisteminin uygulanmasında görülen sapmalar.

 

 

Gözlem: Denetim heyetinin bir sonraki denetime de yardımcı olması amacıyla belgelendirmeye esas yönetim sistemi ile ilgili olumlu veya olumsuz yazılı görüşlerdir. Firmanın kurulmuş gıda güvenliği yönetimi sisteminde önlem alınmadığı durumda uygunsuzluğa neden olabileceği tespit edilmiş konularda tespit edilir ve yazılı hale getirilir.

 

Entegre Yönetim Sistemi Denetimi: Birden fazla yönetim sistemini paralel yürüten kuruluşlarda gerçekleştirilen eş zamanlı denetimlerdir.

 

Rehber: Denetlenen müşteri tarafından atanmış ve denetim ekibine yardımcı olan kişi

 

Gözlemci: Denetim ekibine eşlik eden ama denetim yapmayan kişi

 

Merkez ofisi: Birden çok sahada yerleşik bir kuruluşun EYS faaliyetlerinin tamamının veya bir kısmının planlandığı, kontrol edildiği veya yönetildiği sahalar ya da yerel ofisler veya şubeler ağı.

 

Enerji performansının iyileştirilmesi: Enerji verimliliği, enerji kullanımı veya enerji tüketimiyle ilişkili ölçülebilir sonuçlarda enerji taban seviyesine göre meydana gelen iyileşme.

 

EnYS Saha (mekân): İçinde enerji kaynağının/kaynaklarının, enerji kullanımının/kullanımlarının ve enerji performansının kuruluşun kontrolündeki sınırları olan yer.

 

  1. REFERANS DOKÜMANLAR

 

4.1.Formlar

 

  • 3 Yıllık Tetkik Programı DV-CERT LLC- F01
  • Tetkik Planı DV-CERT LLC- F03
  • Tetkik Raporu DV-CERT LLC-F04
  • Uygunsuzluk Formu DV-CERT LLC- F05
  • Belgelendirme Karar Formu DV-CERT LLC- F06
  • Belgelendirme Başvuru Formu DV-CERT LLC- F07
  • Tetkik Soru Listesi DV-CERT LLC- F10
  • Açılış Kapanış Toplantısı Katılım Listesi DV-CERT -F13
  • Sistem Belgelendirme Sözleşmesi DV-CERT LLC-F16
  • Sertifika Şablonu DV-CERT LLC- F17

 

4.2.Diğer Dokümanlar

 

  • Tetkik Süresi Hesaplama Talimatı DV-CERT LLC-T.04
  • Çoklu Saha Denetim Talimatı DV-CERT LLC-T.06
  • Doküman ve Kayıt Kontrol Prosedürü DV-CERT LLC-PR.02
  • İtiraz ve Şikayetler Prosedürü DV-CERT LLC-PR.04
  • Personel Eğitim, Yetkinlik ve Performans Değerlendirme Prosedürü DV-CERT LLC-PR.05
  • Personel Yetkinlik Tablosu – Genel DV-CERT LLC-TB-01-GNL
  • Personel Yetkinlik Tablosu – ISO 14001 ÇYS DV-CERT LLC-TB-01-ÇYS
  • Personel Yetkinlik Tablosu – ISO 50001 EnYS DV-CERT LLC-TB-01-EnYS
  • Personel Yetkinlik Tablosu – ISO 45001 İSG DV-CERT LLC-TB-01-İSG
  • Personel Yetkinlik Tablosu – ISO 9001 KYS DV-CERT LLC-TB-01-KYS
  • Personel Yetkinlik Tablosu – ISO 22000 GGYS DV-CERT LLC-TB-01-KYS
  • Akreditasyon Kapsam Tablosu – ISO 14001 ÇYS DV-CERT LLC-TB-02-ÇYS
  • Akreditasyon Kapsam Tablosu – ISO 50001 EnYS DV-CERT LLC-TB-02-EnYS
  • Akreditasyon Kapsam Tablosu – ISO 45001 İSG DV-CERT LLC-TB-02-İSG
  • Akreditasyon Kapsam Tablosu – ISO 9001 KYS DV-CERT LLC-TB-02-KYS
  • Akreditasyon Kapsam Tablosu – ISO 22000 GGYS DV-CERT LLC-TB-02-KYS
  • BGYS Kategorileri Listesi DV-CERT LLC-TB-03
  • BGYS Faaliyet ve Teknolojik Alan Kategorileri Yeterlilik Tablosu DV-CERT LLC-TB-05
  • AKREDİTE KURULUŞU R 40.01 Rehberi
  • IAF ID1
  • IAF MD1 – Çoklu Adresler İçin Denetimler
  • IAF MD19 – Çok sahalı kuruluş tarafından yönetilen yönetim sisteminin denetlenmesi ve belgelendirilmesi (örnekleme mümkün olmadığında)
  • IAF MD2 – Transfer Denetimleri
  • IAF MD5 – Gün Sayılarının Hesaplanması
  • IAF MD11 – Entegre Denetimler
  • IAF MD22 – Application of 17021-1 for the Certification of OH&SMS
  • ISO 27006 Bilgi güvenliği yönetim sistemlerinin tetkik ve belgelendirmesini yapan kuruluşlar için şartlar
  • ISO22003 Gıda Güvenliği yönetim sistemlerinin tetkik ve belgelendirmesi yapan kuruluşlar için şartlar
  • ISO 50003 Enerji yönetim sistemleri – Enerji yönetim sistemlerinin tetkik ve belgelendirmesini sağlayan kuruluşlar için şartlar
  • ISO 17021-1, 2, 3, 10

 

  1. UYGULAMA

 

5.1.        Tetkik Öncesi Faaliyetler

5.1.1.      Müracaat

Belgelendirme istekleri Belgelendirme Başvuru Formu ile e-mail/faks veya web sayfası aracılığı ile alınır.

 

Başvurularda eksik bilgi olması veya sağlıklı bir değerlendirme için ek bilgi ihtiyacı olması durumunda müşteri ile iletişime geçilerek gerekli bilgiler temin edilir.

 

ISO 45001 Belgelendirmeleri için müşteri yetkili temsilcisi tarafından süreçleri ve faaliyetleri hakkında sağlanan bilgiler aynı zamanda süreçler ile ilgili temel tehlikelerin ve İSG risklerinin, süreçlerde kullanılan başlıca tehlikeli malzemelerin ve ilgili yasal yükümlülüklerin tanımlanmasını da içerir. ISO 45001 başvurularında, başvuru kuruluşun İSG performansını etkileyebilecek organizasyonun kontrolü veya etkisi dahilindeki faaliyetleri, ürünleri ve hizmetleri içerecektir. Örneğin, bulundukları yere bakılmaksızın geçici şantiyeler, şantiyeler, kuruluşun İSG’sini kapsamındadır. Bir kuruluşun belgelendirmeye konu faaliyetin yapıldığı sahaları hazır değilse kuruluş tetkikten önce belgelendirme kuruluşunu hangi sahaların tetkike dâhil edileceği ve hangi sahaların hariç tutulacağı hakkında bilgilendirmesi gereklidir.

 

5.1.1.1.  Transfer Başvuruları

Transfer başvurularında aşağıdaki bilgiler Belgelendirme Müdürü tarafından kontrol edilir. Belirtilen şartları taşımayan transfer başvuruları transfer olarak değerlendirmeye alınmaz.

 

  • Müşterinin halen geçerliliğini koruyan akredite belgesinin kopyası (Belgenin IAF – MLA sözleşmesine taraf bir Akreditasyon Kuruluşu tarafından onaylanmış belgelendirme kuruluşundan alınması ve geçerliliğinin belgelendirme veya akreditasyon kuruluşu web sitesi ile teyidi gereklidir.)
  • Transfer sebebinin belirtilmesi
  • Önceki belgelendirme veya belge yenileme ve takip eden gözetim tetkiklerine ait raporlar, tetkikler sonucunda ortaya çıkan uygunsuzluklar, varsa tetkiklere ait diğer ilgili notlar (denetçi el notu, soru listeleri, gözlem formu vb.). Eğer son tetkiklere ait istenilen tetkik raporları yoksa veya gözetim tetkiki süresi geçtiği halde gözetim tetkiki gerçekleştirilmemişse başvuru transfer olarak değerlendirilmez.
  • Bir önceki belgelendirme kuruluşunun son tetkikinde tespit ettiği uygunsuzlukların belgelendirme kuruluşu tarafından kapatılmış olması gereklidir. Bu durum ile ilgili objektif kanıtların elde edilememesi durumunda başvuru Transfer olarak değerlendirmez.

 

Transfer başvurularının alınması, gözden geçirilmesi ve kesinleştirilmesi ile sözleşme yapılmasında, belgelendirme başvurularındaki yöntem uygulanır.

 

Süreleri yaklaşan firmalara gözetim tetkiki gerçekleştirilerek transfer belgelendirme yapılır. Transfer tetkiklerde transfer edilen müşterinin; belgelendirme çevriminin hangi aşamasında transfer edildiği bilgisi kaydedilir ve DV-CERT LLC’ın oluşturacağı tetkik programı bu çevrime uygun şekilde hazırlanır. Önceki belgenin geçerlilik süresi göz önüne alınarak 3 yıllık belge çevrimi için gerekli tetkikler yapılır.

 

Gözden geçirmeler sonucunda bir takım şüpheler oluşması durumunda, başvuran kuruluş, yeni kuruluş olarak değerlendirilir. Askıya alınan veya askıya alınma tehlikesi içindeki kuruluşların transfer başvuruları kabul edilmez.

 

 

 

5.1.1.2. Kapsam Değişiklik Başvurusu

Kapsam değişiklik talepleri Belgelendirme Başvuru Formu ile alınır ve ilk belgelendirme başvurularındaki adımlar tekrarlanır. Müşterinin sözleşmeyi onaylamasının ardından tetkik faaliyetleri gerçekleştirilir.

 

Kapsam daraltma taleplerinde, kapsam daraltma talebi ve gerekçeleri Belgelendirme Müdürü tarafından değerlendirilir.

 

Kapsam daraltma talebi olmaksızın da bazı durumlarda kapsam daraltılabilir. Bu durumlar;

 

  • Kuruluşun kapsam dahilindeki faaliyetlerini durdurması,
  • Gerçekleştirilen tetkiklerde, firmanın belgelendirme kapsam dahilindeki faaliyetlerin bir bölümünün sistem içerisinde etkin olarak yürütmediğinin belirlenmesi,
  • Yasal şartlarda değişimlerin oluşması ve kuruluşun uygunluk sağlamaması vb.

 

5.1.1.3. Adres Değişikliği Başvurusu

Kuruluşun adresinde değişiklik olması durumunda, Sistem Belgelendirme Sözleşmesi şartları gereğince DV-CERT LLC’a bilgi vermek ve adres değişiklik talebinde bulunmak zorundadır. Bu talep adres değişikliğini destekleyen ticari evraklar ile yapılır. Adres değişikliğine ilişkin gözden geçirme Belgelendirme Müdürü tarafından gerçekleştirilir ve firma proseslerini ve fiziki şartlarını doğrudan etkileyen adres değişiklikleri için tetkik planlanması talep eder.

 

Firmanın belgelendirmeye konu faaliyetlerinin adres değişikliğinden etkilenmeyeceği durumlarda tetkik yapılmadan istenen değişiklikle ilgili bilgiler Belgelendirme Müdürünün değerlendirme neticesinde yeni belge düzenleme/düzenlememe kararı alınır.

 

5.1.2.     Müracaatın Gözden Geçirilmesi

Başvurular Belgelendirme Müdürü / Genel Müdür tarafından girilmiş olan bilgiler aracılığı ile gözden geçirilir. Belgelendirme Müdürünün / Genel Müdürün gözden geçirmek için gerekli yetkinliği sağlamaması durumunda yeterli yetkinliğe sahip bir baş denetçiden veya teknik uzmandan destek alınır.

 

Başvurular aşağıdaki adımlara göre değerlendirilir.

 

a-            Tarafsızlığın Teyidi; Tarafsızlık Prosedürüne göre tarafsızlık ve gizliliği tehdit eden herhangi bir çıkar çatışmasını olup olmadığı analiz edilir. Herhangi bir tehdit durumunda başvuru red edilir.

 

b-            Kapsam Uygunluğu; Talep edilen kapsamın uygunluğu değerlendirilir ve gerekirse başvuru yapan kuruluşa yazım dili açısından önerilir.

 

 

 

ISO 27001 BGYS için başvuru gözden geçirme aşamasında aynı zamanda talep edilen belgelendirme kapsamının ISO 27001 standardı 4.3 maddesindeki kriterleri karşılayıp karşılamadığı incelenir. Kuruluşun bilgi güvenliği risk değerlendirme ve risk işleme faaliyetlerinin, faaliyetlerini tam olarak yansıtıp yansıtmadığına bakılır. Bu hususlar kapsamda ve uygulanabilirlik bildirgesinde de açık şekilde yansıtılmış olmalıdır. Her bir belgelendirme kapsamı için ayrı bir uygulanabilirlik bildirgesi olduğu da bu aşamada doğrulanmalıdır. Tam olarak belgelendirme kapsamında yer almayan faaliyet ve hizmetlerin yürütüldüğü birimler açıkça belirtilmeli ve kuruluşun risk değerlendirme faaliyetlerinde yer almalıdır. Hariç tutulan madde varsa uygunluğu doğrulanmalıdır. Gizli kayıtlara erişim uygunluğu incelenmelidir.

 

ISO 50001 EnYS’nin kapsamı ve sınırları Başvuru Formundaki bilgiler ışığında tanımlanır ve her tetkikte kapsam ve sınırların uygunluğu Baş Tetkikçi tarafından doğrulanarak Soru Listeleri aracılığı ile kayıt altına alınır. Belgelendirmenin kapsamı; EnYS ile ilgili faaliyetler, tesisler, süreçler ve kararlar dâhil EnYS’nin sınırlarını tanımlar. Kapsam; birden çok sahaya sahip bir kuruluşun tamamı, bir kuruluşun içindeki bir konum veya bina, tesis veya proses gibi sahanın alt bölümü/bölümleri olabilir. Sınırlar tanımlanırken kuruluşun enerji kaynakları hariç tutulamaz.

 

Başvuru yapılan kapsam için ilgili kapsama ait Kapsam Kodu belirlenir. Müşterinin birden fazla kodunun olması durumunda müşteri faaliyet alanına göre en yüksek riskli kodlar referans alınır. İlgili Kodlarda DV-CERT LLC akreditasyonunun olup olmadığı kontrol edilir. Akreditasyon kapsamında olmayan başvurular için müşteri bilgilendirilir.

 

c-            Yetkinliğin Teyidi; Olası görevlerin başarıyla tamamlanması için gerekli olan yetkinliğe sahip ekip olup olmadığı kontrol edilir.

 

d-            Tetkik Sürelerinin Hesaplanması; Tetkik süreleri Tetkik Sürelerinin Belirlenmesi Talimatına uygun olarak k hesaplanarak Belgelendirme Müdürü’ne öneri olarak sunulur.

 

e-            Talep Edilen Tetkik Zamanının Analizi; Tetkik zamanı planlanırken aşama 1 ve aşama 2 tetkikleri arasında geçecek optimum süreler, tetkik kapsamının karmaşıklığı, risk kategorisi, sistemin olgunluk seviyesi gibi kriterler dikkate alınır. Tetkik ekibinin uygun zamanları Belgelendirme Müdürü tarafından belirlenir. Tespit edilen tetkik zamanı ile müşterinin talep ettiği tetkik zamanı karşılaştırılır.

 

f-             Çoklu Sahaların Analizi; Birden fazla sahası olan kuruluşların başvurularında sahaların Tetkik Süresi Hesaplama Talimatına belirtilen şartları karşılayıp karılamadığı analiz edilir. Gerekirse çoklu sahalar ile ilgili ek bilgi istenir. Bu aşamada elde edilen bilgiler ışığında EnYS için Merkezi Ofisin belirlemesi yapılır.

 

g-            Karmaşıklık & Risk Kategorisi Analizi; Başvuru Formunda yer alan bilgiler ışığında Tetkik Süresi Hesaplama Talimatına her bir standart için belirtilen karmaşıklık kategorisi belirleme metoduna uygun olarak kuruluşun karmaşıklık ve/veya risk kategorisi DV-CERT PRO üzerinden belirlenir.

 

h-            Başvuru Nihai Analizi; Başvurunun nihai kabulü için yukarda belirtilen başlıklara ek olarak belgelendirme faaliyetlerini etkileyen diğer hususların (dil, güvenlik şartları, müşteri finansal riski, vb.) uygun olup olmadığı değerlendirilir. Başvuru nihai analizinden sonra, başvuru kabul edilir ise teklif aşamasına geçilir.

 

Başvuru geri çevrildiğinde, geri çevrilmesinin sebepleri müşteriye açık bir şekilde E-mail ile bildirilir ve bildirim kalite kaydı olarak saklanır. Yapılan başvurular için, akreditasyon kurallarının gerektirdiği teknik kısıtlamalar, insan kaynağı yetersizliği veya DV-CERT LLC’ın faaliyette bulunmadığı bir coğrafi bölge olması dışında hiçbir şekilde din, dil, ırk, coğrafi bölge, ticari çıkar gibi kısıtlamalar veya ayrımcılık getirilemez. Her başvuru sahibine eşitlik prensibi doğrultusunda davranılır.

 

5.1.3. Teklif Verme ve Sözleşme İmzalama

 

Başvurunun kabulünü müteakip Müşteri İlişkileri Yöneticisi / Genel Müdür veya Belgelendirme Müdürü tarafından Sistem Belgelendirme Sözleşmesi kullanılarak teklif oluşturur ve müşteriye gönderilir. Verilen teklifler Müşteri İlişkileri Yöneticisi tarafından takip edilir.

 

Teklifin müşteri tarafından onaylanması durumunda teklifte belirlenen şartların hala geçerliliğini koruyup korumadığı Belgelendirme Müdürü tarafından gözden geçirilir. Müşteri tarafından onaylanan sözleşmenin DV-CERT LLC tarafından da kabul edilmesinin ardından Sözleşme, son aya ait SGK bildirgesi (denetim kapsamındaki tüm lokasyonlar için) ve Vergi Levhası Muhasebe ve Finans Sorumlusu tarafından taranarak Dosyaya kaydedilir. Sözleşmenin ıslak imzalı orijinali Muhasebe ve Finans Sorumlusu tarafından Sözleşme Dosyasına kaldırılır.

 

Başvuru formunda yer alan bilgiler ile ticari evraklarda yer alan bilgilerin doğru olup olmadığından emin olmak için dokümanlar Belgelendirme Müdürü tarafından gözden geçirilir. Yapılan gözden geçirmeler sonrasında Başvuru Formu ile onaylanan sözleşme arasında sözleşmenin değişmesini gerektirecek bir durumun oluşması halinde sözleşme yenilenerek tekrar müşteri onayına sunulur. Başvuru ile onaylanan sözleşme arasında bir farklılığın olmaması durumunda sözleşme tetkik planlamasının yapılması için yürürlüğe alınır.

 

Sözleşme onay tarihi itibari ile Aşama 1 tetkiki 6 ay içinde kuruluş tarafından kabul edilmez veya Aşama 1 tetkiki son gününden itibaren 6 ay içinde Aşama 2 tetkiki herhangi bir nedenle gerçekleşmez ise kuruluşun sözleşmesi iptal edilir. Başvurusu düşen kuruluşun müracaat etmesi durumunda, yeni müracaat olarak değerlendirilir.

5.1.4.     Tetkik Programı

 

5.1.4.1. Müşterinin büyüklüğü, yönetim sisteminin kapsamı ve karmaşıklığı, ürünler ve prosesler ile birlikte önceki tetkiklerin sonuçları ile yönetim sisteminin etkinliğinin gösterilen seviyesi dikkate alınarak Belgelendirme Müdürü tarafından 3 Yıllık Tetkik Planı hazırlanır.

 

5.1.4.2. İlk belgelendirme tetkik programı, belgelendirme kararını takip eden birinci yılda yapılan ilk tetkik, ikinci yılında yapılan gözetim tetkikini içeren iki aşamayı ve bunların peşinden üçüncü yıl içerisinde belgenin süresi dolmadan bir yeniden belgelendirme tetkikini içerir. İlk üç yıllık belgelendirme döngüsü belgelendirme kararı ile başlar. Peşinden gelen döngüler, yeniden belgelendirme kararı ile başlar.

 

Tetkik programı hazırlanırken, revize edilirken aşağıdaki hususlar ayrıca dikkate alınır. Bunlar aynı zamanda tetkik kapsamının tayininde veya tetkik planı hazırlanırken de kullanır:

 

  • DV-CERT LLC’a müşteri hakkında gelen şikayetler,
  • Birleşik, entegre veya ortak tetkikler,
  • Belgelendirme şartlarındaki değişiklikler,
  • Yasal şartlardaki değişiklikler,
  • Kuruluşun performans verileri (örneğin, kusur seviyeleri, kilit performans gösterge verileri gibi),
  • Uygun ilgili tarafların değerlendirmeleri.
  • Belirlenen bilgi güvenliği kontrolleri (BGYS için)

 

5.1.4.3. Tetkik programı hazırlanırken gözetim tetkikleri, yeniden belgelendirme yılı hariç her takvim yılında bir kez yapılır. İlk belgelendirmeden sonra yapılacak ilk gözetim tetkiki, belgelendirme karar tarihinden itibaren 12 ayı geçmez.

 

Gözetim tetkiklerinin sıklığı belirlenirken, mevsim veya yönetim sistemleri belgelendirmesinin belirli bir süre için olması (örneğin, geçici inşaat alanı gibi) gibi hususların dikkate alınır.

 

5.1.4.4. Müşterinin başka bir kuruluş tarafından yapılan mevcut belgelendirme ve tetkiklerini dosyalar içinde saklanır. Elde edilen bilgi esas alınarak, var olan tetkik programındaki herhangi bir değişik ve önceki uygunsuzluklarla ilgili düzeltici faaliyetlerin takibi doğrulanır ve kaydedilir.

 

5.1.4.5. Müşteri vardiya usulü ile çalıştığında, tetkik programı ve planı geliştirilirken, vardiyada yapılan çalışmalar dikkate alınır. Vardiyalarda normal çalışma saatlerinden farklı proseslerin olması durumunda tetkik programı ve planında bu proseslere de yer verilir.

 

ISO 45001 tetkiklerinde ürün veya hizmet gerçekleştirme süreçlerinin vardiya bazında çalışması durumunda, her bir vardiyanın DV-CERT LLC tarafından denetlenmesinin kapsamı, her bir vardiyada yapılan işlemlere, ilgili İSG risklerini göz önüne alarak ve gösterilen her vardiya kontrol seviyesine bağlıdır. Etkili uygulamayı denetlemek için, ilk sertifikasyon döngüsü boyunca normal çalışma saatleri içinde ve dışında bir vardiyadan biri denetlenir. Sonraki döngülerin gözetim denetimleri sırasında, kuruluşun İSG’sinin tanınmış vadesine bağlı olarak ikinci vardiyayı denetlememeye karar verebilir. 8 saatlik denetim süresi içinde her iki kaymayı da kapsayabilmek için mümkün olduğunda denetimin başlama zamanını geciktirmek için ayarlamalar yapılması önerilir. Diğer kaymaları denetlememenin gerekçesi, yapmama riski de dikkate alınarak 3 yıllık tetkik planında kayıt altına alınır.

 

5.1.4.6. Müşteri için hazırlanan 3 yıllık tetkik programındaki her bir revizyon ve gerekçesi plana kaydedilir ve gerekçeler için yeterli ve doğrulanabilir bilgiler toplanır.

 

5.1.5.     Tetkik Süresinin Belirlenmesi

 

5.1.5.1. Tetkik Süresi Hesaplama Talimatına göre her bir müşteri için müşterinin yönetim sisteminin tam ve etkili bir tetkikini planlamaya ve gerçekleştirmeye yönelik ihtiyaç duyulan süre Belgelendirme Müdürü tarafından belirlenir.

 

5.1.5.2. Tetkik süresinin belirlenmesinde aşağıdaki ilave hususlar dikkate alınır:

 

  • İlgili yönetim sistem standardının şartları,
  • Müşterinin ve yönetim sisteminin karmaşıklığı,
  • Teknolojik ve mevzuat bağlamı,
  • Yönetim sistemi kapsamında yer alan bütün faaliyetlerinden, taşerona verilen faaliyetler,
  • Önceki tetkiklerin sonuçları,
  • Tesislerin büyüklüğü ve sayısı, bunların coğrafi konumları ve birden çok tesis değerlendirmeleri,
  • Ürünler, prosesler ya da kuruluşun faaliyetleri ile ilgili riskleri,
  • Tetkiklerin, birleşik, ortak veya entegre olması.

 

ISO 50001 EnYS tetkiklerinde Tetkik süresinin belirlenmesinde belgelendirme kuruluşu aşağıdaki faktörler ilave olarak dikkate alınır:

 

  • Enerji kaynakları,
  • Önemli enerji kullanımları,
  • Enerji tüketimi,
  • EYS etkin personeli sayısı.

 

ISO 27001 BGYS tetkiklerinde Tetkik süresinin belirlenmesinde aşağıdaki faktörler ilave olarak dikkate alınır:

 

  • BGYS’ nin karmaşıklığı (örneğin; bilgi önceliği, BGYS’ nin risk durumu vb.),
  • BGYS kapsamında yürütülen iş(ler),
  • BGYS’ nin daha önce gösterdiği performans,
  • BGYS’ nin çeşitli bileşenlerinin uygulanmasında faydalanılan teknolojinin çeşitliliği ve kapsamı (örneğin; farklı BT platform sayıları, ayrılmış ağ sayısı),
  • BGYS kapsamında kullanılan dış kaynak kullanımı ve üçüncü taraf düzenlemelerinin kapsamları,
  • Bilgi sistemleri geliştirme derecesi/ölçüsü,
  • Saha sayısı ve felaket kurtarma merkezlerinin (FKM) sayısı,
  • Gözetim veya yeniden belgelendirme denetimleri kapsamında, BGYS ile alakalı olan değişikliklerin kapsamı ve miktarı.

 

5.1.6.      Çoklu Tesis Örneklemesi

 

Müşterinin, çeşitli coğrafi bölgelerde aynı faaliyeti kapsayan yönetim sisteminin tetkiki için birden fazla tesiste örnekleme yapıldığında, yönetim s isteminin tetkikinin uygun şekilde olmasından emin olmak için Çoklu Saha Denetimi Talimatına göre bir örnekleme programı oluşturulur ve örnekleme planı 3 Yıllık Tetkik Programı ile kayıt altına alınır. Örnekleme planının gerekçesi, her bir müşteri için 3 Yıllık Tetkik Programı ile dokümante edilir.

 

Çoklu tesisler aynı faaliyetleri kapsamıyor ise, örnekleme uygulanmaz.

 

BGYS’de Müşterinin, aşağıda a) ila c) arasında olan kriterleri karşılayan çok sayıda sahası olduğu durumda, çoklu sahanın belgelendirme denetiminde örneklemeye dayalı bir yaklaşım kullanılması değerlendirilebilir:

 

  • Tüm sahaların, merkezi olarak yönetildiği, denetlendiği ve merkezi yönetimin gözden geçirmesine tabi olan aynı BGYS altında işletildiği,
  • Tüm sahaların, müşteri kuruluşun BGYS iç denetim programına dâhil edildiği,
  • Tüm sahaların, müşteri kuruluşun BGYS’yi yönetimin gözden geçirmesi programına dâhil edildiği.

 

BGYS kapsamında; merkez ofis ve sahaların iç denetim sonuçları, yönetimin gözden geçirmesinin sonuçları, sahaların büyüklüklerindeki farklılıklar, sahaların iş amaçlarındaki farklılıklar, BGYS’nin karmaşıklığı, farklı sahalardaki bilgi sistemlerinin karmaşıklığı, çalışma şekillerindeki farklılıklar, yürütülen faaliyetlerdeki farklılıklar, kritik bilgi sistemleri veya hassas bilgi işleyen bilgi sistemleri ile potansiyel etkileşim, değişen her türlü yasal şartlar, coğrafi ve kültürel yönler, sahaların risk durumu, bilgi güvenliği olayları olan spesifik sahalar dikkate alınarak temsil edici sayıda saha örneklenir.

 

BGYS’de Müşteri’nin BGYS’si kapsamı dâhilindeki tüm sahalar arasından temsili bir örnek seçilir. Bu seçim, rastgelelik unsurunu da yansıtacak şekilde verilecek karara dayanır. Önemli risklerle karşı karşıya olan BGYS dâhilindeki bütün sahalar denetlenir. Merkez ofis numune alımına dâhil olacak sahalar hakkında, denetime hazırlanmayı mümkün kılacak bir süre önceden bilgilendirilir.

 

Numune boyutunun ve numune alınacak sahaların belirlenmesi ile birlikte denetim süresi hesaplanır. Çok sahalı kuruluşlar için yapılacak denetim ekibi atamalarında, her sahaya giden denetim ekibinin, ilgili yeterliliklere sahip olması sağlanır.

 

BGYS’de merkez ofis veya bir sahada, bir uygunsuzluk tespit edildiğinde, düzeltici faaliyet prosedürü merkez ofise ve belgelendirmenin kapsadığı tüm sahalara uygulanır.

 

 

 

5.1.7.     Çoklu Yönetim Sistem Standartları

 

Çoklu yönetim sistem standardlarında belgelendirme sağlandığında, tetkik planlaması; belgelendirmenin güveni için saha tetkiklerini kapsar.

 

Firma, çoklu saha kapsamına giren işletmelerinden denetime aynı anda hazır olmayanları denetimden önce DV-CERT LLC’a bildirmeli ve denetim programından çıkarılmasını sağlamalıdır. Denetim için hazır olmayan işletmeler denetime tabi olmaz ve adresleri sertifika üzerine yazılamaz.

 

Müşterinin iç tetkik ve ygg uygulamaları çoklu sahaları kapsamalıdır.

 

ISO 27001 belgelendirmesinde; BGYS diğer sistemlere uygun ara yüzlerle birlikte açıkça tanımladığı sürece (örneğin, bilgi güvenliği, kalite, sağlık ve güvenlik ve çevre için) birleştirilmiş dokümanlar kabul edilir.

 

BGYS tetkiki, diğer tetkikin BGYS belgelendirmesi için olan gereklilikleri yerine getirdiği ispat edildiği sürece diğer yönetim sistemlerinin tetkikleriyle birleştirilebilir. BGYS için önemli olan bütün unsurlar tetkik raporlarında açıkça tanımlanır. Tetkiklerin birleştirilmesi, tetkikin kalitesini olumsuz yönde etkileyecek şekilde olmamalıdır.

 

5.1.8.     Transfer Tetkikleri

 

Tetkikin transfer tetkiki olabilmesi için IAF MD2 klavuzuna göre şartları karşılamalıdır.

 

5.1.9.     Entegre Tetkikler

 

Entegre Yönetim Sistemi tetkikleri IAF MD 11 klavuzuna göre gerçekleştirilir. Entegre Tetkiklerin planlanması ve kayıt altına alınmasında bu prosedürdeki genel kurallar uygulanır. Entegre Tetkikler için tetkik süreleri Tetkik Süresi Hesaplama Talimatına göre belirlenir.

 

BGYS tetkiki, diğer tetkikin BGYS belgelendirmesi için olan gereklilikleri yerine getirdiği ispat edildiği sürece diğer yönetim sistemlerinin tetkikleriyle birleştirilebilir. BGYS için önemli olan bütün unsurlar tetkik raporlarında açıkça tanımlanır. Tetkiklerin birleştirilmesi, tetkikin kalitesini olumsuz yönde etkileyecek şekilde olmamalıdır.

 

5.1.10.  ISO 45001 Dış Kaynaklı Proseslerin Denetlenmesi

 

Müşteri işlevlerinin veya işlemlerinin bir kısmını dış kaynaklardan sağlıyorsa, kuruluşun dışarıdan sağlanan işlevlerin veya işlemlerin olumsuz bir şekilde yapılmadığından emin olmak için uygulanacak kontrollerin türünü ve kapsamını etkin bir şekilde belirlediğine dair kanıt bulmak DV-CERT LLC’ın sorumluluğundadır. Tedarikçinin İSG risklerini kontrol etme kabiliyeti ve yasal gerekliliklere uyma konusundaki taahhütleri de dahil olmak üzere İSG’nin etkinliği denetim ekibince kontrol edilir.

 

DV-CERT LLC, tedarik edilen herhangi bir faaliyetin müşteri faaliyet ve süreçlerine ve uygunluk gerekliliklerinin İSG performansına getirdiği riski denetler ve değerlendirir; Bu, aşağıdakilerden yola çıkarak, tedarikçilerin etkinlik düzeyi hakkında geri bildirim toplamayı içerebilir:

 

  • Kurum tarafından, belirtilen şartlara uygun, yasal gerekliliklere uygun olarak işlev veya süreç sağlama yeteneklerine dayalı olarak değerlendirme, seçme, performansın izlenmesi ve bu dış sağlayıcıların yeniden değerlendirilmesi için uygulanan kriterler ve
  • Dış sağlayıcıların kuruluşun kendi İSG riskini kontrol etme yeteneğini olumsuz yönde etkileme riski.

 

Tam tedarikçinin yönetim sisteminin denetlenmesi gerekmese bile, DV-CERT LLC etkin bir denetim planlaması ve gerçekleştirmesi için dış sağlayıcılara dış kaynaklı olan İSG kapsamına giren bu süreçleri veya işlevleri dikkate alır.

 

5.2.         Tetkiklerin Planlanması

 

5.2.1.     Tetkikin Amaç, Kapsam ve Kriterlerinin Belirlenmesi

 

5.2.1.1. Tetkikin amaçları, DV-CERT LLC tarafından belirlenir. Tetkikin kapsamı ve kriterler, herhangi bir değişiklik dahil müşteri ile müzakere edildikten sonra, DV-CERT LLC tarafından oluşturulur. Tetkik Amaç, kapsam ve kriterleri Tetkik Planı ile dokümante edilir.

 

5.2.1.2. Tetkik amaçları, tetkik ile neyin hedeflendiği olup aşağıdakileri içerir:

 

  • Tetkik kriterleri kullanılarak, müşterinin yönetim sisteminin veya bir bölümünün uygunluğunun tayini,
  • Kuruluşun yönetim sisteminin, uygulanabilir yasal, düzenleyici ve sözleşme şartlarını karşılayabilme becerisinin tespiti
  • Müşterinin, belirlenen amaçlara ulaşılabileceği beklentisini güvence altına almak için yönetim sisteminin etkinliğinin tayini,
  • Uygun olması durumunda, yönetim sisteminin potansiyel iyileştirme alanlarının tanımı,
  • BGYS için risk değerlendirmesine göre kuruluşun uygulanabilir kontrolleri uyguladığını ve belirlenen bilgi güvenliği hedeflerine ulaştığını doğrulamak için yönetim sisteminin etkinliğini tespiti.

 

5.2.1.3. Tetkikin kapsamı, tetkikin sınırlarını (örneğin, tetkik edilecek; tesisler, yönetim birimleri, faaliyetler ve prosesleri gibi) tanımlar. İlk veya yeniden belgelendirme prosesi birden fazla tetkikten (örneğin, farklı tesisleri kapsıyorsa) oluşuyorsa, her bir tetkikin kapsamı tüm belgelendirme kapsamını içermeyebilir ancak bütün tetkiklerin toplamı belgelendirme dokümanındaki kapsamla uyumlu olur.

 

5.2.1.4. Tetkik kriteri, uygunluğun neye göre tayin edildiğinin referansı olarak kullanılır ve aşağıdakileri kapsar:

 

  • Yönetim sistemleri ile ilgili tanımlanan zorunlu hüküm dokümanının şartları,
  • Müşteri tarafından geliştirilen yönetim sisteminin tanımlanmış prosesleri ve dokümantasyonu.

 

5.2.2.     Tetkik Ekibinin Seçilmesi ve Atanması

 

5.2.2.1.  Genel

 

Tetkik ekibinin seçimi ve atanması Belgelendirme Müdürü tarafından yapılır. Tek bir tetkikçi varsa, bu tetkikçi ilgili tetkik için tetkik ekip liderinin görevlerini yerine getirebilecek yeterliliğe sahip olmalıdır. Tetkik için atanan tetkik ekibin toplam yetkinliği, Personel Yetkinlik Tablolarında belirtilen yeterlilikleri karşılamalıdır. Atanmış olan tetkik ekibi üyesi/üyeleri denetimin gerçekleştirilmesi için ihtiyaç duyulan toplam y etkinliğe sahip olmasına karşın yine de teknik uzman desteğine ihtiyaç duyabilir. Bu durumda bu ihtiyacı hisseden baş tetkikçi aşama 1 raporunda ihtiyacını belirtir.

 

Tetkik Ekibinde yer alması planlanan kişiler ile her tetkik öncesinde Belgelendirme Müdürü tarafından önce sözlü iletişime geçilir ve genel planlama yapılır. İlgili müşteri dosyası tetkik ekibi üyelerinin erişimine otomatik olarak açılır.

 

Tetkik Ekibi yetkinliğin belgelendirme ve tetkiklere dâhil edilen her sahada sağlanması zorunludur.

 

5.2.2.1.1.             Tetkik ekibinin büyüklüğüne ve yapısına karar verilirken aşağıdakiler dikkate alınır:

  • Tetkikin amaçları, kapsamı, kriteri ve tahmini tetkik süresi,
  • Tetkikin birleşik, entegre veya ortak olduğu,
  • Tetkikin amaçlarına ulaşmak için gerekli tetkik ekibinin bütüncül yeterliliği,
  • Belgelendirme şartları (uygulanabilir kanuni, düzenleyici veya sözleşme şartları dahil),
  • Dil ve kültür.

 

Birleşik veya entegre tetkikin ekip liderinin seçim ve atamasında, standardlardan en az bir tanesinde baş tetkikçi olarak yetkilendirilmiş ve belirli tetkikler için kullanılan diğer standardlar ile ilgili farkındalığının olması gereklidir.

 

5.2.2.1.2. Tetkik ekibi liderinin ve tetkikçilerin gerekli bilgi ve yetenekleri, bir tetkikçinin talimatı altında çalışan, teknik uzman ve tercümanlar ile desteklenebilir. Tercüman kullanılması durumunda, tercümanlar tetkiki olumsuz etkilemeyecek şekilde seçilir.

 

Teknik uzmanların seçim kriterleri, tetkik ekibinin ve tetkik kapsamının gerekleri esas alınarak her tetkik özelinde tayin edilir.

 

5.2.2.1.3. Eğitimdeki tetkikçiler, tetkikçilerden birinin değerlendirici olarak belirlenmesi şartıyla tetkike katılabilir. Değerlendirici, sorumlulukları yerine getirebilecek şekilde Personel Eğitim Yetkinlik ve Performans Değerlendirme Prosedürüne göre yeterli olmalıdır. Değerlendirici, aynı zamanda, eğitimdeki tetkikçinin faaliyetleri ve bulguları ile ilgili son sorumluluğa sahiptir.

 

5.2.2.1.4. Tetkik ekibi lideri, tetkik ekibi ile istişare ile her bir ekip üyesine tetkik esnasında, belirli proseslerin, bölgelerin ve faaliyetlerin tetkiki sorumluluğunu hazırlamış olduğu Tetkik Planına uygun verir. Bu görevlendirme yapılırken, tetkikçiler, eğitimdeki tetkikçiler ve teknik uzmanların değişik görev ve sorumlulukları da dikkate alınarak, yeterlilik ile tetkik ekibinin etkin ve verimli kullanım ihtiyaçları dikkate alınır. Tetkik amaçlarına ulaşmayı garanti altına almak için sorumluluk alanlarında değişiklik yapılabilir.

 

BGYS için denetim ekibi oluşturulurken diğerlerine ilaveten denetçilerde şunlar da aranır:

 

  • BGYS kapsamındaki spesifik faaliyetler için ve ilgili olduğunda bağlantılı prosedürler ve bunların potansiyel bilgi güvenliği riskleri ile ilgili gereken teknik bilgi, iş tecrübelerine göre atandığı kategori kodlarına göre

 

  • BGYS kapsamı ve kuruluşun faaliyetlerinin, ürünlerinin ve hizmetlerinin bilgi güvenliği boyutlarını yönetmedeki bağlamı göz önüne alınarak güvenilir bir BGYS belgelendirme denetimi yapabilmek için gereken müşteri anlayışına sahip olması, iş tecrübeleri ile bağlantılı yapılan kategori kodlarına göre

 

  • Müşterinin BGYS’sine uygulanabilir yasal ve düzenleyici şartlar hakkında bir anlayışa sahip olması, yine iş tecrübeleri ve eğitimlerini aldıkları (sertifikalarla ispatlanan) alanlara göre tespit edilir. Yasal şartlar konusunda bir değişiklik olduğu takdirde DV-CERT LLC, ya ilgili kapsamda yetkilendirilmiş denetçilerinin bu alanda eğitim almasını sağlar, ya da iç eğitim düzenleyerek bu bilgiyi günceller.

5.2.2.2.  Gözlemciler, Teknik Uzmanlar ve Rehberler

 

5.2.2.2.1.               Gözlemciler

Bir tetkik faaliyeti esnasında, gözlemcilerin varlığı ve doğrulanması, tetkikin gerçekleşmesinden önce Tetkik Planı ile müşteri onayına sunulur. Tetkik ekibi, gözlemcinin tetkik prosesinde olumsuz etki etmesine veya karışmasına ya da tetkik sonucunu etkilemesine izin verilmez.

 

Gözlemciler, müşteri kuruluşun mensubu, danışmanlar, tanıklık yapan akreditasyon kuruluşu personeli, düzenleyiciler veya diğer doğrulanan personel olabilir.

 

5.2.2.2.2.               Teknik uzmanlar

Bir tetkik esnasında teknik uzmanın rolü, belgelendirme gerçekleşmeden önce Tetkik Planı ile müşteri onayına sunulur. Teknik uzman tetkik ekibinde tetkikçi gibi davranmaz. Teknik uzmanlara bir tetkikçi refakat eder.

 

Teknik uzmanlar tetkik ekibine hazırlık, planlama veya tetkik için tavsiyede bulunabilir.

 

 

5.2.2.2.3.               Rehberler

Tetkik ekibi lideri ile müşteri aksi bir şekilde anlaşmadıkça, açılış toplantısında her bir tetkikçiye bir rehber eşlik etmesi talep edilir. Rehber/rehberler, tetkikin gerçekleşmesi için tetkik başlamadan önce tetkik ekibine atanır. Tetkik ekibi, rehberlerin tetkik prosesinde olumsuz etki etmesine veya karışmasına ya da tetkik sonucunu etkilemesine izin vermez.

 

Rehberlerin görevleri aşağıdakileri kapsayabilir:

 

  • Görüşmeler için bağlantılar ve zamanlama oluşturma,
  • Tesis veya kuruluşun belirli bölgelerine ziyaret ayarlama,
  • Bölgenin emniyeti ve güvenliği prosedürleri ile ilgili kuralların tetkik ekibi üyelerince bilindiği ve uyulduğunun güvence altına alınması,
  • Müşteri adına tetkike şahitlik etme,
  • Tetkikçi tarafından istenildiği şekilde açıklama veya bilgi sağlama.

 

Uygun olduğu takdirde tetkik edilen, rehber olarak görev yapabilir.

 

5.2.3.     Tetkik Planı

 

5.2.3.1.  Genel

 

DV-CERT LLC, tetk ik faaliyetlerinin yapılması ve programlanması ile ilgili anlaşmanın temelini sağlamak amacıyla, her bir tetkik programında yer aldığı şekilde her tetkikten önce tetkik planını oluşturur.

 

5.2.3.2.  Tetkik planının hazırlanması

 

Tetkik Planı tetkik kapsamına ve hedeflerine uygun olarak 3 Yıllık Tetkik Programına paralel olarak n Baş Tetkikçi tarafından hazırlanır.

 

Tetkik Planı en az aşağıdakileri içerir:

 

  • Tetkik amaçları,
  • Tetkik kriterleri,
  • Tetkike tâbi tutulacak kurumsal ve fonksiyonel birimler ve proseslerin tanımı dahil tetkik kapsamı,
  • Sahadaki tetkik faaliyetlerinin gerçekleştirileceği tarihler ve sahalar (uygun olduğu takdirde, farklı sahalar ve uzaktaki tetkik faaliyetleri dahil),
  • Sahadaki tetkik faaliyetlerinin beklenen süresi,
  • Tetkik ekibi üyelerinin ve eşlik eden personelin (örneğin, gözlemciler ve tercümanlar) görev ve sorumlulukları.

 

  • Belirlenen bilgi güvenliği kontrolleri

 

 

 

 

Tetkik Planında tetkik ekibi üyelerinin ve eşlik eden personelin (örneğin, gözlemciler ve tercümanlar) görev ve sorumlulukları ve sahadaki tetkik faaliyetlerinin gerçekleştirileceği tarihler ve sahalara yer verilir.

 

5.2.3.3.  Tetkik ekibinin görev iletişimi

 

Tetkik ekibine verilen görevler Tetkik Planında açık bir şekilde tanımlanır. Bu sayede tetkik ekibinin aşağıdaki hususları yerine getirmesi öngörülür:

 

  • Müşteri kuruluşun yönetim sistemi ile ilgili yapısının, politikalarının, proseslerinin, prosedürlerinin, kayıtlarının ve ilgili dokümanlarının incelenmesini,
  • Bunların amaçlanan belgelendirme kapsamının bütün şartlarını karşıladığının belirlenmesini,
  • Müşteri kuruluşun yönetim sistemine güven duyulmasına bir temel sağlamak üzere, prosesler ve prosedürlerin oluşturulduğunun, etkin bir şekilde uygulandığının ve sürdürüldüğünün belirlenmesini,
  • Faaliyetlerin ve müşterinin politika, hedef ve amaçları ile sonuçlar arasındaki tutarsızlıkların müşteriye bildirilmesini.

 

ISO 27001 denetimlerinin planları hazırlanırken bilgi güvenliği kontrolleri de dikkate alınır ve baş denetçi gerekli görüyorsa ağ destekli denetim organizasyonu da yapabilir. Baş denetçi bunu denetim planında belirtir. Ağ destekli denetim teknikleri telekonferans, internet görüşmesi, internet tabanlı interaktif iletişim ve BGYS dokümantasyonuna veya BGYS proseslerine uzaktan erişim olabilir.

 

Entegre denetimler söz konusu olduğunda tetkik planı her bir yönetim sisteminin tüm alanlarını ve faaliyetlerini kapsayacak ve yetkin tetkikçi tarafından tetkik edilecek şekilde hazırlanır. BGYS ile başka bir yönetim sistemi entegre olduğunda DV-CERT LLC, ancak BGYS’nin açıkça tanımlanmış olması durumunda bu entegrasyonu kabul eder.

 

5.2.3.4.  Tetkik planının iletişimi

 

Belgelendirme Müdürü müşteri ve tetkik ekibi ile sözlü iletişime geçerek başvuru tarihinden ve / veya bir önceki tetkikten bu yana tetkikin akışını etkileyecek bir değişikliğin (organizasyonel ve yönetimsel sistem değişiklikleri, çalışan sayısı…..) olup olmadığını teyit eder. Değişiklik varsa gerekli değişiklikleri yapar ve müşteri ile kesin tetkik tarihine karar verir. Belgelendirme Müdürü kesinleşen tetkik tarihi ve ekibini belirler.

 

 

Tetkik planı, müşteri kuruluşa ve tetkik ekibine Baş Tetkikçi tarafından tetkiklerden en az 3 iş günü önce iletilir.

 

 

Tetkikin gerçekleşebilmesi için müşteri ve tetkik planı onaylamalıdır.

Planın onaylanması ile tetkik ekibinin tarafsızlığı teyit edilmiş olur.

 

 

5.2.3.5.  Tetkik ekibi üyeleri ile ilgili iletişim

 

DV-CERT LLC, tetkik ekibinin her bir üyesini müşteri kuruluşa bildirir. Bu bildirim, müşteri kuruluşun belirli bir tetkikçi veya teknik uzmanın atamasına itiraz etmesine ve belgelendirme kuruluşunun geçerli itiraza cevaben ekibi yeniden oluşturmasına yeterli süre verecek şekilde (Tetkiklerden en az 3 gün önce) yapılır. Tetkik Ekibi ile ilgili İtiraz Belgelendirme Müdürü, Tetkik Planı ile ilgili itiraz Baş Tetkikçi tarafından incelenir ve müşteri haklı bulunur ise Plan ve/veya Tetkik Ekibi değiştirilir.

 

Tetkik tarihlerindeki değişiklikler müşteri ile karşılıklı yapılan yazışmalar ile yapılabilir.

 

DV-CERT LLC kaynaklı olan değişikliklerde Plan onay için müşteriye tekrar yollanır.

 

5.3.         Tetkik Türleri

 

5.3.1.      İlk belgelendirme tetkiki

 

5.3.1.1.  Genel

 

Yönetim sisteminin ilk belgelendirme tetkiki Aşama 1 ve Aşama 2 olmak üzere, iki aşamada yapılır.

Tetkikler Tetkik Planında belirlenen gün ve saatte yapılır. Tetkikin yapılması ile ilgili organizasyon

Planlama Sorumlusu ve Baş Tetkikçiye aittir.

 

5.3.1.2.  Aşama 1 Tetkiki

 

5.3.1.2.1. Aşama 1 tetkiki, tetkik ve belgelendirme gerçekleştirilecek olan firmanın Aşama 2 tetkikine hazır olup olmadığının kontrolü için gerçekleştirilen tetkiktir. Aşama 1 tetkiklerinde firmanın Başvuru Formunda yer alan bilgilerinin doğruluğu kontrol edilir ve özellikle tetkik sürelerini etkileyen kriterler üzerinde hassasiyetle durulur. Aşama 1 tetkikinin yapılabilmesi için kuruluşun en az 1 adet iç tetkik ve ygg sürecini tamamlamış olması ve sistemin en az 2 aydır uygulanıyor olması zorunludur.

 

 

 

Aşama 1 resmi bir tetkik planı gerektirmez.

 

Aşama 1 tetkikinin müşteri sahasında mı DV-CERT LLC ofisinde mi yapılacağına aşağıdaki tabloya göre karar verilir. Masabaşı yapılan tetkik sonrası rapor ve ekleri müşteriye Baş Tetkikçi tarafından mail ile yollanır.

 

 

 

9001 14001 22000 27001 50001 45001
Karmaşıklık Yer Karmaşıklık Yer Haccp planı Yer Yer Yer Yer
Sınırlı Masa Başı Saha Saha Saha
Düşük Masa Başı Düşük Masa Başı Düşük Saha Saha Saha Saha
Orta Saha Orta Saha Orta Saha Saha Saha Saha
Yüksek Saha Yüksek Saha Yüksek Saha Saha Saha Saha
—– —– En Yüksek Saha Saha Saha Saha

 

Ancak tabloda masa başı yazmasına rağmen Belgelendirme Müdürü veya Baş Tetkikçi tarafından aşağıda belirtilen şartlara göre yapılan değerlendirme sonrası tetkik saha denetimi şeklinde de gerçekleştirilebilir. Çoklu saha belgelendirme kapsamına giren tüm müşterilerin merkez ofislerinde aşama 1 denetimi kapsamının risk grubuna bakılmaksızın sahada gerçekleştirilir.

 

  • Kompleks proses yapısı,
  • Denetlenecek şube/şantiye sayısının fazlalığı,
  • Firma  organizasyon  yapısı  (2.Aşama  denetimi  için  belirlenmesi  gereken  yetki  ve sorumlulukların anlaşılır olup olmaması),
  • Dokümantasyon yapısının karmaşıklığı,
  • 2.Aşama tetkikinin yapılabilmesi için dokümantasyon yapısının yeterlilik teşkil edip etmemesi,
  • Firma lokasyonu ve çevresi, o Firma büyüklüğü,
  • Yasal mevzuatlara uygunluk, ürün şartlarına uygunluk ile ilgili belirsizliklerin mevcudiyeti.

 

5.3.1.2.2.             Aşama 1 tetkikinin amacı aşağıdakileri hususları gerçekleştirmektir:

 

  • Müşterinin yönetim sisteminde dokümante edilmiş bilgiyi gözden geçirmek, BGYS için var ise hariç tutulan standart maddelerinin haklı gerekçelerinin doğrulanması,
  • Müşteri mahallini ve sahaya özgü koşulları değerlendirmek ve Aşama 2 tetkikine hazırlığın belirlenmesindeki müşterinin personeli ile müzakereleri yapmak,
  • Müşterinin statüsünün gözden geçirilmesi ve özellikle temel performansın veya önemli hususların, proseslerin, hedeflerin ve yönetim sisteminin çalışmasının tanımlanmasıyla ilgili standart şartlarını anlamak,
  • Aşağıdakiler dahil yönetim sisteminin kapsamı ile ilgili gerekli bilgileri elde etmek:
    • Müşterinin sahası/sahaları,
    • Prosesler ve kullanılan teçhizat,
    • Oluşturulan kontrol seviyeleri (özellikle birden fazla sahası olan müşterilerde),
    • Uygulanabilir durumsal ve düzenleyici şartlar,
  • Aşama 2 tetkikine yönelik kaynak tahsisinin gözden geçirmek ve Aşama 2 tetkikinin ayrıntıları üzerinde müşteri ile anlaşmaya varmak,
  • Yönetim sistemi standardının veya diğer hüküm ihtiva eden dokümanlar bağlamında, müşterinin yönetim sisteminin ve saha operasyonlarının yeterli bir şekilde anlaşılmasının sağlanmasıyla, Aşama 2 tetkikinin planlanmasına odaklanmak,
  • İç tetkiklerin ve yönetimin gözden geçirmesinin planlanıp planlanmadığı ve gerçekleştirilip gerçekleştirilmediğinin değerlendirilmesi ve uygulanan yönetim sisteminin uygulama seviyesi ile müşterinin Aşama 2 tetkiki için hazır olup olmadığını değerlendirmek.
  • Kuruluşun organizasyon yapısı, risk değerlendirme ve risk işleme, bilgi güvenliği politikası ve hedefleri ile özellikle kuruluşun BGYS aşama 2 denetimine hazırlık durumunu tespit etmek.

 

ISO 27001 BGYS Tetkiklerinde; BGYS politikası ve kontrol edilmiş dokümante ifadeleri, BGYS kapsamı, BGYS destekleyici prosedürler ve kontroller, Risk d eğerlendirme metodolijisinin tanımı, risk değerlendirme raporu, risk işleme planı ihtiyaç duyulan prosedür ve kontrollerin etkinliğinin nasıl ölçüleceğini tanımlama, bu standart tarafından gerek duyulan kayıtlar, uygulanabilirlik bildirgesini içerir.

 

ISO 50001 EnYS Tetkiklerinde Aşama 1 aşağıdakileri içerir:

 

  • Belgelendirilecek EYS’nin kapsamının ve sınırlarının doğrulanması,
  • Tanımlı kapsam ve sınırlar için kuruluşun tesislerinin, donanımının, sistemlerinin ve işlemlerinin grafiksel veya metin olarak açıklamasının incelenmesi,
  • Tetkik süresinin doğrulanması için EYS aktif personel sayısının, enerji kaynaklarının, önemli enerji kullanımlarının ve yıllık enerji tüketiminin doğrulanması,
  • Enerji planlama sürecinin belge haline getirilmiş sonuçlarının incelenmesi,
  • Tespit edilen enerji performansı iyileştirme fırsatlarının listesiyle birlikte ilgili amaçların, hedeflerin ve eylem planlarının incelenmesi.

 

5.3.1.2.3. Aşama 1 tetkik bulguları, Aşama 2 tetkiki esnasında uygunsuzluk olarak sınıflandırılabilen her türlü alanın tanımlanması dâhil, Tetkik Raporu olarak dokümante edilir ve müşteriye bildirilir.

 

 

Aşama 1 çıktılarının, bir tetkik raporunun şartlarının tamamını karşılaması gerekmez.

 

 

 

5.3.1.2.4. Aşama 1 ve Aşama 2 tetkikleri arasındaki aralığın belirlenmesinde, Aşama 1 tetkiki esnasında belirlenen hususların çözüme kavuşturulmasına yönelik müşterinin ihtiyaç duyacağı zaman dikkate alınır. Aşama 1 tetkikinde elde edilen bulgular ışığında Aşama 2 için düzenlemeler revize edilebilir. Yönetim sistemini etkileyecek önemli değişiklikler olursa, Aşama 1’in tekrar yapılması Baş Tetkikçi tarafından değerlendirilir. Müşteri, Aşama 1’in sonuçlarının Aşama 2’yi ertelemeye veya iptal etmeye yol açabileceği konusunda bilgilendirilir.

 

 

Aşama 1 ve Aşama 2 için arasındaki süre 6 aydan fazla olamaz.

 

 

 

5.3.1.3.  Aşama 2 Tetkiki

 

Aşama 2 tetkikinin amacı, müşterinin yönetim sisteminin etkinliği dâhil, uygulamayı değerlendirmektir. Aşama 2 tetkiki, müşterinin bütün sahasında/sahalarında yapılır. Aşama 2 tetkiki en azından aşağıdaki hususları içerir:

 

  • Uygulanabilir yönetim sistem standardı veya diğer hüküm ifade eden dokümanların şartlarına uygunluk hakkındaki bilgi ve kanıt,
  • Temel performans hedefleri ve amaçlarına yönelik (uygulanabilir yönetim sistem standardı veya diğer hüküm ifade eden dokümanlardaki beklentilerle tutarlı) performansın izlenmesi, ölçülmesi, kayıt altına alınması ve gözden geçirilmesi,
  • Müşterinin yönetim sistemi kabiliyeti ve uygulanabilir statüsel, düzenleyici ve yapısal şartların karşılanması ile ilgili performansı,
  • Müşteri proseslerinin operasyonel kontrolü,
  • İç tetkik ve yönetimin gözden geçirilmesi,
  • Müşteri politikaları için yönetimin sorumluluğu.

 

Eğer Transfer tetkiki ise firmanın geriye dönük raporları (en azından son belgelendirme periyodundaki bütün tetkik raporları) tetkik sırasında tetkik takımı tarafından kontrol edilir ve tetkik raporuna/kontrol listesine ayrıntılı şekilde bilgileri yazılır.

 

Tetkikçi tetkikin bütünlüğün sağlanabilmesi için, bir prosesin tetkiki sırasında çapraz sorgulama metodu ile ilgili diğer bir prosesi ve standart maddesini sorgular.

 

Firmanın faaliyeti, adresi, unvanı… gibi durumlar tetkik sırasında firmanın yasal dokümanları ve google gibi arama motorları ile doğrulanır.

 

ISO 27001 belgelendirmesi yapılırken aşama 2 denetimi, sınırlı olmamakla birlikte, aşağıdakilere odaklanır:

 

  • Kuruluşun kendi politikalarına, hedeflerine ve prosedürlerine bağlı kaldığının doğrulaması
  • Üst yönetim liderliği ve bilgi güvenliği politikasına bağlılığı ve bilgi güvenliği hedeflerine bağlılığı
  • ISO 27001 standardında yer alan dokümantasyon gerekleri
  • Bilgi güvenliği ile ilgili risklerin değerlendirilmesi ve tekrarlanması durumunda değerlendirmenin tutarlı, geçerli ve karşılaştırılabilir sonuçlar ürettiğinin teyidi
  • Kontrol hedeflerinin, risk değerlendirme ve risk işleme prosesleri temelli kontrollerin belirlenmesi
  • Bilgi güvenliği performansı ve BGYS’nin etkinliği, bilgi güvenliği hedeflerine göre değerlendirilmesi
  • Belirlenen kontroller, uygulanabilirlik bildirgesi, bilgi güvenliği risk değerlendirme ve risk işleme proseslerinin sonuçları ile bilgi güvenliği politikası ve hedefleri arasındaki tutarlılık
  • Kontrollerin uygulandığının ve beyan edilen bilgi güvenliği hedeflerini karşılayıp karşılamadığını belirlemek için iç ve dış şartlar ve ilgili riskler de dikkate alınarak kontrollerin uygulanması, kuruluşun izleme, ölçme ve bilgi güvenliği proseslerinin ve kontrollerinin analizi (Madde 6)
  • Programlar, prosesleri, prosedürler, kayıtlar, iç denetimler, BGYS etkinliğinin gözden geçirilmesi ve bunların üst yönetim kararlarına, bilgi güvenliği politikasına ve hedeflerine doğru izlenebilirliği

 

BGYS aşama 2 denetimlerinde denetim ekibi aşağıdakiler isteyecektir:

 

  • Bilgi güvenliği ile ilgili risk değerlendirmenin, BGYS kapsamındaki BGYS işletimiyle ilgili ve buna uygun olduğunu kuruluşun göstermesini

 

Kuruluşun bilgi güvenliği risklerinin tanımlanması, incelenmesi ve değerlendirilmesi için hazırladığı prosedürlerin ve uygulamalarının, kuruluşun politika ve hedefleriyle uyumlu olup olmadığını göstermesini.

 

ISO 50001 EnYS Aşama 2 tetkiki süresince tetkik ekibi, belgelendirme kararını vermeden önce enerji performans iyileştirmelerinin kanıtlandığını belirlemek amacıyla gerekli tetkik kanıtlarını toplar. Enerji performansı iyileştirmenin doğrulanması, ilk belgelendirmenin verilmesi için gereklidir.

 

5.3.1.4.  İlk Belgelendirme Tetkik Sonuçları

 

Tetkik ekibi, Aşama 1 ve Aşama 2 tetkikleri esnasında toplanan bütün bilgileri ve tetkik kanıtlarını, tetkik bulgularını gözden geçirmek ve tetkik sonuçları üzerinde uzlaşmak için kapanış toplantısı öncesinde analiz eder.

 

5.3.2. Gözetim Tetkikleri

 

5.3.2.1.  Genel

 

5.3.2.1.1. Gözetim faaliyetleri, yönetim sisteminin kapsamındaki alanların ve fonksiyonlarının en az yılda 1 kez tetkik edecek şekilde yapılır ve bu planlamada belgelendirilmiş müşteride ve yönetim sisteminde olan değişiklikler dikkate alınır.

 

Kuruluşun yönetim sisteminde veya organizasyonunda önemli değişiklikleri olması, (Yeniden yapılanma, yönetim sistemi ve proseslerdeki büyük değişiklikler, şirketlerin birleşmesi, Adres değişikliği vb.) gibi durumlarda gerektiğinde tam tetkik gerçekleştirilir.

 

5.3.2.1.2. Gözetim faaliyetleri, belgelendirilmiş müşterinin belgelendirme yapılmasında esas alınan standartla ilgili belirli şartları yerine getirmesini değerlendiren, saha tetkikleridir. Diğer gözetim faaliyetleri aşağıdakileri de içerebilir:

 

  • Belgelendirme hususlarında, belgelendirme kuruluşunun belgelendirilmiş kuruluşa yönelttiği sorular,
  • Belgelendirilmiş kuruluşun işlemlerinde belge ile ilgili ifadeler (örneğin, promosyon malzemeleri, internet sayfası),
  • Belgelendirilmiş müşteriden dokümante edilmiş bilgi verme istekleri (kağıt veya elektronik ortamda),
  • Belgelendirilmiş müşterinin performansının izlenmesi için diğer araçlar.

 

5.3.2.2.  Gözetim Tetkiki

 

Gözetim tetkikleri saha tetkikleridir ancak bütün sistemin tetkikini gerekli kılmamaktadır ve diğer gözetim tetkikleriyle birlikte, DV-CERT LLC’ın, yeniden belgelendirme tetkikleri arasında, belgelendirilmiş yönetim sisteminin şartlarının gerçekleştirmesine ilişkin güvenin sürdürülmesini sağlayacak şekilde 3 Yıllık Tetkik Programı referans alınarak planlanır. Gözetim tetkikleri en azından;

 

  • İç tetkikleri ve yönetimin gözden geçirmesini,
  • Bir önceki tetkik esnasında tanımlanan uygunsuzluklar hakkında yapılan faaliyetlerin gözden geçirilmesini,
  • Şikayetlerin ele alınmasını,
  • Belgelendirilmiş müşterinin amaçlarının gerçekleştirmesi ve ilgili yönetim sisteminin/sistemlerinin amaçları bakımından yönetim sisteminin etkinliğini,
  • Sürekli iyileştirmeyi amaçlayan planlanmış faaliyetlerin gelişimini,
  • Operasyonel kontrolün sürdürüldüğünü,
  • Dokümante edilmiş sistemdeki veya diğer değişikliklerin gözden geçirilmesini,
  • Markaya ve/veya belgelendirmeye yapılan diğer atıfları,
  • ISO 50001 EnYS tetkiklerinde sürekli enerji performans iyileştirmenin gösterilip gösterilmediğini belirlemek amacıyla gerekli tetkik kanıtlarını gözden geçirir
  • Bilgi güvenliği risk değerlendirme ve kontrolün sürdürülmesi, iç BGYS tetkikleri, yönetim gözden geçirmesi ve düzeltici eylemler gibi sistem devamlılığının unsurları,
  • BGYS standardı ISO/IEC 27001’in gerektirdiği şekilde dış taraflardan gelen iletişimler ve belgelendirme için gerekli olan diğer dokümanlar,
  • Belgelenmiş sistemdeki değişiklikler,
  • Değişime tabi alanlar,
  • Seçilmiş ISO/IEC 27001 gereklilikleri,
  • Uygun olduğunda seçilen diğer alanlar,
  • Müşterinin bilgi güvenliği politikası amaçlarına ulaşmayı göz önünde bulunduracak şekilde, BGYS’nin etkinliğini,
  • İlgili bilgi güvenliği mevzuatı ve düzenlemeleri açısında düzenli değerlendirme ve uyum gözden geçirmeleri için prosedürlerin işleyişini,
  • Belirlenmiş kontrollerde yapılan değişiklikleri ve sonucunda SoA’da oluşan değişiklikleri,
  • Tetkik programına göre kontrollerin uygulanmasını ve etkinliğini.

 

Gözetim tetkikleri, yeniden belgelendirme yılı hariç her takvim yılında bir kez yapılır. İlk belgelendirmeden sonra yapılacak ilk gözetim tetkiki, belgelendirme tarihinden itibaren 12 ayı geçmemelidir. Belirtilen süreler içerisinde tetkiklerin gerçekleşmemesi durumunda belge max 6 ay süre ile askıya alınır. Müşterinin uygunsuzluklar için yeterli aksiyon alabilmesi için prensip olarak gözetim tarihi dolmadan 60 gün önce gözetim tetkiki müşteriye bildirilir.

 

Müşterinin tetkiki kabul etmemesi, tetkik sırasında uygunsuzluk tespit edilip bu uygunsuzlukların zamanında kapatılamaması kaynaklı belgenin iptali veya askıya alınması durumlarında sorumluluk müşterinindir.

 

Ayrıca ISO 27001 Gözetim Tetkikinde; DV-CERT LLC, risklere bağlı bilgi güvenliği sorunları ve bunun müşteriye olan etkilerine göre gözetim programını uyarlayabilmeli ve doğrulamalıdır.

 

Gözetim tetkikleri başka yönetim sistemlerinin tetkikleriyle birlikte yapılabilir. Raporlama her yönetim sistemiyle ilgili hususları açıkça belirtmelidir.

 

Gözetim tetkikleri sırasında DV-CERT LLC, kendisine iletilmiş itiraz ve şikâyetlerin kayıtlarını ve eğer belgelendirme yeterlilikleriyle bir uyuşmazlık ya da yeterlilikleri karşılamayan bir durum ortaya çıkarsa, müşterinin kendi BGYS’sini ve yöntemlerini incelediğini ve uygun düzeltici eylemleri yaptığını kontrol etmelidir.

 

Gözetim raporu özellikle daha önceden belirlenmiş uyuşmazlıkların giderilmiş olduğu bilgisi ile SoA’nın güncel sürümünü ve önceki tetkikten sonra yapılmış önemli değişiklikleri içermelidir.

 

Gözetimden kaynaklanan raporlar asgari olarak yukarıda belirtilen Madde 5.6.2.2’de belirtilen gerekliliklerin tümünü kapsayacak şekilde oluşturulmalıdır.

 

5.3.3.     Yeniden Belgelendirme Tetkikleri

 

5.3.3.1.  Yeniden Belgelendirme Tetkikinin Planlaması

 

5.3.3.1.1. Yeniden belgelendirme tetkikinin amacı, yönetim sisteminin bir bütün halinde, sürekli uygunluğu ve etkinliği ile belgelendirmenin kapsamı için uyumluluğu ve uygulanabilirliğinin teyit edilmesidir. Yeniden belgelendirme tetkiki, ilgili yönetim sistemi standardı ve diğer zorunlu hüküm ifade eden dokümanın şartlarının tamamının sürekli olarak yerine getirildiğini değerlendirmek için planlanır ve gerçekleştirilir. Bu planlama ve gerçekleştirme, belgenin bitiş tarihinden önce yenilemenin gerçekleşmesi için belge bitiş tarihinden 60 gün önce yeniden belgelendirme tetkiki müşteriye bildirilir. Müşterinin onaylaması ile başvuru sürecine uygun olarak yeni talep açılır. Müşteri ile yeniden sözleşme imzlandıktan sonra yeniden belgelendirme tetkikleri gerçekleştirilir.

 

5.3.3.1.2. Yeniden belgelendirme faaliyeti, önceki gözetim tetkiki raporlarının gözden geçirilmesi ve yönetim sisteminin en yakın belgelendirme döngüsünde performansının değerlendirilmesini içerir.

 

5.3.3.1.3. Yeniden belgelendirme tetkik faaliyetlerinde, yönetim sisteminde, müşteride veya yönetim sisteminin çalıştığı kapsamda (mevzuattaki değişiklikler gibi) önemli bir değişiklik olduğunda, ayrı bir Aşama 1 tetkiki yapılabilir. Bu karar Belgelendirme Müdürü tarafından alınır.

 

 

Bu tip değişiklikler belgelendirme döngüsünde herhangi bir zamanda oluşabilir ve DV-CERT LLC’ın, iki aşamalı olan veya olmayan bir özel tetkik gerçekleştirmesi Belgelendirme Müdürü kararı ile yapılabilir.

 

5.3.3.2.  Yeniden belgelendirme tetkiki

 

5.3.3.2.1.             Yeniden belgelendirme tetkiki, aşağıdaki hususları ele alan, bir saha tetkikini kapsar:

 

  • İç ve dış kaynaklı değişiklikler ve bunun belgelendirme kapsamının süregelen ilgisi ve uygulanabilirliği ışığında bir bütün olarak yönetim sisteminin etkinliğini,
  • Bütünsel performansı arttırmak için yönetim sisteminin etkinliğini ve iyileştirilmesini sürdürmeye yönelik gösterilen taahhüdünü,
  • Belgelendirilmiş müşterinin amaçlarına ulaşma ve ilgili yönetim sistemi/ sistemlerinin amaçlanan sonuçları bakımından yönetim sisteminin etkinliğini.
  • ISO 50001 EnYS Yeniden belgelendirme tetkiki sırasında, belgelendirme kuruluşu belgelendirme kararını vermeden önce enerji performans iyileştirmesinin sürekli olup olmadığını kanıtlamak amacıyla gerekli tetkik kanıtlarını gözden geçirilir. Yeniden belgelendirme tetkikinde tesislerde, donanımda, sistemlerde ve proseslerde yapılan büyük değişiklikler dikkate alınır. Belgenin yenilenmesi için enerji performansı iyileştirmesinin devamlılığının doğrulanması gereklidir.
  • ISO 27001 BGYS Yeniden Belgelendirme tetkiki sırasında; Düzeltici eylemi uygulanması için verilecek süre, uygunsuzluğun önem derecesi ve ilişkili bilgi güvenliği riskiyle tutarlı olmalıdır.

 

5.3.3.2.2. Var olan belgelendirmenin süresi sona ermeden yeniden belgelendirme faaliyetleri başarı ile sonuçlandığında, yeniden belgelendirmenin geçerlilik süresi için var olan belgelendirmenin geçerlilik süresi esas alınır. Yeni belgenin düzenleme tarihi, yeniden belgelendirme karar tarihi veya sonraki bir tarih olabilir.

 

5.3.3.2.3. Belgenin geçerlilik süresinden önce, yeniden belgelendirme tetkiki tamamlanamazsa veya herhangi bir majör uygunsuzluk için düzeltme ve düzeltici faaliyetin yerine getirildiği doğrulanamazsa, yeniden belgelendirme önerilmez ve belgenin geçerliliği uzatılmaz. Müşteri bu konuda bilgilendirilir ve devamında yapılacaklar açıklanır.

 

5.3.3.2.4. Belgelendirmenin süresinin sonunda, göze çarpan yeniden belgelendirme faaliyetlerinin tamamlanması şartıyla belge 6 aylığına geri çekilir, aksi takdirde en azından bir Aşama 2 yapılır. Belge üzerindeki geçerli tarih yeniden belgelendirme tarihi veya daha sonrası olur ve geçerlilik süresinde önceki belgelendirme döngüsü esas alınır.

 

5.3.4.     Özel Tetkikler

 

ISO 27001 Özel tetkikleri uygulamak için gerekli olan faaliyetler, eğer belgelendirilmiş BGYS’si olan bir müşteri kendi sisteminde büyük değişiklikler yaparsa ya da belgelendirmesinin esasını etkileyecek diğer değişiklikler vuku bulursa özel hükme tabi olmalıdır.

 

 

büyük kazaların meydana gelmesi, yasal şartlara uyum ile ilgili ciddi sorunlardan DV-CERT LLC’ın haberdar olması gibi durumlarda özel tetkikler gerçekleştirilir.

 

ISO 45001 belgelendirmesinde Yetkili düzenleme otoritesinin katılımından bağımsız olarak, DV-CERT LLC’ın iş sağlığı ve güvenliği ile ilgili ciddi bir olay olduğu, örneğin ciddi bir kaza veya ciddi bir ihlal olduğu konusunda farkında olması durumunda, yönetim sisteminin tehlikeye atılmadığını ve etkin bir şekilde çalışıp çalışmadığını araştırmak için özel bir denetim gerekebilir. Bu süreçte müşteri belgesi askıya alınabilir.

 

5.3.4.1.  Kapsam Genişletme Tetkiki

 

DV-CERT LLC, hâlihazırda verilmiş olan belgelendirmenin kapsamına yönelik bir genişletme/ daraltma başvurusuna cevaben, başvurunun gözden geçirmesini yapar ve genişletmenin yapılıp yapılamayacağına karar vermek için gerekli tetkik faaliyetlerini belirler. Bu tetkik, bir gözetim tetkiki ile bağlantılı olarak yapılabilir.

 

Kapsam Değişikliği Tetkiki sonucunda; verilen karar doğrultusunda kapsam genişletme veya daraltmaya kararı verilir ise, eski belge müşteriden geri istenerek yeni belge hazırlanır.

 

Kapsam değişikliği adam gün sayısını etkiliyorsa yeniden sözleşme yapılır.

 

5.3.4.2.  Kısa Süreli Tetkikler

 

DV-CERT LLC, belgelendirilmiş müşterisini kısa süre içerisinde veya haber vermeden şikayetleri soruşturmak veya değişiklikleri ele almak ya da askıya alınan müşterileri takip etmek için tetkike tabi tutabilir. Bu durumlarda:

 

  • DV-CERT LLC, bu kısa süreli ziyaretleri hangi şartlar altında gerçekleştireceğini müşteri sözleşmelerinde belirtir,
  • DV-CERT LLC, tetkik ekibinin atanmasına, müşterinin ekip üyelerine itiraz fırsatı bulunmayacağı nedeniyle, azami önem gösterir.

 

5.3.4.2.1.             Şikayetler İçin

 

Aşama 1, Aşama 2, gözetim, belge yenileme ve takip tetkiki dışında yapılan tetkiktir. Müşteri tarafından belgenin veya logonun haksız kullanılması gibi DV-CERT LLC Sertifikasyonuna aykırı uygulamaların olması durumunda ve/veya müşteri ile ilgili şikayet gelmesi halinde ihtiyaç olabilecek ve zaman kaybetmeden kısa süre içerisinde gerçekleştirilmesi gereken tetkik türüdür.

 

DV-CERT LLC’ın yukarıda belirtilen durumlarda kısa süreli tetkik yapma hakkı vardır. Bu hak müşteri ile yapılan sözleşme ile kayıt altına alınmıştır. Kısa süreli tetkikin yapılmasına Belgelendirme Müdürü karar verir.

 

 

 

Tetkikin kapsam ve kriterleri Belgelendirme Müdürü ve atanan baş tetkikçi tarafından gözden geçirilerek belirlenir. Bu durum şartlara bağlı olarak tam, kısmi veya sadece bir proses / bölüm olabilir.

 

Belgelendirme Müdürü tarafından tetkik heyeti belirlenir. Tetkikin kısa süre içerisinde gerçekleşmesi gerektiği için tetkik heyeti firmanın heyete itiraz etmeyeceği şekilde oluşturulur. Tetkik heyetinden en az birisi (özellikle tasarım, proses, kalite kontrol gibi bölümlerin denetlenmesinde) uygun EA ve NACE koduna göre atanmış olmalıdır.

 

Şikayet tetkiklerinde tetkike sebep olan konu denetlenir ( şikayetin sebebi olan konu, proses, ürün vb.). Şikayet tetkikleri 1 adam/gün olarak planlanır ancak şikayetin niteliğine göre bu süre uzatılabilir. Tetkikin gerçekleştirilmesi ve raporlanmasında DV-CERT LLC’ın normal prosedürleri ve formatları uygulanır.

 

ISO 27001 Tetkiki için Şikayetler, potansiyel ihlal olayı ve muhtemel uyumsuzluğun bir göstergesidir.

 

5.3.4.2.2.             Adres Değişikliği İçin

 

Müşterinin sahip olduğu belgeye ait tesis adresinde bir değişiklik söz konusu olduğunda gerçekleştirilen tetkiktir. Müşteri adres değişikliğinin gerektirdiği dokümantasyon değişikliklerini, DV-CERT LLC’ya ibraz etmek zorundadır. Adres değişikliğinin faaliyet alanını etkilemesi durumunda tam tetkik gerçekleştirilir ve gerektiğinde eski belge iptal edilerek yeni belge düzenlenir.

 

Adres değişikliği adam gün sayısını etkiliyorsa yeniden sözleşme yapılır.

 

Tetkikin kapsam ve kriterleri Belgelendirme Müdürü ve atanan baş tetkikçi tarafından gözden geçirilerek belirlenir. Bu durum şartlara bağlı olarak tam, kısmi veya sadece bir proses / bölüm olabilir.

 

Belgelendirme Müdürü tarafından tetkik heyeti belirlenir. Tetkikin kısa süre içerisinde gerçekleşmesi gerektiği için tetkik heyeti firmanın heyete itiraz etmeyeceği şekilde oluşturulur. Tetkik heyetinden en az birisi (özellikle tasarım, proses, kalite kontrol gibi bölümlerin denetlenmesinde) uygun EA ve NACE koduna göre atanmış olmalıdır.

 

5.3.4.3.  Ön Tetkikler

 

Kuruluşların talepleri dikkate alınarak planlama yapılır. Ön tetkikler, belgelendirme tetkikinden bağımsızdır ve belgelendirme tetkik gün sayısını hiçbir şekilde etkilemez.

 

 

Ön tetkiklerin süresi, kuruluşun büyüklüğü ne olursa olsun 1 (bir) gün ile sınırlıdır.

 

 

Ön tetkiklerde, aşağıda verilen konular özellikle dikkate alınmalıdır:

 

 

  • Yönetimin gözden geçirmesi,
  • İç tetkikler,
  • Düzelticİ faaliyetler,
  • Yönetim sistemi dokümantasyonu,
  • Sürekli iyileştirmeye yönelik uygulamalar.
  • BGYS tetkikleri için; Risk değerlendirme metodolijisinin tanımı, risk değerlendirme raporu, risk işleme planı ihtiyaç duyulan prosedür ve kontrollerin etkinliğinin nasıl ölçüleceğini tanımlama, bu standart tarafından gerek duyulan kayıtlar, uygulanabilirlik bildirgesini içermeli,

 

5.4.         Tetkiklerin Gerçekleştirilmesi Sırasındaki Proses

 

5.4.1. Genel

 

DV-CERT LLC Tetkik Prosesi Açılış Toplantısı ile başlar ve Kapanış Toplantısı ile biter.

 

5.4.2. Açılış Toplantısının Gerçekleştirilmesi

 

Katılımcıların Açılış Kapanış Toplantı Tutanağı ile kaydedildiği ve uygun olduğu durumlarda, tetkik edilecek prosesler ve fonksiyonlardan sorumlu olan kişiler, müşterinin yönetim otoritesinin de bulunduğu resmi bir açılış toplantısı yapılır. Açılış toplantısı Baş Tetkikçi tarafından yürütülür, gerçekleştirilecek tetkik faaliyetlerinin nasıl yapılacağı hakkında kısa bir açıklama yapılır ve aşağıdaki unsurları içerir. Detay derecesi, müşterinin tetkik prosesine aşinalığı ile tutarlı olarak gerçekleştirilir:

 

  • DV-CERT LLC Tanıtımı & Tetkik Ekibi Tanıtma & Katılımcıların kendilerini tanıtması
  • Belgelendirme kapsamının ve çalışan sayısının teyit edilmesi
  • Tetkik standardı, varsa hariç tutmalar ve kriterlerinin teyit edilmesi
  • Tetkik planının teyit edilmesi, rehber/ler istenmesi ve rollerinin açıklanması, çalışma ortamı ve gerekli olabilecek kaynakların teyidi (internet, tlf..), Tetkik ekibi ile ilgili iş güvenliği, acil durum ve güvenlik prosedürlerinin teyit edilmesi
  • Tetkik sırasında kullanılacak olan dilin onaylanması, Gizlilik ile ilgili konuların onaylanması,
  • Önceki tetkik bulguları varsa kapatılıp kapatılmadığının sorulması ve bunun toplantı sonrası doğrulanacağının bildirilmesi,
  • Tetkikin yürütülmesi ve kontrolü hakkında bilgi verilmesi (saha gezisi, soru listesi kullanımı, örneklemeye dayalı tetkik,). Tetkik bulgularının sınıflandırılması, raporlama, komiteye sunma, Tetkik sonucundaki tavsiyenin ne anlama geldiğinin belirtilmesi
  • Tetkikin zamanından önce sona erdirilmesini gerektirecek şartlar hakkında bilgi verilmesi (güvenlik ihlali, ekibin tetkiki yürütememesi, olağanüstü haller…)
  • Müşterinin Tetkikin ilerlemesi ve herhangi bir endişe verici durum hakkında haberdar edileceğinin teyidi
  • Müşteriye soru sorması için fırsat verilmesi

 

 

 

5.4.3. Tetkik Esnasında İletişim

 

5.4.3.1. Tetkik sırasında, tetkik ekibi, periyodik olarak tetkikin ilerlemesini ve bilgi alış verişini ara toplantılar ile değerlendirir. Tetkik ekibinin lideri, periyodik olarak tetkikin ilerlemesi ve müşterinin herhangi bir endişesi durumunda iletişim kurarak tetkik ekibi üyelerinin arasındaki ihtiyaç duyulan iş durumunu yeniden düzenler.

 

5.4.3.2. Ulaşılamayan tetkik hedefleri ya da acil ve önemli bir risk (örneğin güvenlik), ISO 45001 denetimleri için yasal şartlara uyulmayan durumların varlığını gösteren mevcut tetkik kanıtlarının ortaya çıkması durumunda, tetkik ekip lideri uygun eylemi belirleyerek müşteriye ve mümkünse, DV-CERT LLC’a rapor eder. Bu tür eylem, tetkik hedeflerinin ya da tetkik kapsamının değiştirilmesi ya da feshedilmesi, tetkik planının değiştirilmesi veya yeniden teyit edilmesini içerebilir. Tetkik ekibi lideri, alınan eylem sonucunu DV-CERT LLC’a rapor eder.

 

5.4.3.3. Tetkik ekibi lideri, sahada yapılan tetkik faaliyetlerinin ilerlemesinde ortaya çıkan tetkik kapsamına yönelik herhangi bir değişikliği müşteri ile gözden geçirir ve bunu DV-CERT LLC’a rapor eder.

 

5.4.4. Bilginin Elde Edilmesi ve Doğrulanması

 

5.4.4.1. Tetkik sırasında, tetkik hedefleri, kapsamı ve kriterleri ile ilgili bilgiler (fonksiyonlar, faaliyetler ve prosesler arasındaki arabirimler ile ilgili bilgiler dahil) uygun örnekleme ile elde edilir ve tetkik kanıtı olması için doğrulanır.

 

5.4.4.2.  Bilgi toplama yöntemi aşağıdakileri içermelidir ancak bunlarla sınırlı değildir:

 

  • Görüşmeler,
  • Proses ve faaliyetlerin gözlemleri,
  • Dokümantasyon ve kayıtların gözden geçirilmesi.

 

ISO 45001 denetimlerinde tetkik ekibi aşağıdakilerle görüşür;

 

  • İş Sağlığı ve Güvenliği ile ilgili yasal sorumluluğu olan yönetimi,
  • İş Sağlığı ve Güvenliği ile ilgili sorumluluk taşıyan çalışanların temsilcileri,
  • Çalışanların sağlığını izlemekten sorumlu personel, örneğin doktorlar ve hemşireler. Uzaktan yapılan görüşmelerde gerekçeler kaydedilmeli,
  • Yöneticiler ve daimi ve geçici çalışanlar. Görüşme için göz önünde bulundurulması gereken diğer personel:
  • İş Sağlığı ve Güvenliği risklerinin önlenmesi ile ilgili faaliyetlerde bulunan yönetici ve çalışanlar ve
  • Yüklenicilerin yönetimi ve çalışanları.

5.4.5. Tetkik Bulgularının Belirlenmesi ve Kaydedilmesi

 

5.4.5.1. Uygunluğu özetleyen ve uygunsuzluğu detaylandıran ve tetkik kanıtını destekleyen tetkik bulguları, bilinçli bir belgelendirme kararı alabilmek ya da sürdürülebilir belgelendirmeyi sağlayabilmek için Tetkik Soru Listesi (ve Tetkik Raporu ile kaydedilir ve raporlanır.

 

5.4.5.2. İyileştirme fırsatları bir yönetim sistemi belgelendirme düzeni şartları tarafından yasaklanmadığı sürece bulgular gözlem olarak kaydedilir. Uygunsuzluk şeklinde tespit edilen tetkik bulguları, iyileştirme için fırsat olarak kaydedilmez.

 

5.4.5.3. Uygunsuzluğun açık bir ifadesini içeren ve ayrıntılı olarak objektif delillere dayanan bir uygunsuzluk tespit edildiğinde ve tetkik kriterlerinin belirli bir şartını karşılayan uygunsuzluk bulgusu Uygunsuzluk Formu (ile kayıt altına alınır. Uygunsuzluklar, uygunsuzlukların anlaşılmasını, kanıtın kesin ve doğru olmasını temin etmek için müşteri ile tartışılır. Ancak tetkikçi, uygunsuzlukların nedenini veya bunların çözümünü önermekten kaçınır.

 

5.4.5.4. Tetkik ekibi lideri, tetkik kanıtı veya bulguları ile ilgili müşteri ve tetkik ekibi arasında farklılaşan görüşleri çözme girişiminde bulunur ve çözümlenmemiş hususları Tetkik Raporu ile kayıt altına alır.

 

5.4.5.5. ISO 50001 EnYS Tetkiki yapılırken, tetkikçi enerji performansıyla ilgili tetkik kanıtlarını toplar ve doğrular. Bu tetkik kanıtları en azından aşağıdakileri içerir. Bu maddeler tüm tetkiklerde denetlenir:

 

  • Enerji planlaması (bütün bölümler),(ISO 50001:2018 Madde 6 & Ek-A.6)
  • İşletimle ilgili kontroller, (ISO 50001:2018 Madde 8.1-2)
  • İzleme ölçümleri ve analiz. (ISO 50001:2018 Madde 6.4, 6.6, 9.1, 9.3.2-3, Ek-A.6.6, Ek-A.9.1)

 

5.4.6. Tetkik Sonuçlarının Hazırlanması

 

Tetkik ekibi liderinin sorumluluğu altında, kapanış toplantısı öncesinde, tetkik ekibi:

 

  • Tetkik hedefleri ve kriterlerine karşı, tetkik sırasında toplanan tetkik bulgularını ve diğer uygun bilgileri gözden geçirir ve uygunsuzlukları belirler,
  • Tetkik prosesinin doğasında var olan belirsizliği göz önüne alarak, tetkik sonuçları üzerinde mutabık kalır,
  • Gerekli her türlü takip faaliyetlerinde anlaşır,
  • Tetkik programının uygunluğunu onaylar veya gelecekteki tetkiklerle ilgili istenen herhangi bir değişikliği (örneğin, belgelendirmenin kapsamı, tetkik süresi veya tarihi, gözetim sıklığı, tetkik ekibinin yeterliliği) tanımlar.

 

5.4.7. Kapanış Toplantısının Yapılması

 

5.4.7.1. Katılımcıların Açılış Kapanış Toplantı Tutanağı ile kaydedildiği ve uygun olduğu durumlarda, tetkik edilen prosesler veya fonksiyonlardan sorumlu olan kişiler müşterinin yönetim otoritesinin de olduğu resmi bir kapanış toplantısı yapılır. Normal olarak tetkik ekip lideri tarafından yürütülen kapanış toplantısının amacı, belgelendirme ile ilgili tavsiyeleri içeren tetkik sonuçlarının sunulmasıdır. Her bir uygunsuzluk anlaşılır bir şekilde sunulur ve bunlara yanıt vermeleri için müşteriye süre verilir. ISO 45001 denetimlerinde kapanış toplantısına geçerli bir mazeretleri olmadığı sürece işveren ya da vekili, çalışan temsilcisi, çalışan sağlığının izlenmesinden sorumlu kişiler katılmak zorundadır. Zorunluluk Tetkik Planı ile müşterilere tetkik öncesi bildirilir. Toplantıya işveren ya da vekili, çalışan temsilcisi, çalışan sağlığının izlenmesinden sorumlu kişilerin katılmaması durumunda gerekçe Baş Tetkikçi tarafından Açılış Kapanış Toplantısı ile kayıt altına alınır.

 

Not – “Anlaşılır” ifadesi uygunsuzluğun müşteri tarafından kabul edildiği anlamına gelmez.

 

5.4.7.2. Kapanış toplantısı aşağıdaki unsurları da içerir. Detay derecesi, tetkik prosesi ve müşterinin farkındalığı ile uyumlu olarak yapılır:

 

  • Müşteriye, elde edilen kanıtın örnekleme bilgisine dayanarak elde edildiğinin ifade edilmesi ve böylelikle belirsizliğin ifadesi,
  • Tetkik bulgularının herhangi bir sınıflandırması da dahil, raporlama yöntemi ve süresi,
  • Müşterinin belgelendirilme durumu ile ilgili herhangi bir sonuç da dahil, belgelendirme kuruluşunun uygunsuzlukları ele alma prosesi,
  • Tetkik sırasında tespit edilen herhangi bir uygunsuzluğu düzeltme ve düzeltici faaliyeti yapmak için bir plan hazırlaması için müşteriye verilen süre,
  • Belgelendirme kuruluşunun tetkik sonrası faaliyetleri,
  • Şikayetlerin ele alınması ve itiraz prosesleri hakkında bilgiler.

 

5.4.7.3. Müşteriye soru sorma fırsatı verilir. Tetkik ekibi ve müşteri arasında tetkik bulguları veya sonuçları ile ilgili farklı görüşler tartışılır ve mümkünse bir karara bağlanır. Çözümlenmeyen farklı görüşler Tetkik Raporu ile kayıt altına alınır ve DV-CERT LLC’a bildirilir.

 

5.4.8. Tetkik Raporu

 

5.4.8.1. Baş Tetkikçi tetkik için DV-CERT hazırladığı Tetkik Raporu’nu tetkik kayıtları tamamlandıktan sonra Belgelendirme Müdürüne sunar. Tetkik ekibi raporda iyileştirme fırsatlarını tanımlayabilir, ancak belirli çözümleri tavsiye etmez. Tetkik raporunun mülkiyeti belgelendirme kuruluşuna aittir ve bu nedenle orijinal nüshası DV-CERT LLC tarafından saklanır ve kopyası müşteriye yollanır.

 

5.4.8.2. Tetkik ekibi lideri, hazırlanmış olan tetkik raporundan ve içeriğinden sorumlu olduğunu onaylayarak garanti eder. Tetkik raporu ve ilgili standarda yönelik doldurulmuş soru listeleri, bildirilecek belgelendirme kararına imkan verebilecek tetkikin doğru, özlü ve net olmasını sağlar ve aşağıdakileri içerir veya atıf yapar:

 

  • Belgelendirme kuruluşunun tanımı,
  • Müşteri ve müşteri yönetim temsilcisinin adı ve adresi,
  • Tetkikin tipi (örneğin başlangıç, gözetim veya yeniden belgelendirme tetkiki ya da özel tetkikler),
  • Tetkik kriterleri,
  • Tetkikin amaçları,
  • Tetkikin kapsamı, özellikle tetkik edilen kuruluşun organizasyon yapısı veya fonksiyonel birimlerin ya da proseslerin tanımlanması ve tetkikin süresi,
  • Tetkik planından herhangi bir sapma ve nedenleri,
  • Tetkik programını etkileyen önemli durumlar,
  • Tetkik ekibi lideri, tetkik ekibi üyeleri ve beraberindeki kişilerin tanıtımı,
  • Tetkik faaliyetlerinin yapıldığı (saha veya saha dışı, kalıcı ve geçici mekanlar) yerler ve tarihleri,
  • Tetkik tipinin şartları ile tutarlı, kanıt ve sonuçlara referans veren tetkik bulguları,
  • Varsa, en son tetkikten beri meydana gelen müşterinin yönetim sistemini etkileyen önemli değişiklikler,
  • Tanımlanmışsa, çözümlenmemiş hususlar,
  • Tetkikin uygun olduğu takdirde, birleşik, ortak veya entegre olması,
  • Tetkikin mevcut bilgilerin örneklemesi prosesi esas alınarak gerçekleştiğine dair ifade,
  • Tetkik ekibinin tavsiyesi,
  • Tetkik edilen müşterinin uygun şekilde, belgelendirme dokümanları ve markalarının kullanımının kontrolü,
  • Daha önceden belirlenen uygunsuzluklarla ilgili uygulanabilir düzeltici faaliyetlerin etkinliğinin doğrulanması.
  • Denetlenen EnYS’nin kapsamı ve sınırları,
  • EnYS’nin sürekli iyileştirilmesinin başarıldığına yönelik ifade ve bu ifadeleri destekleyen tetkik kanıtları ile birlikte enerji performansının iyileştirilmesi.
  • Doküman gözden geçirmenin özetini de içeren, tetkikin bir açıklaması (ISO 27001)
  • Müşteri bilgi güvenliği risk analizinin belgelendirme tetkikine dair bir açıklama (ISO 27001)

 

5.4.8.3. Rapor aşağıdakileri de kapsar:

 

  • Aşağıdakilerle ilgili kanıtların bir özeti ile birlikte, yönetim sisteminin uygunluğu ve etkinliği ile ilgili ifade:
    • Yönetim sisteminin uygulanabilir şartlar ve beklenen çıktıları karşılama yeteneği,
    • İç tetkik ve yönetimin gözden geçirmesi prosesi,
  • Belgelendirme kapsamının uygunluğu ile ilgili bir sonuç,
  • Tetkik amaçlarının karşılandığının teyidi.
  • İzlenen önemli tetkik adımları ve kullanılan yöntemler (ISO 27001).
  • Yapılan olumlu (ör. kayda değer özellikler) olumsuz (ör. ve potansiyel uygunsuzluklar) gözlemler (ISO 27001).
  • Müşterinin BGYS’nin uygunluğu hakkındaki yorumlar ile uygunsuzlukların net açıklamaları
  • (ISO 27001).
  • Uygulanabilirlik Bildirgesi sürümüne yapılan atıf ve uygulanabilir ise, müşterinin daha önceki belgelendirme tetkiklerinin sonuçları ile işe yarayabilecek karşılaştırmalar (ISO 27001).
  • Tamamlanmış anketler, kontrol listeleri, gözlemler, kayıtlar ya da tetkikçi notları tetkik raporunun ayrılmaz bir parçasını oluşturabilir. Bu yöntemler kullanılmışsa, bu dokümanlar belgelendirme kuruluşuna belgelendirme kararını destekleyici kanıt olarak tetkikçi tarafından sunulmalıdır. Tetkik sırasında değerlendirilmiş olan örneklemlerin bilgileri tetkik raporunda ya da bir başka belgelendirme dokümanında bulunmalıdır (ISO 27001).
  • Rapor, BGYS’de güvenilirlik sağlanması için müşterinin benimsediği iç düzen ve prosedürlerin yeterliliğini göz önünde bulundurmalıdır (ISO 27001).
  • BGYS gereklilikleri ve BG kontrollerinin uygulanması ve etkinliğine ilişkin olumlu ya da olumsuz, en önemli gözlemlerin bir özeti (ISO 27001).

 

5.5.         Belgelendirme Kararı

 

5.5.1. Genel

 

5.5.1.1. Belgeyi verme veya reddetme, belgelendirme kapsamının genişletilmesi veya daraltılması, belgenin askıya alınması veya geri çekilmesi, belgelendirmenin iptali veya yenilenmesi kararlarını veren kişiler veya komiteler tetkikleri gerçekleştirenlerden farklı olur. Belgelendirme kararı vermek üzere atanan kişi/ kişiler Personel Eğitim, Yetkinlik ve Performans Değerlendirme Prosedürüne göre uygun yeterliliğe sahip kişilerdir. Belgeyi verme, reddetme, sürdürme, yenileme, askıya alma, geri çekme veya iptal etme, belgelendirme kapsamını genişletme veya kapsamını daraltma kararlarını veren kişilerin yetkinlik kriterleri her bir standart bazında hazırlanmış olan Personel Yetkinlik Tablolarında verilmiştir. Müşterinin kendi isteği ile belgeyi iptal etmesi, ödememe yapmaması veya tetkiki kabul etmemesi durumunda belgenin askıya alınması / iptal kararı doğrudan belgelendirme Müdürü tarafından verilir. Karar verme süreci DV-CERT LLC dışında hiçbir üçüncü tarafa taşere edilmez. Belgelendirme kararı Personel Eğitim, Yetkinlik ve Performans Değerlendirme Prosedürüne göre yetkin olduğu durumlarda Belgelendirme Müdürü yetkin olmadığı durumlarda ise Belgelendirme Müdürü ile birlikte atanacak yetkin personel tarafından verilir.

 

Karar Vericiler Baş Tetkikçinin tetkik Raporundaki önerisini kabul etmez ise bunun gerekçeleri karar vericiler tarafından Belgelendirme Karar Formuna kaydedilir ve uyuşmazlık İtiraz ve Şikayet Komitesi tarafından çözülür.

 

Belgelendirme Müdürü’nün tetkik ekibi içerisinde yer alması durumunda DV-CERT LLC’ı temsilen tam zamanlı bir denetçi Belgelendirme Müdürü yerine vekalet eder.

 

Şirket ortakları hiçbir zaman karar verme sürecinde yer almazlar.

 

Belgelendirme kararını verecek olan kişiler ya da komitelerin, normal durumlarda tetkik ekibinin olumsuz önerisini bozmaması tavsiye edilir. Böyle bir durum meydana gelirse, DV-CERT LLC önerinin bozulmasının nedenini belgelendirerek desteklemelidir.

 

Yönetimin gözden geçirmeleri ve iç tetkikleri için gerekli düzenlemelerin uygulandığı, etkin olduğu ve sürdürüleceğini ispatlayacak kanıtlar olmadan belgelendirme kararı verilmez.

 

5.5.1.2. Belgelendirme kararı vermek üzere atanan kişi/kişiler belgelendirme kuruluşu veya belgelendirme kuruluşunun organiz asyonel kontrolü altında olan bir kuruluşta çalışan y a da bunlarla kanuni bağlayıcı düzenleme ile bağlı olmaz. DV-CERT LLC kurumsal kontrolü aşağıdakilerden biridir:

 

  • DV-CERT LLC’ın, diğer bir kuruluşun tamamı veya çoğunluğuna sahipliği,
  • DV-CERT LLC’ın, diğer bir kuruluşun yönetim kurulunda çoğunlukla temsili,
  • Yasal kuruluşlar ağı içerisinde (DV-CERT LLC’ın yer aldığı), sahiplik veya yönetim kurulu kontrolü ile bağlantılı olarak, belgelendirme kuruluşunun diğer bir kuruluş üzerinde dokümante edilmiş otoritesi.

 

5.5.1.3. Kurumsal kontrol altındaki kuruluşta çalışan veya sözleşmeli personel, prosedürün bu bölümünde yer alan, belgelendirme kuruluşunda çalışan veya sözleşmeli personel için aynı şartları karşılamalıdır.

 

 

5.5.1.4. Belgelendirme ekibi ve diğer kaynaklardan gelen ilave bilgi veya açıklamalar dahil, her bir belgelendirme kararı Belgelendirme Karar Formu ile kaydedilir.

 

5.5.2. Karar Vermeden Önce Yapılacak İşler

 

DV-CERT LLC, belgenin verilmesi, belgelendirme kapsamının genişletilmesi veya daraltılması, belgenin yenilenmesi, askıya alınması, geri çekilmesi, iptal edilmesi kararlarından birini vermeden önce etkin bir gözden geçirmeyi yapar

 

DV-CERT LLC, belgelendirme kararını, tetkik bulgularının ve sonuçlarının ve ilgili diğer bilgilerin (genel bilgi, müşteriden alınan tetkik raporuna yönelik yorumlar vb.) değerlendirilmesi esasına göre verir.

 

ISO 45001 müşterileri için müşteri sahasında ciddi bir kazanın meydana gelmesi, yetkili otoriteler tarafından ciddi bir ihmalin tespit edilmesi veya sistemin İSG sertifikasyon gerekliliklerini yerine getirme konusunda ciddi bir şekilde başarısız olduğunun kanıtlanması durumlarında Müşteri DV-CERT LLC’ı bilgilendirir. Bu tarz durumlar karar vermek için karar vericilere girdi sağlar.

 

Karar vericiler müşterinin mevcut ve geçmiş denetimlerine ait tüm kayıtlarına erişim iznine sahiptirler. Karar vericiler

 

  • Tetkik ekibi tarafından sağlanan bilgi, belgelendirme şartları ve belgelendirme kapsamına göre yeterli olup olmadığını kontrol ederler.
  • Her hangi bir majör uygunsuzluk için düzeltme ve düzeltici faaliyetin gözden geçirilmesi, kabul edilmesi ve doğrulanmasına ait kanıtları kontrol ederler,
  • Her hangi bir minör uygunsuzluk için düzeltme ve düzeltici faaliyet planı gözden geçirilmesi ve kabul edilmesine ait kanıtları kontrol ederler.

 

Uygunsuzlukların Sebeplerinin Analizi: Müşteriler Tetkik sırasında tespit edilen Minör ve Majör uygunsuzluklar için uygunsuzlukların sebep analizini yaparak aşağıda belirtilen tablolara uygun olarak Düzeltici Faaliyet (DF) Planını DV-CERT LLC’a sunmalıdır. DF Planı Baş Tetkikçi tarafından onaylanır.

 

 

Düzeltme ve düzeltici faaliyetlerin etkinliği : Müşteri uygunsuzluklar ile ilgili yapmış olduğu faaliyetleri gösteren kapamaları (objektif kanıtları) aşağıda belirtilen tablolara uygun olarak DV-CERT LLC’a onaylatmalıdır. Uygunsuzluk kapatma onayları Baş Tetkikçi tarafından verilir.

 

İlk Belgelendirme, Transfer, Yeniden Belgelendirme ve Özel Tetkiklerde;

 

Tetkikin Son Gününden İtibaren
15. Gün 90. Gün (EK Süre) 180. Gün
Majör DF Planı

Onaylanmalı

DF Kapatılmalı (Obj. Delil

veya Takip Tetkiki)

DF Kapatılmalı (Obj. Delil

veya Takip Tetkiki)

Varsa mevcut Belge Askıya balınır,

Aşama 2/YB tetkiki tekrar yapılır

Minör DF Planı DF Kapatılmalı DF DF Kapatılmalı DF

Kapatılmalı (Obj. Delil)

Varsa mevcut Belge Askıya balınır,

Aşama 2/YB tetkiki tekrar yapılır

Onaylanmalı Kapatılmalı (Obj. Delil)

 

Gözetim Tetkiklerinde;

 

Müşterinin tetkik planını onaylamayarak tetkiki kabul etmemesi veya kendi isteği ile belgelendirmeye son vermesi durumunda müşteri  Belgelendirme Müdürü tarafından bilgilendirilir ve sertifikanın iadesi istenir.

 

15. Gün 90. Gün (EK Süre) 180. Gün Sonraki Tetkik
Majör DF Planı

Onaylanmalı

DF Kapatılmalı (Obj. Delil

veya Takip Tetkiki)

DF Kapatılmalı (Obj. Delil

veya Takip Tetkiki)

Majör kapnana dek mevcut belge askıya

alınır. 180. Gün sonunda Belge İptal edilir

Minör DF Planı

Onaylanmalı

DF Kapatılmalı (Bir sonraki Tetkikte) Majöre
Döner
5.5.3. İlk Belgelendirme Kararı
5.5.3.1. Belgelendirme  kararı  için  tetkik  ekibi  tarafından  belgelendirme  kuruluşuna  en  az
aşağıdaki bilgiler sağlanmalıdır:

 

  • Tetkik raporu ve ilgili standarda yönelik doldurulmuş soru listeleri,
  • Uygunsuzluklar ve uygun olduğu takdirde tetkik edilen kuruluş tarafından yapılan düzeltme ve düzeltici faaliyetler hakkındaki yorumlar,
  • Başvurunun gözden geçirilmesinde kullanılmak üzere belgelendirme kuruluşuna sağlanan bilginin teyidi,
  • Tetkik amaçlarına ulaşıldığının teyidi,
  • Herhangi bir şart veya gözlemle birlikte, belgelenin verilip verilmemesine ilişkin tavsiye.

 

Ayrıca ISO 27001 Belgelendirmesinde; tetkik ekibi tarafından sağlanan belgelendirme tetkiki raporundaki belgelendirme tavsiyesini temel alınmalıdır.

 

Transfer başvurularında, belgelendirme kararı almak için bu prosedürde yer alan yeterli bilginin elde edilmesi zorunludur.

 

 

5.5.4. Belgenin Devamı Kararı

 

DV-CERT LLC, müşterinin yönetim sistemi standardının şartlarını sağlamayı sürdürdüğünü göstermesini esas alarak belgenin devamına karar verir. Herhangi bir majör uygunsuzluk veya belgenin askıya alınması veya geri çekilmesine sebep olabilecek bir durum olmaması şartıyla, ilave bağımsız gözden geçirme ve karar olmadan, tetkik ekibi liderinin olumlu sonucunu esas alarak müşterinin belgesinin devamına karar verilebilir. Baş tetkikçi yine de raporun bağımız gözden geçirilmesini isterse bu durumu tetkik raporunda belirtmelidir.

 

Herhangi bir majör uygunsuzluk veya belgenin askıya alınması veya geri çekilmesine sebep olabilecek bir durum yok ise tetkik ekibi lideri olumlu görüşü ile belgenin devam kararı verilebilir. Bu durumda tetkik raporu Belgelendirme Müdürü tarafından gözden geçirilir.

 

 

5.5.5. Yeniden Belgelendirme Kararı

 

DV-CERT LLC, belgeyi yenileme hakkındaki kararlarını, yeniden belgelendirme tetkiki sonuçlarına, belgelendirme periyodu boyunca sistemin gözden geçirilmesine ve belge kullanıcılarından alınan şikayetlere dayanarak verir.

 

5.5.6. Belgenin Askıya Alınması, Geri Çekilmesi veya Kapsamının Daraltılması Kararı

 

5.5.6.1. Belgelendirmeyi askıya alma, geri çekme veya kapsamı daraltma için yapılacak işlemler müşteri sözleşmelerinde belirtilir.

 

5.5.6.2.  DV-CERT LLC, aşağıdaki durumlarda belgeyi askıya alır:

 

  • Müşterinin belgelendirilmiş yönetim sisteminin, bu sistemin etkili olmasına yönelik şartları dâhil olmak üzere, belgelendirme şartlarını karşılamada devamlı ve ciddi şekilde başarısız olması,
  • Belgelendirilmiş müşterinin gözetim veya yeniden belgelendirme tetkiklerinin gerekli sıklıkta yapılmasına izin vermemesi,
  • Belgelendirilmiş müşterinin, gönüllü olarak askıya alma talebinde bulunması.

 

5.5.6.3. Askıya alınma durumunda, müşterinin yönetim sistemi belgesi geçici olarak (max 6 ay) askıya alınır. Bu sürelerde belge geçersizdir ve bu durumda yapılacak işlemler müşteri sözleşmelerinde belirtilir. Askıya alınan belgelendirme durumu web sitesi aracılığı ile kamuoyu erişimine sunulur ve uygun olan diğer bütün tedbirler alınır.

 

5.5.6.4. Müşterinin verilen süre içerisinde sorunların çözümlenmesinde göstereceği başarısızlık, belgelendirmenin geri çekilmesi veya daraltılmasıyla sonuçlanır.

 

 

 

Askıya alma süresi 6 ayı geçmez.

 

5.5.6.5. Müşteri belgelendirme kapsamının bir kısmı  için  belgelendirme  şartlarını  karşılamada devamlı veya ciddi başarısızlık gösterdiğinde, DV-CERT LLC, müşterinin  belgelendirme  kapsamının  şartlarını karşılamayan kısmı dışarıda tutacak şekilde daraltır. Bu tip bir daraltma, belgelendirme için kullanılan standardın şartlarıyla uyumlu olur.

 

5.5.6.6. Geri çekme ile ilgili şartlar müşteri sözleşmelerinde belirtilir.

 

Aşağıdaki şartlarda belge geri çekilir;

 

  • Askı halinin kaldırılması için gerçekleştirilen faaliyetlerde (tetkik, doküman inceleme vb)
  • Firmanın uygunsuzluklarını öngörülen sürelerde kapatmaması,
  • DV-CERT LLC tarafından teklifte bildirilen ödemelerin gerçekleştirilmemesi
  • Müşterinin iflası veya belge kapsamındaki faaliyete son vermesi
  • Belgenin belirlenen şartlar dışında kullanımı
  • Müşterinin isteği sonucu
  • Müşteri Yönetim Sistem Belgesini, kapsamında belirtilen ürün veya hizmetten farklı alanlarda kullanması
  • Müşterinin tetkik sırasında eksik ve yanıltıcı bilgi vermesi
  • Belgenin geçerlilik süresi içinde yapılan tetkiklerde müşterinin sisteminin ilgili standarda uygunluğunu yitirdiğinin tespit edilmesi
  • Müşterinin belgede belirtilen tesis adresinde bulunmaması
  • Müşterinin belge ve ekleri üzerinde tahribat yapması
  • Müşterinin tüzel kişiliğinin değişmesi

 

5.6.         Sertifika Düzenleme

 

İlk belgelendirme, gözetim, yeniden belgelendirme, kapsam, adres değişikliği sebebiyle yapılan tetkikler sonrasında, belgelendirmeye ilişkin olumlu karar kayıt altına alınır

Karar vericiler tarafından onaylanan rapora istinaden Sertifika Şablonu’na uygun sertifika Belgelendirme Müdürü tarafından hazırlanır ve Genel Müdür’e onaylatılır.

 

Düzenlenen sertifikada, aşağıda belirtilen bilgiler yer alır:

 

  • Yönetim sistemi belgelendirilen müşterinin adı, coğrafi yeri (veya merkez bürosunun coğrafi yeri ve çok sahalı belgelendirme kapsamındaki sahalar)
  • İlgili belgelendirme karar gününden önce olmamak üzere Sertifikanın “İlk Düzenlenme Tarihi”, “Son Düzenlenme Tarihi” ve “Geçerlilik Tarihi”
  • Yeniden belgelendirme döngüsüyle tutarlı “Sertifikasyon Periyodu”,
  • Sertifika No
  • Belgelendirilmiş müşterinin tetkikinde kullanılan, yürürlük durumunu (örneğin, revizyon tarihi ve numarası) gösterecek şekilde yönetim sistem standardı ve/veya hüküm içeren doküman,
  • Yanlış anlaşılmaya veya muğlaklığa yol açmayacak ve her bir tesiste uygulanacak şekilde, faaliyetlerin, ürünlerin ve hizmetlerin tipi dikkate alınarak belgelendirmenin kapsamı,
  • DV-CERT LLC Sertifikasyon’un adı, adresi ve logosu, diğer logolar (Örn. Akreditasyon sembolü),
  • Sertifika şablonu form numarası ve revizyon numarası.
  • ISO 27001 sertifikalarında uygulanabilirlik bildirgesi ve revizyonu

 

Çok sahalı kuruluşların sertifikalarında, gereken durumlarda belgelendirilmesi uygun görülmüş bütün sahaların adresleri, sertifika üzerinde veya sertifika ekinde belirtilebilir.

 

Kuruluş yazılı talepte bulunduğu takdirde DV-CERT LLC, her saha için, kapsamın yer aldığı birer sertifika eki hazırlayıp kuruluşa iletebilir.

 

Her sertifika için DV-CERT PRO üzerinden otomatik sertifika numarası verilir.

 

İlk kez yayınlanan sertifikalarda, “İlk Düzenlenme Tarihi” ve “Son Düzenlenme Tarihi” olarak, belgelendirme karar tarihi yazılır. Geçerlilik tarihi olarak ilk düzenlenme tarihinden itibaren 12 ay sonrası yazılır.

 

Gözetim sonrası yayınlanan sertifikalarda, “İlk Düzenlenme Tarihi” değişmez “Son Düzenlenme Tarihi” olarak, belgelendirme karar tarihi yazılır. Geçerlilik tarihi olarak ilk düzenlenme tarihinden itibaren 12 (ve katları) ay sonrası yazılır.

 

Yeniden yayınlanan sertifikalarda “İlk Düzenlenme Tarihi” değişmez, “Son Düzenlenme Tarihi” olarak, en son yeniden belgelendirme karar tarihi yazılır.

 

Transfer sertifikalarda “İlk Düzenlenme Tarihi” olarak transfer edilen UDK’nın belgeyi ilk yayınladığı tarih, “Son Düzenlenme Tarihi” olarak, belgelendirme karar tarihi yazılır. Geçerlilik tarihi olarak ilk düzenlenme tarihinden itibaren 12/24 ay sonrası yazılır.

 

Düzenlenen sertifikalar, Belgelendirme Müdürü koordinasyonunda Genel Müdür tarafından imzalanır, taranır ve dosyada muhafaza edilir.

 

Kuruluşun sertifikası, Muhasebe ve Finans Sorumlusu tarafından düzenlenen faturanın kuruluş tarafından ödenmesini takiben, kargo aracılığı ile gönderilir veya imza karşılığı elden teslim edilir.

 

Sertifika düzenlenen kuruluşlar web sitesinde yayınlanır.

 

5.7.        İtirazlar

 

İtiraz ve Şikayetler Prosedürü uygulanır.

 

5.8.        Şikayetler

 

İtiraz ve Şikayetler Prosedürü uygulanır.

 

5.9.        Müşterilere Ait Kayıtlar

 

5.9.1. DV-CERT LLC, başvuru yapan kuruluşlar ile tetkik edilen, belgelendirilen veya belgeleri geri çekilen ve askıya alınan bütün kuruluşlar dâhil olmak üzere, bütün müşteriler için tetkik ve diğer belgelendirme prosesleri hakkındaki kayıtları muhafaza eder.

 

5.9.2. Belgelendirilmiş müşteriler ile ilgili kayıtlar aşağıdakileri içerir:

 

  • Başvuru bilgileri ve ilk, gözetim ve yeniden belgelendirme tetkik raporlarını,
  • Belgelendirme anlaşmasını,
  • Örnekleme için kullanılan yönteminin gerekçelendirilmesini (uygun olduğu takdirde),
  • Tetkikçi zamanını belirlemenin gerekçelendirmesini,
  • Düzeltme ve düzeltici faaliyetlerin doğrulanmasını,
  • İtirazlar ve şikayetler ile bunları takip eden düzeltme ve düzeltici faaliyetlerin kayıtlarını,
  • Uygulanabilir olduğunda, komite tutanakları ve kararlarını,
  • Belgelendirme kararlarının dokümantasyonunu,
  • Ürün, proses veya uygulanabilir olduğunda hizmet ile ilgili olarak belgelendirme kapsamı dâhil olmak üzere belgelendirme dokümanlarını,
  • Belgelendirmenin güvenilirliğini sağlamak için tetkikçilerin ve teknik uzmanların yeterlilik kanıtı gibi, gerekli olan ilgili kayıtlarını,
  • Tetkik programlarını.

 

Örnekleme yöntemi, belirli bir örneklemenin uygulandığı yönetim sistemi/ sistemleri ve/veya çoklu saha tetkikleri kapsamında saha seçimini içerir.

 

5.9.3. DV-CERT LLC başvuruda bulunan ve belgelendirilmiş olan müşteri hakkındaki kayıtları, bilgilerin gizliliğini güvence altına almak için koruma altında tutar. Kayıtların, gizliliğinin sürdürülmesini temin edecek şekilde taşınmasını, aktarılmasını veya nakledilmesini sağlar. Bu doğrultuda tetkik prosesindeki tüm personel ile gizlilik sözleşmeleri yapılmıştır.

 

5.9.4. Tetkik süreci ile ilgili tüm kayıtlar, zaman sınırlaması olmaksızın saklanırlar. Tetkik sırasında tutulan Açılış Kapanış Toplantı Tutanağı ve Sistem Belgelendirme Sözleşmelerinin orijinali ise ıslak imzalı olarak dosyalarda saklanır.

 

5.9.5. Kayıtlar Doküman ve Kayıt Kontrol Prosedürü’ne göre korunurlar.

 

5.10.  Uygulanan ISO/27001:2013’ün gözden geçirmesi için kılavuz

 

BGYS için müşteri tarafından gerekli olduğu belirlenen kontrollerin uygulanması (Uygulanabilirlik Beyanı gereğince) ön tetkikin 2. aşaması ve gözetim ya da yeniden belgelendirme faaliyetleri esnasında değerlendirilmelidir.

 

En iyi kalitedeki tetkik kanıtı tetkikçinin gözlemiyle elde edilir (yani, kilitli kapının kilitli olması, insanların gizlilik sözleşmesi yapıyor olmaları, varlık kaydının olması ve gözlemlenen varlıkları içeriyor olması, sistem ayarlarının yeterli olması, vb.). Bir kontrolün performans sonuçlarına bakılarak kanıt toplanabilir (yani, kişilere verilen ve doğru yetkili tarafından imzalanan erişim haklarının çıktıları, olay çözümlerinin kayıtları, doğru yetkili makam tarafından imzalanan işleme yetkilileri, yönetim toplantılarının tutanakları (veya diğer), vb.). Kanıt, kontrollerin tetkikçi tarafından doğrudan test edilmesinin (veya tekrar performansına bakılmasının) bir sonucu olabilir, yani, kontrollerin yasakladığı görevleri yapma girişimleri, zararlı kodlara karşı koruma sağlayacak yazılımın cihazlarda yüklü ve güncel olup olmadığının belirlenmesi, verilen erişim hakları (yetkili kontrolü yapıldıktan sonra), vb. Süreçler ve kontrollerle ilgili kurumun kontrolü altındaki çalışanlar veya yükleniciler ile yapılan görüşmelerden ve bunların doğruluğunun teyit edilmesiyle kanıt toplanabilir.

 

ISO/IEC 27001:2013, Ek A’da listelenen kontrollerin uygulanmasının gözden geçirmesi ve ön tetkik ve müteakip tetkiklerde kontrollerin performanslarından tetkik kanıtı toplanması için kılavuzluk etmesi amacıyla tetkikçinin tetkik soruları içerisinde belirtilmiştir.

 

“Kurumsal Kontrol” ve “Teknik Kontrol” (KK-TK) : İlgili maddede yer alan (KK-TK) kontrolün kurumsal mı yoksa teknik kontrol mü olduğunu gösterir. Bazı kontroller hem kurumsal hem de teknik olduğu için e bu iki kontrol sütununda da bulunabilir. Kurum kontrollerinin performansına ilişkin kanıt, kontrollerin performans kayıtlarının gözden geçirilmesi, görüşmeler, gözlem ve fiziksel muayeneler ile elde edilebilir. Teknik kontrollerin performansına dair kanıt çoğunlukla sistemin teste tabi tutulması ile ya da özel tetkik/raporlama araçlarının kullanımı ile toplanır.

 

“Sistem Testi” Sütunu (ST): “Sistem testi” bilgi sistemlerinin doğrudan gözden geçirilmesini ifade eder (ör. sistem ayarlarının ya da yapılandırmasının değerlendirmesi). Tetkikçinin soruları sistem kontrol masasında ya da test araçlarının sonuçlarının değerlendirilmesiyle cevaplandırılabilir. Eğer müşteri tetkikçinin bildiği bilgisayar tabanlı bir araç kullanıyorsa, bu araç, tetkiki desteklemek için kullanılabilir ya da müşteri (ya da alt yüklenicileri) tarafından yapılan değerlendirmenin sonuçları gözden geçirilebilir.

 

“Görsel İnceleme” Sütunu (Gİ): “Görsel inceleme”, bu kontrollerin etkililik düzeyinin değerlendirilmesi için sahada görsel incelemenin gerekmesi anlamına gelir. Yani bu sadece kâğıt üzerindeki kayıtları incelemenin veya görüşmeler yapmanın yeterli olmadığı anlamına gelir; tetkikçinin kontrolü uygulandığı yerde doğrulaması tavsiye edilir.