Bölüm çapraz barlaglar

1) Kross-departament barlaglary näme?

Bölümiň çapraz barlagy birnäçe funksiýalardan geçýän prosesleri we gözegçilikleri bilelikde barlamakdyr (mysal üçin Product → Engineering → SecOps → Legal/DPO → Payments → Support → Marketing). Maksat, ahyrky ssenariýanyň dogry ýerine ýetirilýändigini, syýasatçylaryň talaplarynyň berjaý edilendigini we audit-ready subutnamalarynyň tassyklanmagydyr.

• "jübüt" töwekgelçilikleri we SoD-gapma-garşylyklary ýüze çykarmak;
• talaplary birmeňzeş düşündirmek we jogapkärçiligiň "çal zolaklaryny" ýok etmek;
• CAPA tizlenmegi we gaýtalanmagyň öňüni almak.

2) Haçan uçurmaly (triggerler)

Täze/üýtgedilen kadalaşdyryjy talaplar ýa-da ýurisdiksiýalar.
Möhüm relizler/migrasiýa (arhitektura, tölegler, maglumatlar).
Hadysalar (IB/gizlinlik/tölegler) we post-mortemalar.
Daşarky audit/sertifikatlaşdyrmaga taýýarlyk.
Ýokary töwekgelçilikli domenler boýunça yzygiderli senenama (çärýek/ýarym ýyl).

3) Ssenariler (end-to-end) - näme barlanmaly

• Gizlinlik/DSAR: subýektiň haýyşy → eksport/aýyrmak → habarnama → žurnallaşdyrmak.
• Giriş dolandyryşy: hukuk soragy → apruv → provizhining → administratiw hereketler magazineurnaly → re-cert.
• Töleg yzyna gaýtarylmagy/chargeback: trigger → subutnamalary ýygnamak → üpjün edijä jogap → CAPA.
• Mahabat kampaniýasy: materiallary utgaşdyrmak → nyşana almak → ret etmek/razylyk bermek → subutnamalar arhiwi.
• Howpsuzlyk hadysasy: deteksiýa → izolýasiýa → Legal Hold → habarnamalar → post-mortem → CAPA.
• Retensiýa/maglumatlary aýyrmak: TTL → subprosessorlaryň ýok edilendigini tassyklamak → hasabat.

4) Rollar we RACI

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Usulyýet: nädip geçirmeli

Walkthrough: "Syýasatdan sözlere çenli".
ToD (Test of Design): gözegçilik tassyklamalarynyň, rollaryň, proseduralaryň, metrikleriň barlygyny we hilini barlamak.
ToE (Test of Operating Effectiveness): döwürdäki gözegçiligiň durnuklylygyny barlamak (30-90 günüň içinde nusga almak).
Reperform: amalyň garaşsyz gaýtalanmagy (mysal üçin, DSAR-eksport, elýeterliligi yzyna almak, töleg amallary).
Negative testing: gözegçilikden aýlanyp geçmek synanyşyklary (SoD, çäkler, syr-skan).

6) Nusgalar we gatlaklar

Risk-based: kritiki ýurisdiksiýalar/rollar/töleg usullary üçin n-den köp.
Stratifikasiýa: sebitler, müşderileriň görnüşleri, kanallar (web/app), gije-gündiziň wagty/ýük boýunça.
Kombinasiýalar: tötänleýin + maksatly (bosagalaryň çäkleri, edge-wakalar).

• Kritical: n ≥ 25 domen üçin + esasy ädimleri özgertmek.
• High: n ≥ 15; Medium: n ≥ 8; Low: n ≥ 5.

7) Garaşlylygy dolandyrmak we SoD

Garaşlylyk matrisi: hyzmatlar, satyjylar, açarlar, maglumatlar, rollar.
Borçnamalary bölmek düzgüni (SoD): Bir adamda birinji hatary birleşdirmegi we kritiki hereketleri ýerine ýetirmegi gadagan etmek.
Kritiki konturlar ýa-da anyk wersiýa boýunça synaglaryň dowamynda Change freeze.

8) Subutnamalar we üýtgemezlik

Ähli artefaktlar (düşürmeler, konfigalar, skrinkastlar, hasabatlar) heş-kwitansiýalar bilen WORM/Object Lock-da saklanylýar.
"Chain of Custody": kim/haçan/näme üçin ýygnady/okady.
Wagt-sinhronizasiýa we yzarlaýyş identifikatorlary (trace_id, request_id).
Her ädimi "Control Statement" we "Metrika" bilen baglanyşdyrmak.

9) CAPA we re-audit bilen integrasiýa

Her bir maliýe üçin - CAPA (Corrective/Preventive, möhletler, owner, öwezini dolmak çäreleri).
Kritiki ýagdaýlar boýunça 30-90 günden soň hökmany re-audit.
Policy-/assurance-as-code: CCM düzgünleri, CI/CD geýtleri, metrik bosagalar.

10) Metrikler we KRI

Coverage Rate: Çärýekde barlanan esasy geçiş ssenarileriniň% -i.
First-Pass Close: kritiki hiller bolmazdan barlaglaryň paýy.
On-time CAPA: Çäreleri wagtynda ýerine ýetirmek% (severity boýunça).
Repeat Findings (12 aý): domen/ýurisdiksiýa boýunça gaýtalanmalar tendensiýasy.
Controls Pass Rate: script bilen baglanyşykly "ýaşyl" CCM düzgünleriniň paýy.
Evidence Completeness: paketleriň dolulygy (Critical/High üçin maksat 100%).
SoD Violations: kesgitlenen/ýok edilen jogapkärçilik gapma-garşylyklary.
Vendor Mirror SLA: möhüm üpjün edijileriň aýna çärelerini tassyklamak.

11) Daşbordlar (iň az)

Scenario Pipeline: Planned → In Progress → Findings → CAPA → Re-audit.
Cross-Domain Heatmap: funksiýalar boýunça töwekgelçilikler/tapyndylar (IAM, Privacy, Payments, Marketing, Support).
Dependency Map: düwünler/satyjylar/gözegçiler, "gyzyl" zolaklar.
"Evidence Readiness": wakalar boýunça WORM/hashes/skrinkastlaryň bolmagy.
CAPA & Drift: çäreleriň ýagdaýy, 30-90 gün sürüşmä gözegçilik.

12) SOP (standart amallar)

SOP-1: Meýilleşdirmek

Ýokary töwekgelçilikli mowzuklary kesgitlemek → çärýek üçin 2-4 çatrykly ssenariýany saýlamak → eýelerini bellemek → senenama we freeze-penjireleri utgaşdyrmak.

SOP-2: Geçirmek

Kick-off → walkthrough → ToD/ToE → reperform → negative testing → evidence ýygnamak → gündelik sync-täzelenmeler.

SOP-3: Hasabat we çözgütler

"Kriteriýa → hakykat → täsir → maslahat" → Komitet (Close/Extend/Escalate) → Hasabatyň çap edilmegi we metrikleri.

SOP-4: CAPA we ýerine ýetiriş gözegçiligi

CAPA-ny GRC → öwezini dolmak çäreleri (zerur bolsa) → möhletler we RACI → ýerine ýetiriş tagtasy.

SOP-5: Re-audit we gözegçilik

30-90 günden soň - gaýtadan seçip almak we sanity-check → SSM/syýasat düzgünlerini täzelemek → aýlawyň ýapylmagy.

13) Artefaktlaryň şablonlary

13. 1 Barlag meýilnamasy (one-pager)

Ssenariýa, maksatlar, ýurisdiksiýalar

Gözegçilik/gözegçilik syýasaty

Nusgalar we usullar

Töwekgelçilikler/garaşlylyk/SoD

Wagt çäkleri, rollar, aragatnaşyk kanallary

13. 2 Finding kartoçkasy

Kriteriýa (policy/control) → Hakykat → Täsir → Maslahat

Severity, galyndy töwekgelçiligi

Subutnamalar (salgylanmalar/heşler)

CAPA: çäreler, owner, due, KPI, öwezini dolýan gözegçilikler

13. 3 Evidence pack

1. Syýasatlar/standartlar/SOP (wersiýalar, diffler)

2. Loglaryň/konfigurasiýalaryň nusgalary (CSV/JSON, heş-kwitansiýalar)

3. Taýmstamply ekran/ekran suratlary

4. SSM/metrik we synaglaryň hasabatlary

5. Jemleýji hasabat we Komitetiň kararlary

14) Aragatnaşyk we medeniýet

Soraglaryň belgisi we jogaplara SLA bolan bir kanal (portal/GRC).
Daşarky sessiýalarda/auditlerde "One voice", çylşyrymly soraglaryň skriptleri.
Aýyplamasyz: proseslere we gaýtalanmagyň öňüni almaga üns beriň.
Iň oňat tejribeleriň we patternleriň paýlaşylmagy, wakalaryň içerki kitaphanasy.

15) Antipatternler

Gözegçiliksiz "bölümiň içinde" barlag.
"Kagyz" ýazgysyz subutnamalar/hashes/WORM.
control statements/metriklere baglanyşyk ýok (ölçenmezlik).
SoD we bir adama garaşlylygy äsgermezlik etmek.
CAPA Preventive/kompensasiýa çäreleri bolmazdan, re-auditsiz.
Senenamasyz we töwekgelçilik boýunça ileri tutulmazdan bir gezeklik barlaglar.

16) Kämillik modeli (M0-M4)

M0 Ad-hoc: epizodiki barlaglar, usulyýet/metrikler ýok.
M1 Meýilleşdirilen: çärýek senenamasy, esasy şablonlar we rollar.
M2 Dolandyrylýan: risk-based nusgalary, WORM-evidence, daşbordlar, CAPA-linkowka.
M3 Integrirlenen: policy-/assurance-as-code, CI/CD-geýtlar, awtomatiki hasabatlar.
M4 Continuous Assurance: öňünden aýdylýan KRI, maslahat beriş ssenarileri, üznüksiz sanity-checks we sürüşme gözegçiligi.

17) Baglanyşykly wiki maddalary

Gaýtalanýan auditler we ýerine ýetirilişine gözegçilik

Düzgün bozmalary ýok etmek meýilnamalary (CAPA)

Yzygiderli laýyklyk gözegçiligi (CCM)

Syýasatlaryň we ülňüleriň ammary

Hukuk täzelenmelerini yzarlamak/Kadalaşdyryjy üýtgetmeleriň alertleri

Magazinesurnallary we Audit Trail

Daşarky auditorlar tarapyndan daşarky barlaglar

Hyzmatdaşlar üçin ylalaşyk gollanmasy

Jemi

Kross-bölüm barlaglary funksiýalaryň arasyndaky "bogunlary" töwekgelçilik zolagyndan gözegçilik zolagyna öwürýär: ahyrky ssenariler, ölçelip bolýan gözegçilikler, üýtgemeýän subutnamalar we CAPA → re-audit ýapyk aýlawy. Şeýle çemeleşme laýyklygy öňünden aýdyp bolýar, daşarky auditleri çaltlaşdyrýar we gaýtalanýan düzgün bozulmalaryň ähtimallygyny peseldýär.