Ana içeriğe geç
Acadezone
ISO 28000 Nedir? Tedarik Zinciri Güvenlik Yönetim Sistemi Rehberi
Kalite Yönetimi

ISO 28000 Nedir? Tedarik Zinciri Güvenlik Yönetim Sistemi Rehberi

ISO 28000 tedarik zinciri güvenlik yönetim sistemi nedir? Güvenlik risk değerlendirmesi, tehdit analizi, AEO uyumu ve belgelendirme süreci.

AE

Acadezone Eğitim

Profesyonel Eğitim Platformu

16 dk

ISO 28000 Nedir?

Bir konteyner limandan çıkıyor. Binlerce kilometre yol katedecek. Bu süreçte kaç farklı el değiştirecek, kaç farklı noktadan geçecek? Her bir noktada güvenlik riski var. Hırsızlık, kaçakçılık, sahtecilik, siber saldırılar, hatta terör tehditleri. İşte ISO 28000, bu karmaşık zincirin güvenliğini yönetmek için tasarlanmış uluslararası bir standarttır.

ISO 28000 Ne Demek?

ISO 28000, tedarik zinciri güvenlik yönetim sistemi standardıdır. İlk versiyonu 2007'de yayınlandı. Standart, tedarik zincirindeki güvenlik tehditlerinin tanımlanması, değerlendirilmesi ve yönetilmesi için sistematik bir çerçeve sunar.

Burada "güvenlik" kavramı geniş anlamda kullanılır. Sadece fiziksel güvenlik değil; bilgi güvenliği, personel güvenliği, yükün bütünlüğü ve süreç güvenliği de kapsam dahilindedir.

ISO 28000, ISO 9001 ve ISO 14001 gibi PDCA (Planla-Uygula-Kontrol Et-Önlem Al) döngüsüne dayanır. Bu yaklaşım, sürekli iyileştirmeyi güvenlik yönetiminin merkezine yerleştirir.

Neden Tedarik Zinciri Güvenliği?

Küresel tedarik zincirleri giderek karmaşıklaşıyor. Bu karmaşıklık, güvenlik açıklarını da beraberinde getiriyor.

Terör tehditleri: Tedarik zincirleri terör örgütleri tarafından silah, patlayıcı ve yasadışı malzeme taşımak için kullanılabilir. 11 Eylül sonrası bu risk çok daha ciddiye alınmaya başlandı.

Yük hırsızlığı: Dünya genelinde yük hırsızlığı büyük bir sorundur. Özellikle yüksek değerli elektronik, ilaç ve tüketim malları hedef alınır.

Kaçakçılık: Uyuşturucu, silah ve insan kaçakçılığında tedarik zincirleri kullanılabilir. Firmaların farkında olmadan bu faaliyetlere alet olması mümkündür.

Sahtecilik: Sahte ürünler, sahte belgeler, sahte menşei belgeleri. Tedarik zincirindeki her nokta sahteciliğe açıktır.

Siber saldırılar: Lojistik yazılımlar, takip sistemleri, liman yönetim sistemleri siber saldırıların hedefi olabilir. Bir siber saldırı tüm zinciri felce uğratabilir.

Doğal afetler ve siyasi istikrarsızlık: Deprem, sel, siyasi krizler tedarik zincirini kesintiye uğratabilir. Güvenlik yönetimi bu senaryolara hazırlık da içermelidir.

ISO 28000'in Yapısı

Standart, PDCA döngüsüne dayalı bir yapıya sahiptir:

Planla (Plan)

Güvenlik politikası oluşturma. Güvenlik risk değerlendirmesi yapma. Yasal ve diğer gereksinimleri belirleme. Güvenlik hedefleri koyma. Güvenlik programları geliştirme.

Uygula (Do)

Kaynak sağlama. Yetkinlik ve farkındalık eğitimi. İletişim mekanizmaları kurma. Dokümantasyon yönetimi. Operasyonel kontroller uygulama. Acil durum hazırlığı.

Kontrol Et (Check)

Performans ölçme ve izleme. Sistem değerlendirmesi. Uygunsuzluk ve düzeltici faaliyet yönetimi. Kayıt yönetimi. İç denetimler.

Önlem Al (Act)

Yönetim gözden geçirmesi. Sürekli iyileştirme. Politika ve hedeflerin güncellenmesi.

Güvenlik Risk Değerlendirmesi

ISO 28000'in en kritik bileşeni risk değerlendirmesidir. Bu değerlendirme üç temel adımdan oluşur:

Tehdit Tanımlama

Hem iç hem dış tehditler belirlenir:

Dış tehditler: Terör saldırıları, organize suç, siber saldırılar, doğal afetler, siyasi istikrarsızlık, taşeron riskleri, liman ve terminal güvensizliği.

İç tehditler: Personel sadakatsizliği, yetkisiz erişim, bilgi sızıntısı, prosedür ihlalleri, yetersiz eğitim, kayıtsız gönderi yönetimi.

Zafiyet Değerlendirmesi

Her tehdide karşı mevcut güvenlik önlemlerinin yeterliliği analiz edilir. Zayıf noktalar nerede? Hangi kontroller eksik? Hangi süreçlerde açık var?

Risk Analizi

Tehdit olasılığı ve potansiyel etkisi birlikte değerlendirilerek risk seviyesi belirlenir. Yüksek riskli alanlar öncelikli olarak ele alınır.

Güvenlik Planı Geliştirme

Risk değerlendirmesi tamamlandıktan sonra güvenlik planı oluşturulur. Bu plan üç ana alanı kapsar:

Fiziksel Güvenlik

Tesis güvenliği (çevre güvenliği, erişim kontrolü, CCTV, alarm sistemleri). Yük güvenliği (mühür yönetimi, konteyner muayenesi, yükleme gözetimi). Taşıma güvenliği (araç takip, güzergah planlama, konvoy yönetimi).

Bilgi Güvenliği

Lojistik bilgi sistemlerinin korunması. Yük takip verilerinin güvenliği. Müşteri ve gönderici bilgilerinin mahremiyeti. Siber güvenlik önlemleri.

Personel Güvenliği

İşe alım öncesi güvenlik araştırması. Güvenlik farkındalık eğitimi. Yetki ve erişim yönetimi. Ziyaretçi ve taşeron personel kontrolü.

Sektörel Uzmanlık

Gerçek Kalite Uzmanlığı, Sektörel Derinlikle Kazanılır

Temel standartlar sadece başlangıç. Her sektörün onlarca regülasyonu, yüzlerce gereksinimi var. Sektörünüzü seçin, derinlemesine öğrenin.

İlaç
Gıda
Tıbbi Cihaz
Otomotiv
Havacılık
Çevre
10+
Sektör
500+
Standart & Regülasyon
AB/ABD/UK
Global Kapsam
Tüm Sektörleri İnceleDanışmanlık Al

Her sektör programı: Tüm standartlar + Regülasyonlar + Güncel gereksinimler + Pratik uygulamalar

AEO (Yetkilendirilmiş Ekonomik Operatör) Uyumu

ISO 28000 ile AEO programları arasında güçlü bir ilişki vardır. AEO, gümrük otoritelerinin güvenilir bulduğu firmalara kolaylaştırılmış gümrük işlemleri sağlayan bir statüdür.

AEO nedir? Dünya Gümrük Örgütü tarafından geliştirilen, güvenilir ticaret ortaklarını tanımlayan bir programdır. Türkiye dahil birçok ülkede uygulanmaktadır.

C-TPAT nedir? ABD Gümrük ve Sınır Koruma tarafından yönetilen, benzer amaçlı bir güvenlik ortaklığı programıdır. ABD ile ticaret yapan firmalar için önemlidir.

ISO 28000 sertifikası, AEO başvurusunda güçlü bir referanstır. Her iki sistem de tedarik zinciri güvenliğini sistematik olarak yönetmeyi gerektirir. ISO 28000 uygulaması, AEO gereksinimlerinin büyük bölümünü zaten karşılar.

AEO statüsü taşıyan firmalar gümrüklerde öncelikli işlem, azaltılmış kontrol, hızlandırılmış sevkiyat gibi önemli avantajlar elde eder.

Diğer Standartlarla Entegrasyon

ISO 28000, tek başına değil diğer yönetim sistemleriyle birlikte en etkili sonucu verir:

ISO 9001 ile entegrasyon: Kalite yönetim sistemi altyapısı (dokümantasyon, iç denetim, düzeltici faaliyet, yönetim gözden geçirmesi) güvenlik yönetim sistemiyle ortaktır. Entegrasyon hem verimlilik sağlar hem de tutarlı bir yönetim yaklaşımı oluşturur.

ISO 14001 ile entegrasyon: Çevre yönetim sistemiyle ortak PDCA yapısı, kaynak paylaşımı ve entegre denetimler mümkündür.

ISO 45001 ile entegrasyon: İş sağlığı ve güvenliği yönetim sistemiyle güvenlik yönetimi arasında doğal bir örtüşme vardır. Özellikle tehlikeli madde taşımacılığında bu entegrasyon kritik önem taşır.

ISO 27001 ile entegrasyon: Bilgi güvenliği yönetim sistemi, ISO 28000'in bilgi güvenliği bileşenini destekler. Siber güvenlik tehditlerinin arttığı bir dünyada bu entegrasyon giderek önemleniyor.

Kimler ISO 28000'e İhtiyaç Duyar?

ISO 28000, tedarik zincirinin herhangi bir halkasında yer alan kuruluşlar için geçerlidir:

Lojistik şirketleri: Kara, deniz, hava ve demir yolu taşımacılığı yapan firmalar.

Liman işletmecileri: Konteyner terminalleri, serbest bölgeler, antrepolar.

Gümrük müşavirleri: Gümrük işlemlerini yöneten firmalar.

Freight forwarder'lar: Uluslararası yük taşımacılığı organizatörleri.

Üreticiler: Küresel tedarik zincirine sahip üretim firmaları.

Depo işletmecileri: Yük depolama ve dağıtım merkezleri.

E-ticaret lojistik sağlayıcıları: Son mil teslimat ve dağıtım ağları.

Belgelendirme Süreci

ISO 28000 belgelendirilebilir bir standarttır. Sertifikasyon süreci şu adımlardan oluşur:

Mevcut durum analizi: Kuruluşun mevcut güvenlik uygulamalarının standart gereksinimlerine göre değerlendirilmesi.

Boşluk analizi: Eksikliklerin ve iyileştirme alanlarının belirlenmesi.

Sistem kurulumu: Güvenlik politikası, risk değerlendirmesi, prosedürler, talimatlar ve kayıt sisteminin oluşturulması.

Uygulama: Sistemin hayata geçirilmesi, eğitimlerin verilmesi, uygulamaların başlatılması.

İç denetim: Sistemin etkinliğinin iç kaynaklarla denetlenmesi.

Yönetim gözden geçirmesi: Üst yönetimin sistemi değerlendirmesi.

Belgelendirme denetimi: Bağımsız belgelendirme kuruluşunun denetimi (Aşama 1: Dokümantasyon incelemesi, Aşama 2: Uygulama denetimi).

Sertifika: Başarılı denetim sonrası sertifika verilmesi.

Acadezone ile ISO 28000 Yetkinliği

Tedarik zinciri güvenliği konusunda yetkinlik geliştirmek isteyenler için Acadezone eğitim programları sunmaktadır. ISO 28000'in temel gereksinimleri, risk değerlendirmesi, güvenlik planlama ve iç denetim konularında pratik bilgi edinebilirsiniz.

Sıkça Sorulan Sorular

ISO 28000 zorunlu mu?

Yasal bir zorunluluk değildir. Ancak bazı müşteri ve iş ortakları, özellikle uluslararası ticarette, tedarikçilerinden ISO 28000 sertifikası talep edebilir. AEO başvurusu için de önemli bir avantaj sağlar.

ISO 28000 sertifikası ne kadar geçerli?

Sertifika 3 yıl geçerlidir. Her yıl gözetim denetimi yapılır. 3 yılın sonunda yeniden belgelendirme denetimi gerekir.

ISO 28000 sadece lojistik şirketleri için mi?

Hayır. Tedarik zincirinin herhangi bir halkasında yer alan kuruluşlar için geçerlidir. Üreticiler, depo işletmecileri, gümrük müşavirleri ve e-ticaret firmaları da kapsam dahilindedir.

ISO 28000 ile ISO 27001 arasındaki fark nedir?

ISO 27001 bilgi güvenliği yönetim sistemine odaklanır. ISO 28000 ise tedarik zincirinin tümünün güvenliğini kapsar: fiziksel güvenlik, personel güvenliği, yük güvenliği ve bilgi güvenliği dahil. ISO 27001, ISO 28000'in bilgi güvenliği bileşenini destekler.

AEO için ISO 28000 şart mı?

Zorunlu değildir ancak büyük avantaj sağlar. ISO 28000 sertifikası, AEO başvurusunda güvenlik yönetim sisteminizin etkinliğini kanıtlayan güçlü bir referanstır.

ISO 28000 kaç bölümden oluşur?

ISO 28000 serisi birden fazla bölüm içerir. ISO 28000 ana standart (güvenlik yönetim sistemi gereksinimleri), ISO 28001 (en iyi uygulamalar), ISO 28002 (dayanıklılık) ve ISO 28004 (uygulama rehberi) temel bölümlerdir.

İlgili Konular

Okumaya Devam Et

İlgili Yazılar

Bu konuyla ilgili diğer içeriklerimizi keşfedin

CPM Rehberi: Kritik Yol Yöntemi Nedir? 2026
Kalite Yönetimi
18 dk

CPM Rehberi: Kritik Yol Yöntemi Nedir? 2026

CPM (Critical Path Method) nedir, nasıl uygulanır? Kritik yol yöntemi adım adım hesaplama, CPM vs PERT farkı, pratik örnek ve proje yönetiminde kullanımı.

A

Acadezone Eğitim

13 Şub

Oku
Entegre Ne Demek? Anlamı, Örnekleri ve Kullanım Alanları 2026
Kalite Yönetimi
8 dk

Entegre Ne Demek? Anlamı, Örnekleri ve Kullanım Alanları 2026

Entegre ne demek? Farklı bileşenlerin tek bir bütün halinde çalışması anlamına gelir. Entegre yönetim sistemi, ERP ve günlük hayattan örnekler.

A

Acadezone

13 Şub

Oku
MSA Nedir? Ölçüm Sistemi Analizi ve Gage R&R 2026
Kalite Yönetimi
12 dk

MSA Nedir? Ölçüm Sistemi Analizi ve Gage R&R 2026

MSA nedir? Ölçüm Sistemi Analizi, Gage R&R yöntemi, tekrarlanabilirlik ve yeniden üretilebilirlik kavramları.

A

Acadezone

13 Şub

Oku
Tüm Yazıları Görüntüle
E-Posta Bülteni

Yeni İçeriklerden Haberdar Olun

Eğitim rehberleri, kariyer tavsiyeleri ve sektörel güncellemelerimizi doğrudan e-posta kutunuza alın. Spam yok, sadece değerli içerikler.

Spam yokİstediğiniz zaman iptal
Partnership

Dokumantum ile Entegre Çalışıyoruz

İş ortağımız ve ticari markamız Dokumantum ile senkronize sistemler. Eğitim içerikleri, dokümantasyon ve kalite yönetimi tek platformda.

FDAISOICHGMPHACCP
FDAISOICHGMPHACCP
IATFMDRGDPGLPAS9100
IATFMDRGDPGLPAS9100