ISO 28001 Liman & Gümrük Operasyonları Güvenlik Seti

ISO 28001 Liman & Gümrük Operasyonları Güvenlik Seti — Giriş ve Kapsam

Bu kılavuz, liman ve gümrük operasyonlarında ISO 28001 çerçevesine uygun, uygulamaya dönük ve risk temelli bir güvenlik seti sunar. Hedef; kara, deniz ve demiryolu bağlantılarındaki fiziksel ve operasyonel güvenlik zafiyetlerini belirlemek, etkilerini azaltmak ve kanıtlanabilir kayıt ile yönetmektir.

Kılavuz; tehdit modelleme, konteyner mühür yönetimi, rota ve sürücü güvenliği, X-ray/denetim entegrasyonu, acil durum protokolleri, tedarikçi güvenlik değerlendirmesi, olay raporlama & adli kayıt, sigorta uyumu, iş sürekliliği ve performans ölçütleri başlıklarında süreç ve kontrol setleri içerir.

Kapsam

• Fiziksel güvenlik: giriş-çıkış kontrolü, saha çevre güvenliği, antrepo/depo erişimi.
• Operasyonel güvenlik: yük elleçleme, sevkiyat bütünlüğü, izleme & izlenebilirlik.
• Teknik entegrasyon: X-ray/NII, sensörler, telematik, olay yönetimi yazılımları.

İlkeler

• Risk önceliği: Yüksek etki-olasılık matrisine göre kaynak tahsisi.
• Çok katmanlı savunma: Fiziksel, teknik ve idari kontrollerin birlikte tasarımı.
• Sürekli iyileştirme: Veri temelli gözden geçirme, DÖF ve standart güncellemeleri.

Tehdit Modelleme: Senaryolar, Önceliklendirme ve Doğrulama

Tehdit modelleme; kim, nerede ve nasıl zarar verebilir sorularına yanıt üreten sistematik bir çalışmadır. İç (çalışan/taşeron) ve dış (suç örgütü, sabotaj) kaynaklı tehditler, süreç–varlık–kontrol üçgeninde ele alınır.

Yöntem ve Adımlar

1. Süreç haritası: Kapı, rampa, saha, antrepo ve bilgi akışlarının çıkarılması.
2. Varlık envanteri: Konteyner, mühür, ekipman, kritik veriler ve yüksek değerli yükler.
3. Saldırı vektörleri: Mühür kırma, kimlik sahteciliği, GPS/rota manipülasyonu, içeriden yardım.
4. Risk puanlama: Olasılık × Etki, mevcut kontroller ve boşlukların belirlenmesi.
5. Doğrulama: Masaüstü tatbikat, sahada walkthrough ve red-team denemeleri.

Örnek Senaryolar

• Mühür ihlali: Varışta numara uyuşmazlığı, kablo gevşemesi, görsel iz farklılıkları.
• Yetkisiz araç/sürücü: Kapıda kimlik doğrulama atlatılarak sahaya giriş.
• Ekipman sabotajı: X-ray arızası oluşturma, kamera kör noktası yaratma.

Konteyner Mühür Yönetimi: Bütünlük ve İzlenebilirlik

Mühür yönetimi, sevkiyat bütünlüğünün en görünür kanıt katmanıdır. Politika; mühür tipi seçimi, uygulama, kayıt, kontrol ve açılış adımlarını kapsamalıdır.

Mühür Tipi ve Politika

• HSS cıvata mühür (ISO 17712): Yüksek değerli yükler için zorunlu.
• Kablo mühür: Çok duraklı/aktarmalı rotalarda ayarlanabilirlik sağlar.
• Kurcalama göstergeli plastik mühür: Düşük/orta riskte ikincil kontrolle desteklenir.

Uygulama–Kayıt–Kontrol

1. Atama: Mühür seri numarası konteyner ve sevkiyatla eşleştirilir.
2. Uygulama: Yetkili personel + “dört göz” doğrulaması.
3. Kayıt: Numara, tarih–saat, yer, uygulayan kişi ve fotoğraf.
4. Transit kontrol: Kapalı alan giriş-çıkışlarında görsel + gerekirse RFID/NFC doğrulaması.
5. Açılış: Varışta gözetim altında kesim ve durum kaydı.

İhlal Göstergeleri ve Tepki

Numara uyuşmazlığı, kablo gevşekliği, epoksi/çapak izi, kilit yuvasında zedelenme ihlal şüphesidir. Konteyner izole alana alınır, joint survey yapılır, chain-of-custody korunur.

Rota ve Sürücü Güvenliği: Yol Üzerinde Risk Yönetimi

Yol fazı, kapı–kapı taşımacılığın en değişken risk alanıdır. Çerçeve; ön koşullar, anlık izleme, insan faktörü ve olay tepkisi katmanlarından oluşur.

Ön Koşullar

• Sürücü doğrulaması: Kimlik, ehliyet sınıfı, psikoteknik, eğitim kayıtları.
• Araç uygunluğu: GPS/telematik, kapı sensörü, iç/dış kamera, panik butonu.
• Rota planı: Risk puanlı güzergâh ve onaylı mola noktaları.

Anlık İzleme & Eşikler

Telematik; hız, rotadan sapma, kapı açılımı ve plan dışı duruşlar için uyarı üretir. Kritik sapma teyitsiz kalırsa araç en yakın güvenli noktaya yönlendirilir ve eskalasyon başlatılır.

İnsan Faktörü

• Zorunlu mola ve vardiya limitleri.
• Kabin içi dikkat dağınıklığı/şerit ihlali uyarıları.
• Olay sonrası koçluk ve tekrar eğitimleri.

X-Ray ve Denetim Süreçleri Entegrasyonu: Risk Bazlı Yaklaşım

X-ray ve diğer tarama teknolojileri tek başına güvenlik sağlamaz; risk bazlı önceliklendirme ve denetim planıyla birlikte uygulanmalıdır. ISO 28001’e göre tarama süreçleri; cihaz kalifikasyonu, operatör eğitimi, raporlama ve kayıt saklama aşamalarını içerir.

Risk Bazlı Sevk

• Yüksek riskli sevkiyat: %100 tarama.
• Orta risk: Artan örnekleme oranı ile kontrol.
• Düşük risk: Rastgele örnekleme.

Cihaz Yönetimi

• Üretici talimatlarına uygun kalibrasyon.
• PTO (performans test objesi) denemeleri.
• Arıza ve bakım kayıtlarının tutulması.

Operatör Yetkinliği

Operatörler için düzenli eğitim, kör test ve çift yorumlama uygulamaları yapılmalı; yanlış negatifler periyodik olarak analiz edilmelidir.

Acil Durum ve İletişim Protokolleri

Acil durumlarda hızlı tepki ve net iletişim hayati önem taşır. Protokoller; komuta yapısı, bildirim akışı, tahliye planları ve kanıt zinciri süreçlerini kapsar.

Komuta Yapısı

• Olay Komuta Merkezi: Güvenlik, operasyon ve iletişim temsilcilerinden oluşur.
• Rol kartları: Her görev için sorumluluk ve iletişim bilgileri yazılıdır.
• Yedekleme: Ana karar verici yoksa vekâlet sistemi devreye girer.

Bildirim Zamanlaması

İlk 15 dakika: durum tespiti; 30 dakika: iç bildirim; 60 dakika: otorite/kolluk bildirimi. Medya iletişimi onaylı hazır metinlerle yapılır.

Tedarikçi Güvenlik Değerlendirmesi

Tedarikçiler zincirin en kritik halkalarındandır. ISO 28001’e göre güvenlik değerlendirmesi seçim, sözleşme, denetim ve sürekli izleme aşamalarını içerir.

Seçim Öncesi Analiz

• Geçmiş olay ve güvenlik vakaları.
• ISO ve akreditasyon sertifikaları.
• Finansal istikrar incelemesi.

Sözleşme Şartları

Güvenlik standartları, denetim hakları ve uyumsuzluk yaptırımları sözleşmede açıkça yazılmalıdır.

İzleme

• Yerinde denetimler ve kamera kontrolü.
• Habersiz kontroller.
• KPI bazlı aylık değerlendirmeler.

Olay Raporlama ve Adli Kayıtlar

Her güvenlik olayı kayıt altına alınmalı ve analiz edilmelidir. Raporlama süreci şeffaflık, izlenebilirlik ve delil değerine dayalıdır.

Olay Raporlama Adımları

1. Tespit: İhlal anında kayıt açılır.
2. İlk Yanıt: Güvenlik ekibi sahayı güvenlik çemberine alır.
3. Raporlama: 5N1K formatında detaylı kayıt yapılır.
4. Bildirim: Üst yönetim ve otoritelere bilgi verilir.

Adli Kayıtlar

Kamera görüntüleri, mühür parçaları, GPS logları ve tanık beyanları delil setinde toplanır. Chain-of-custody kaydı ile erişim kontrol edilir.

Sigorta Şartlarıyla Uyum

Liman ve gümrük güvenlik uygulamaları, sigorta poliçeleriyle doğrudan bağlantılıdır. Sigorta şirketleri, prim ve kapsamı belirlerken güvenlik kontrollerinin etkinliğini dikkate alır.

Poliçe Şartları

• Zorunlu kontroller: Kamera, GPS, mühür gibi önlemler poliçede şart koşulabilir.
• Bildirim süreleri: Olayların belirlenen zaman içinde rapor edilmesi gerekir.
• İstisnalar: Güvenlik ihlallerinden doğan kayıplar önlem eksikliği varsa kapsam dışı kalabilir.

Uyum ve Strateji

Raporlama sistemleri sigorta sağlayıcısının istediği formatta çalışmalı; yıllık tatbikatlar poliçe yenilemelerinde avantaj sağlar.

İş Sürekliliği Bağlantısı

Güvenlik ve iş sürekliliği birbirini tamamlayan sistemlerdir. Güvenlik ihlali operasyon kesintisi ve kayıplara yol açabilir. ISO 28001, ISO 22301 İş Sürekliliği Yönetimi ile birlikte uygulanmalıdır.

Bağlantılar

• Risk değerlendirmesi: Güvenlik riskleri BIA analizine entegre edilir.
• Acil durum planı: Sabotaj, hırsızlık ve siber saldırı senaryoları hazırlanır.
• Kaynak sürekliliği: Kritik personel, ekipman ve altyapı için yedekleme yapılır.

Tatbikat ve Testler

Güvenlik ve iş sürekliliği tatbikatları birlikte yapılmalıdır. Örn: mühür ihlali + yangın senaryosu.

Performans Ölçütleri

ISO 28001 uygulamalarının başarısı ölçülebilir KPI’larla takip edilmelidir. Bu göstergeler hem sonuç hem de erken uyarı verisi sağlar.

Lagging KPI

• Mühür ihlal oranı.
• 10.000 TEU başına olay sıklığı.
• X-ray yanlış negatif oranı.
• Kayıp/tahribat maliyeti.
• Operasyon kesinti süresi.

Leading KPI

• MTTD / MTTR süreleri.
• Rota sapma oranı.
• Geofence ihlalleri.
• Operatör yeterlilik puanı.
• Eğitim tamamlama oranı.

İç Tetkik ve Denetim Hazırlığı

İç tetkikler, güvenlik kontrollerinin etkinliğini doğrular. Program risk temelli olmalı; kritik süreçler daha sık incelenmelidir.

Tetkik Programı

• Mühür yönetimi ve yüksek riskli koridorlarda çeyrek dönem tetkik.
• Rastgele + hedefli örnekleme kombinasyonu.
• Bağımsız ve yetkin denetçiler.

Bulguların Yönetimi

Görüşme, kayıt inceleme ve gözlemlerle bulgular toplanır. Bulgular kritik/majör/minör olarak sınıflandırılır ve kapanış süreleri belirlenir.

Eğitim ve Farkındalık Programı

Güvenliğin sürdürülebilirliği, insan faktörünün güçlendirilmesine bağlıdır. Eğitimler rol bazlı tasarlanmalı, farkındalık çalışmaları düzenli yapılmalıdır.

Rol Bazlı Eğitim

• Operasyon ekibi: Mühür uygulama, kayıt ve kontrol.
• Sürücüler: Rota güvenliği, acil iletişim.
• X-ray operatörleri: Görüntü yorumlama ve testler.
• Yöneticiler: KPI takibi, kriz yönetimi.

Farkındalık

Kısa eğitim videoları, görsel panolar ve bültenlerle güvenlik kültürü pekiştirilmelidir.

Dijitalleşme ve Entegrasyon

Güvenlik süreçlerinin olgunlaşması için veri akış�� kesintisiz olmalıdır. Sistemler tek olay kimliği ile entegre edilmelidir.

Entegrasyon İlkeleri

• Tek veri modeli.
• API tabanlı entegrasyon.
• Rol bazlı erişim ve denetim izi.

Analitik ve Uyarı Motoru

Önceden tanımlı kurallar ve makine öğrenmesi ile anormallikler tespit edilir. Kritik eşiği aşan durumlarda otomatik eskalasyon yapılır.

Uyum Matrisi ve Dokümantasyon

ISO 28001 gereklilikleri süreç, kontrol ve kayıtlarla eşleştirilmelidir. Bu eşleştirme uyum matrisi adıyla denetimlerin temel referansıdır.

Doküman Yapısı

• Politikalar: Yönetim taahhüdü ve kapsam.
• Prosedürler: Mühür, rota, X-ray, acil durum.
• Talimatlar: Vardiya bazlı görev adımları.
• Kayıtlar: Form, fotoğraf, log, imzalı dosyalar.

Versiyon Yönetimi

Tüm belgeler versiyon kontrollü olmalı, değişiklikler ve gerekçeleri kayda alınmalıdır.