Geçtiğimiz yıl 22 Ekim 2016 tarihli 29865 sayılı yayınlanan bir yönetmelik ile Üretim Lisansı sahiplerinde ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasyonu zorunluluğunun kaldırıldığı yayınlanmıştı.
Elektrik Piyasası Lisans Yönetmeliğine ilişkin 24 Şubat 2017 tarihinde yayınlanan son değişiklik yönetmeliği ile Üretim Lisansı sahiplerinde ISO 27001 zorunluluğu yeniden gündeme getirilmiştir. Aynı zamanda bu yönetmelik değişikliği ile elektrik üretim, iletim ve dağıtım lisansı sahipleri ISO 27001 çalışmalarında ISO 27019 standardını dikkate almaları gerektiği belirtilmektedir.
Üretim Lisansı sahipleri için ilgili madde:
f) Geçici
kabul tarihinden itibaren yirmi dört ay içerisinde OSB üretim lisansı sahipleri
hariç olmak üzere, işletmeye geçmiş kurulu gücü 100 MWe ve üzerinde olan bütün
üretim tesisleri için kurumsal bilişim sistemi ile endüstriyel kontrol
sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun
bir şekilde işletmek, TS ISO/IEC 27001 standardına uygun faaliyet gösterdiğini
Türk Akreditasyon Kurumuna akredite olmuş bir belgelendirme kurumuna ispat
ederek sistemlerini belgelendirmek ve söz konusu belgelerin geçerliliğini
sağlamak, TS ISO/IEC 27001’e göre kuracakları Bilgi Güvenliği Yönetim
Sisteminde TS ISO/IEC 27002 Uygulama Rehberine ek olarak ISO/IEC TR 27019
rehber dokümanını da referans almak,
Peki ISO 27019 standardı nedir?
27000 standart ailesinde Olay Yönetimi, Siber Güvenlik, Denetim gibi konu özelinde rehber standartlar olduğu gibi, sağlık, telekom, bulut bilişim gibi sektörel uygulama rehberleri de yer almaktadır. ISO 27019 standardı da, 27000 ailesinin sektör spesifik standartlarından biri olup, enerji sektöründe kontrol sistemlerine yönelik bilgi güvenliği konularını ele almaktadır.
Enerji sektöründe hali hazırda ISO 27001 düzenlemelerinin bulunması, ISO 27019 standardına uyumluluğu da kolaylaştırmaktadır. ISO 27019 standardı ISO 27001 EK-A kontrollerinde enerji sektörüne özel rehber açıklamalara ek olarak, enerji altyapılarına ilişkin kontrol süreçlerinde ek güvenlik kontrolü hedefleri sunmaktadır.