1. ISO 28000 Standardının Tanımı ve Amacı
ISO 28000, Uluslararası Standardizasyon Örgütü (ISO) tarafından geliştirilmiş, tedarik zinciri boyunca güvenlik risklerinin yönetimini sistematik hale getiren bir yönetim sistemidir. Temel amacı; terörizm, sabotaj, hırsızlık, kaçakçılık, korsanlık, doğal afetler ve diğer operasyonel tehditler gibi unsurlara karşı tedarik zincirinin bütünlüğünü sağlamaktır.
Bu standart, sadece lojistik firmaları için değil; üretim, dağıtım, taşımacılık, depolama ve perakende süreçlerine dahil olan tüm kuruluşlar için uygulanabilir.
2. ISO 28000’in Kapsamı
28000 aşağıdaki alanları teknik olarak kapsam altına alır:
- Tedarik zincirinde risk değerlendirmesi
- Tehdit analizi ve önleme prosedürleri
- Güvenlik politikaları ve hedeflerin tanımlanması
- Kritik süreçlerin belirlenmesi ve korunması
- Acil durum planlaması
- Gümrük ve mevzuat uyumu
- İzlenebilirlik ve raporlama sistemleri
- Tedarikçi güvenliği değerlendirmesi
3. ISO 28000 Yönetim Sistemi Bileşenleri
28000, tedarik zinciri güvenliğini sağlamak amacıyla PDCA (Planla – Uygula – Kontrol Et – Önlem Al) döngüsüne dayanır.
a) Politika ve Hedeflerin Belirlenmesi
- Kuruluş, tedarik zincirinde karşılaşabileceği riskleri tanımlar.
- Bu risklere karşılık organizasyonel güvenlik politikası hazırlanır.
- Politikalar tüm paydaşlara duyurulur.
b) Risk Değerlendirme ve Tehdit Analizi
- Risklerin kaynağı, olasılığı ve etkisi belirlenir.
- Tehdit matrisleri ve SWOT analizleri yapılır.
- Kritik varlıklar ve süreçler envantere alınır.
- Bölgesel ve uluslararası güvenlik tehditleri, risk senaryolarında dikkate alınır.
c) Güvenlik Kontrollerinin Uygulanması
- Fiziksel kontroller: Kamera sistemleri, güvenlik bariyerleri, giriş çıkış sistemleri.
- Operasyonel kontroller: Görev tanımları, vardiya sistemleri, kontrol listeleri.
- Bilgi güvenliği: Veritabanı erişim denetimleri, şifreleme, güvenlik duvarları.
- İK kontrolleri: Personel güvenlik taramaları, görev başı eğitimleri.
d) İzleme ve Sürekli İyileştirme
- KPI (Anahtar Performans Göstergeleri) ile ölçümleme.
- İç denetimler, güvenlik tatbikatları.
- Olay sonrası kök neden analizleri (Root Cause Analysis).
- Uygunsuzlukların tespiti ve düzeltici faaliyet planlaması.
4. ISO 28000 Uygulama Süreci (Adım Adım Teknik Yaklaşım)
Aşama 1: Ön Analiz ve Hazırlık
- Organizasyonun faaliyet alanı ve güvenlik ihtiyaçları belirlenir.
- Mevcut güvenlik önlemleri teknik olarak analiz edilir.
- Paydaş analizi yapılır (tedarikçiler, taşıyıcılar, gümrük ajansları vb.).
Aşama 2: Risk Tabanlı Yaklaşımın Entegrasyonu
- Tedarik zinciri boyunca olay sıklığı x etki düzeyi formülüne göre risk derecelendirmesi yapılır.
- ISO 31000 ile entegrasyon sağlanabilir.
Aşama 3: Güvenlik Amaçlı Proses Geliştirme
- Kritik kontrol noktaları (CCP – Critical Control Points) belirlenir.
- Proses akış şemaları çizilir.
- Güvenlik kontrolleri için Poka-Yoke (hata önleme) yöntemleri uygulanabilir.
Aşama 4: Eğitim ve Farkındalık
- Personel için özel güvenlik eğitim modülleri oluşturulur.
- Acil durum senaryoları üzerinden rol tabanlı eğitimler uygulanır.
Aşama 5: Sistem Entegrasyonu ve Test
- 28000, mevcut ERP, SCADA, WMS, CRM sistemlerine entegre edilir.
- Test senaryoları ile sistem dayanıklılığı değerlendirilir.
Aşama 6: Belgelendirme Öncesi İç Denetim
- ISO 19011 doğrultusunda iç tetkikler gerçekleştirilir.
- Uygunsuzluklar için CAPA (Corrective and Preventive Actions) döngüsü devreye alınır.
5. ISO 28000’in Diğer Standartlarla Uyumluluğu
28000, aşağıdaki standartlarla entegre çalışabilir:
| Standart | Entegrasyon Açıklaması |
|---|---|
| ISO 9001 | Kalite yönetimi ile süreç güvenliği paralel yürütülebilir. |
| ISO 31000 | Risk değerlendirmesinde ortak yapı oluşturur. |
| ISO 27001 | Bilgi güvenliği ile fiziksel güvenlik birlikte ele alınır. |
| ISO 45001 | Çalışan güvenliği ile tedarik güvenliği entegre edilebilir. |
| AEO (Yetkilendirilmiş Yükümlü) | ISO 28000 standardı, AEO başvurularında referans alınabilir. |
6. ISO 28000’in Kurumlara Sağladığı Teknik Faydalar
- Tedarik zinciri kesintilerinin azalması
- Güvenli lojistik ağ yapısı kurulması
- Kara, hava, deniz taşımacılığında güvenli geçiş avantajı
- Gümrük işlemlerinde hız ve kolaylık
- Sigorta primlerinde düşüş potansiyeli
- Uluslararası ticarette güvenilir tedarikçi kimliği
7. ISO 28000 Belgesi Alım Süreci
a) Belgelendirme Aşamaları
- Hazırlık ve sistem kurulumu
- İç denetim ve dokümantasyon
- Belgelendirme denetimi (Stage 1 – Stage 2)
- Uygunsuzlukların kapatılması
- Belgelendirme ve yıllık gözetim denetimleri
b) Gerekli Belgeler
- Risk analiz raporu
- Güvenlik politikası
- Prosedür ve talimatlar
- Eğitim kayıtları
- Olay raporlama formları
- Acil durum müdahale planları
8. Tedarik Zinciri Güvenliğinde Kullanılan Araçlar
| Araç | Açıklama |
|---|---|
| Blockchain | Tedarik zinciri boyunca veri bütünlüğü sağlar. |
| RFID / GPS | Gerçek zamanlı takip ve konum doğrulama sağlar. |
| IoT Cihazlar | Depo sıcaklık, nem ve darbe kontrolü için sensör desteği. |
| Siber Güvenlik Sistemleri | Dijital tehditlere karşı koruma sağlar. |
| Video Analytics | Kamera görüntülerinin yapay zeka ile yorumlanması. |
9. ISO 28000 ile AEO (Yetkilendirilmiş Yükümlü) Arasındaki İlişki
ISO 28000, Avrupa Birliği ve dünya genelinde yaygınlaşan AEO statüsünün temel şartlarından biri olan güvenli tedarik zinciri yapı taşını oluşturur. Belgeye sahip kuruluşlar:
- Gümrük işlemlerinde ayrıcalıklar kazanır.
- Uluslararası taşımalarda daha az kontrolle karşılaşır.
- Rekabet avantajı elde eder.
10. Sıkça Sorulan Sorular (FAQ)
✅ ISO 28000 kimler için zorunludur?
Yasal olarak zorunlu değildir; ancak lojistik, ihracat, ithalat, üretim, depolama, liman ve antrepo gibi faaliyetlerde bulunan kuruluşlara güçlü şekilde önerilir.
✅ ISO 28000 ile ISO 9001 farkı nedir?
ISO 9001 kalite odaklıyken, ISO 28000 operasyonel güvenlik ve tehdit önleme odaklıdır.
✅ Belge geçerliliği ne kadar?
ISO 28000 belgesi 3 yıl geçerlidir, her yıl gözetim denetimi yapılır.
✅ Risk analizinde hangi metotlar kullanılır?
FMEA, HACCP, HAZOP, SWOT, PESTLE ve 5N1K gibi teknik analiz yöntemleri kullanılabilir.
Sonuç
ISO 28000, tedarik zinciri güvenliğini sadece fiziksel değil, dijital ve operasyonel düzeyde de kapsayan kapsamlı ve stratejik bir yönetim sistemidir. Tehditlerin arttığı global ticaret ortamında, bu standarda sahip olmak rekabet avantajı, yasal uyum ve operasyonel dayanıklılık açısından büyük önem taşır.