Bilgi Teknolojileri ve İletişim Kurumu (BTK) resmi sitesinde Elektronik Haberleşme Güvenliği kapsamında TS ISO/IEC 27001 Standardı Uygulamasına ilişkin kamuoyu görüşünü almak üzere bir Tebliğ Taslağı hazırladı. Ayrıca taslakta tanımlanan işletmelerin standart uygunluk belgesi almaları için taslağın resmi Tebliğ halini almasına dek ek süre tanınıyor.
Yaklaşık 2 sene önce resmi gazetede yayınlanarak yürürlüğe giren Elektronik Haberleşme Güvenliği Yönetmeliği’ni o tarihlerde yaptığımız bir haberle okuyucularımıza duyurmuştuk [1]. Bu yönetmelikle beraber işletmeciler, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluğu sağlamakla yükümlü hale geliyordu. Ayrıca işletmecilerin elektronik haberleşme güvenliği kapsamında, tehdit ve zafiyetlere karşı yılda en az bir kez risk analizi yapmaları gerekecekti.
Geçtiğimiz günlerde BTK’nın kamuoyu görüşü alınması için yayınladığı Tebliğ ise 2 yıl önce çıkartılanElektronik Haberleşme Güvenliği Yönetmeliği’nin “Elektronik Haberleşme Güvenliğini Sağlama Yükümlülüğü” başlıklı 11 inci maddesinin birinci fıkrası çerçevesinde TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluk sağlama veya uygunluk belgesi alma yükümlülüğü ile ilgili usul ve esasları kapsıyor. Yani yönetmelikle gelen standardizasyon yükümlülüğü ancak 2 sene sonra düzenleniyor.
BTK’nın sitesinde kamuoyu görüşüne açılan ve 2 hafta boyunca askıda kalacak olan Tebliğ şöyle:
ELEKTRONİK HABERLEŞME GÜVENLİĞİ KAPSAMINDA TS ISO/IEC 27001 STANDARDI UYGULAMASINA İLİŞKİN TEBLİĞ TASLAĞI
Amaç
MADDE 1 – (1) Bu Tebliğin amacı; 20/7/2008 tarihli ve 26942 sayılı Resmi Gazete’de yayımlanan Elektronik Haberleşme Güvenliği Yönetmeliği’nin “Elektronik Haberleşme Güvenliğini Sağlama Yükümlülüğü” başlıklı 11 inci maddesinin birinci fıkrasının uygulanmasına ilişkin usul ve esasları düzenlemektir.
Kapsam
MADDE 2 – (1) Bu Tebliğ, Elektronik Haberleşme Güvenliği Yönetmeliği’nin “Elektronik Haberleşme Güvenliğini Sağlama Yükümlülüğü” başlıklı 11 inci maddesinin birinci fıkrası çerçevesinde TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluk sağlama veya uygunluk belgesi alma yükümlülüğü ile ilgili usul ve esasları kapsar.
Dayanak
MADDE 3 – (1) Bu Tebliğ; Elektronik Haberleşme Güvenliği Yönetmeliği’ nin 11 inci maddesine dayanılarak hazırlanmıştır.
Tanımlar ve kısaltmalar
MADDE 4 – (1) Bu Tebliğde geçen;
a) Elektronik haberleşme: Elektriksel işaretlere dönüştürülebilen her türlü işaret, sembol, ses, görüntü ve verinin kablo, telsiz, optik, elektrik, manyetik, elektromanyetik, elektrokimyasal, elektromekanik ve diğer iletim sistemleri vasıtasıyla iletilmesini, gönderilmesini ve alınmasını,
b) GMPCS: Uydu üzerinden küresel mobil kişisel haberleşmeyi,
c) GSM: Avrupa Telekomünikasyon Standartları Enstitüsü’nün mobil, hücresel sayısal haberleşme standartlarına göre verici ve alıcı üniteleri haiz baz istasyonları, baz istasyon kontrol istasyonları, anahtarlama teçhizatı, bunlar arasındaki irtibatı temin eden telli ve telsiz her türlü haberleşme sistemlerini,
ç) İşletmeci: Kurum tarafından yapılan bir yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten sermaye şirketini,
d) Kişisel ses ve/veya veri hizmeti: İçerik olarak genel veya grup erişimine açık olmayan ses ve/veya veri iletimini,
e) Kurul: Bilgi Teknolojileri ve İletişim Kurulunu,
f) Kurum: Bilgi Teknolojileri ve İletişim Kurumunu,
g) Net Satış: Brüt satışlardan satış indirimlerinin düşülmesi halinde kalan tutarı,
ğ) Standart: TS ISO/IEC 27001 veya ISO/IEC 27001 standardını,
h) Uygunluk belgesi: TS ISO/IEC 27001 veya ISO/IEC 27001 belgesi verebilmek üzere akredite edilmiş kuruluşlardan alınan TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluk sertifikasını,
ı) Yönetmelik: Elektronik Haberleşme Güvenliği Yönetmeliğini,
ifade eder.
(2) Bu Tebliğde geçen ve yukarıda yer almayan tanımlar için ilgili mevzuatta yer alan tanımlar geçerlidir.
İşletmecilerin yükümlülükleri
MADDE 5 – (1) Uygunluk belgesi alma yükümlülüğü, işletmecinin kişişel ses ve/veya veri hizmeti taşıması ile yıllık net satışına göre belirlenir.
a) Bu Tebliğin Ek-1’ inde verilen kişisel ses ve/veya veri taşıma hizmeti sunan işletmecilerden yıllık net satışı beşyüzbin (500.000) Türk Lirası ve üzeri olanlar, uygunluk belgesi almakla yükümlüdür.
b) Bu Tebliğin Ek-1’ inde verilen kişisel ses ve/veya veri taşıma hizmeti sunan işletmecilerden yıllık net satışı beşyüzbin (500.000) Türk Lirası’ nın altında olanlar, uygunluk belgesi alma zorunluluğu olmaksızın standarda uygunluk sağmakla yükümlüdür.
c) Bu Tebliğin Ek-2’ sinde verilen kişisel ses ve/veya veri taşıma hizmeti sunmayan işletmeciler, uygunluk belgesi alma zorunluluğu olmaksızın standarda uygunluk sağmakla yükümlüdür.
(2) Birinci fıkranın (a) bendinde belirtilen işletmecilerden 20/7/2008 tarihinden sonra yetkilendirilenler, yetkilendirme tarihinden itibaren iki yıl sonraki tarihe, 20/7/2008 tarihinden önce yetkilendirilenler ise 20/7/2010 tarihine kadar uygunluk belgesi almak ve bu uygunluk belgesini Kuruma göndermekle yükümlüdür.
(3) Birinci fıkranın (b) bendinde belirtilen işletmecilerden zaman içinde net satışı beşyüzbin (500.000) Türk Lirası’ nı aşanlar bu limiti aştıkları tarihten itibaren iki yıl içerisinde uygunluk belgesi almak ve bu uygunluk belgesini Kuruma göndermekle yükümlüdür.
(4) Birinci fıkranın (a) bendinde belirtilen işletmecilerden zaman içinde net satışı beşyüzbin (500.000) Türk Lirası’nın altına düşen işletmecilerin, söz konusu net satış değerini aştıkları tarihten itibaren başlayan uygunluk belgesi alma yükümlülüğü devam eder.
(5) Birinci fıkranın (b) ve (c) bentlerinde belirtilen işletmecilerden 20/7/2008 tarihinden sonra yetkilendirilenler, yetkilendirme tarihinden itibaren iki yıl sonraki tarihe, 20/7/2008 tarihinden önce yetkilendirilenler ise 20/7/2010 tarihine kadar uygunluk belgesi alma zorunluluğu olmaksızın standarda uygunluk sağlamakla yükümlüdür.
MADDE 6 – (1) Kurum, 5 inci maddenin birinci fıkrasında belirtilen net satış değerini ve bu Tebliğ ekinde yer alan listeleri güncellemekle yetkilidir.
Yürürlük
MADDE 7 – (1) Bu Tebliğ; yayımı tarihinde yürürlüğe girer.
Yürütme
MADDE 8 – (1) Bu Tebliğ hükümlerini, Bilgi Teknolojileri ve İletişim Kurulu Başkanı yürütür.
Tebliğ’ göre TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluk belgesi aranan işletmeler:
1-) Görev Sözleşmesi İmzalayan İşletmeciler, 2-) İmtiyaz Sözleşmesi İmzalayan İşletmeciler, 3-) Uydu Haberleşme Hizmeti Veren İşletmeciler, 4-) Altyapı İşletmeciliği Hizmeti Veren İşletmeciler, 5-) Sabit Telefon Hizmeti İşletmecileri, 6-) GMPCS Mobil Telefon Hizmeti Veren İşletmeciler, 7-) Sanal Mobil Şebeke Hizmeti İşletmecileri, 😎 İnternet Servis Sağlayıcıları ve 9-) Hava Taşıtlarında GSM 1800 Mobil Telefon Hizmeti Veren İşletmeciler
olarak listelenirken bu belgenin aranmadığı işletmeler ise şöyle:
1-) Uydu Platform Hizmeti Veren İşletmeciler, 2-) Kablolu Yayın Hizmeti İşletmecileri, 3-) Ortak Kullanımlı Telsiz Hizmeti Veren İşletmeciler, 4-) Rehberlik Hizmeti İşletmecileri.
[1]- Elektronik Haberleşme Güvenliği Yönetmeliği Resmi Gazetede Yayınlandı
Kaynak : 