GH GambleHub

Periyodik incelemeler ve revizyonlar

1) Amaç ve prensipler

Periyodik İncelemeler (Periodic Reviews), politikaların uygunluğunu, erişimin doğruluğunu, kontrollerin etkinliğini ve denetime hazır olduğunu doğrulayan düzenlenmiş bir gözden geçirme döngüsüdür.

İlkeler:
  • Takvim ve öngörülebilirlik: sabit pencereler ve son tarihler.
  • Risk yönelimi: kritiklik ve KRI öncelikleri.
  • Automation-first: maksimum otomatik toplama ve otomatik kontrol.
  • Tasarım yoluyla kanıt: kanıt otomatik ve değişmez olarak üretilir (WORM).
  • Bir sahip: Her revizyonun bir sahibi, bir SLA'sı ve bir yükseltme planı vardır.

2) Periyodik inceleme türleri (portföy)

Revizyon türüFrekans (minimum)AmaçÇıktı dışlayıcıları
Politikalar/ProsedürlerYıllık olarak/Major'dagüncelleme gereksinimlerichangelog, yükseltme protokolü
Erişim Denetimi (IAM/IGA)Üç ayda bir (kritik)En az ayrıcalık ilkesi, SoDYeniden cert raporu, iptallerin listesi
Risk Kaydı (RBA-lite)Üç aylıkRisk oranı ayarlama/KRIGüncellenmiş Risk Kaydı
Kontrollerin etkinliği (CCM)AylıkGeçiş hızı, sürüklenme, FPR/TPRKontrol testi raporu
Sağlayıcılar/Dış Kaynak Kullanımı (VRM)Yıllık/tetikleyiciler tarafındanSertifika durumu/SLA/DDSatıcı incelemesi ve boşluk listesi
Tutma ve Yasal TutmaÜç aylıkTTL, kaldırma/dondurmaSilme raporu/hold-log
DR/BCP egzersizleriÜç aylık/yıllıkRTO/RPO ve süreçleri kontrol edinEgzersiz raporu ve CAPA
DSAR/GizlilikAylık/üç aylıkSLA, bütünlük, şikayetlerDSAR SLA raporu/kalitesi
Denetime hazır (kuru çalışma)Üç aylık"butona göre denetim paketi"kanıt paketi + makbuz
Lisanslar/sertifikalarregülatör programına göreToplantı son tarihleri ve kapsamıtaahhüt takvimi

3) Roller ve RACI

DenetimARCBEN
Politikalar/ProsedürlerUyumluluk BaşkanıPoliçe sahibiYasal/DPO, SecOpsİç denetim
IAM ErişimleriCISO/IAM LideriIGA/OpsTakım liderleriİç denetim
Risk kaydıRisk BaşkanıRisk OfisiUyum, FinansExec/Yönetim Kurulu
Kontroller (CCM)Uyumluluk MühKontrol sahipleriSecOps, VeriKomite
Sağlayıcılar (VRM)Satıcı MgmtVRM AnalistiYasal, güvenlikİç denetim
Retansiyon/Yasal BekletmeDPOVeri platformuYasal, SecOpsKomite
DR/BCPCTO/PlatformEsneklik kurşunOps, satıcılarYönetici
DSAR/GizlilikDPOGizlilik OpsVeri, Ürünİç denetim
Denetim kuru çalışmaUyumluluk BaşkanıGRCSahipleriYönetici

(R - Sorumlu; A - Sorumlu; C - Danışılan; I - Bilgilendirilmiş)

4) Yıllık takvim (örnek şablon)

Aylık: CCM kontrolleri, DSAR SLA, bulut sürüklenme/şifreleme raporları, feragat hijyeni.
Üç ayda bir (Q1/Q2/Q3/Q4): IAM re-cert, Risk Register, DR egzersizleri, Denetim kuru çalışma, tutma/silme.
Yıllık olarak: Politikaların/prosedürlerin tam revizyonu, kritik sağlayıcıların VRM incelemeleri, BIA (iş etkisi), denetim/sertifikasyon planı.

5) Herhangi bir revizyonun süreci (SOP)

1. Başlatma: revizyon kartı (kapsam, hedefler, kriterler, son tarihler, sahipler).
2. Veri toplama: otomatik yüklemeler/gösterge panoları, kanıt vitrini, örnekler.
3. Kontroller ve testler: kontrol listesi, geçiş/başarısızlık, sapmaların şiddeti.
4. CAPA/iyileştirme: sahiplerle boşluk listesi ve son tarihler, telafi edici önlemler.
5. Yükseltme ve sabitleme: çözüm protokolü, hash makbuzları, WORM arşivi.
6. İletişim: ITSM/GRC'de tek çağrı cihazı + görevler; SLA tarafından tırmanma.
7. Retrospektif: dersler, güncelleme standartları/şablonları.

6) Kontrol listesi şablonları

6. 1 Politikalar/Prosedürler

  • Düzenleyici referansların ve terimlerin alaka düzeyi
  • Ölçülebilirlik kontrol ifadeleri
  • SOP/Standartlara ve CCM Kurallarına Bağlanma
  • Lokalizasyonlar/eklentiler senkronize edildi
  • Changelog ve Sürüm, Komite Güncelleme

6. 2 IAM re-cert

  • Aktif hak ve sahiplerin tam listesi
  • SoD çatışmaları, yetim hesapları, JIT istisnaları
  • İptal/düşürme kanıtı
  • Satıcı Erişimleri ve SSO Federasyonları
  • Yeniden Yeterlilik Protokolü ve Suçluluk Ölçütleri

6. 3 VRM

  • Mevcut SOC/ISO/PCI raporları, kapsamı ve istisnaları
  • Dönem için SLA'lar/Olaylar/Krediler
  • Alt işlemciler ve veri konumları - sürüklenme yok
  • Boşluk listesi ve iyileştirme durumu
  • Çıkış planı ve ayna tutma onayı

6. 4 Retension/Yasal Bekletme

  • TTL ihlalleri = 0 kritik
  • Silme Raporları + Özet Özeti
  • Aktif Yasal Bekletme - Nedenler, Tarihler, Sahipler
  • Sağlayıcılarda ayna tutma
  • DSAR mantığı bozulmamış

6. 5 DR/BCP

  • RTO/RPO Testi ve Numune Kurtarma
  • İletişim oyun kitapları ve on-call
  • Egzersiz ve CAPA Sonuçları
  • Satıcılar katıldı/hazır olduklarını doğruladı
  • Belgeli post-mortem

7) Revizyon Portföy Metrikleri ve SLO'lar

Zamanında İnceleme Oranı: Zamanında tamamlanan denetimlerin yüzdesi (hedef ≥ %95).
Kanıt Hazırlığı: Tam eser seti ile % revizyonlar (%100 hedef).
CAPA Zamanında: SLA tarafından kapatılan iyileştirmelerin %'si (ciddiyete göre).
Bulguları Tekrarla: 12 ayda tekrarlanan yorumların oranı (trend ↓).
Erişim Hijyeni: Yenileme sonrası eski hakların payı (hedef ≤ %2).
Satıcı Sertifikası Tazeliği: Kritik sağlayıcılardan alınan mevcut sertifikaların yüzdesi (%100 hedef).
Denetime Hazır Süre: Denetimden sonra "denetim paketini" toplama zamanı (≤ 8 saat).

8) Gösterge panoları (minimum set)

Takvim Görünümü: SLA/delinquencies ile çeyreğe göre revizyonların haritası.
Review Pipeline: статус (Planned - In Progress - CAPA - Closed) (İngilizce).
Bulgular ve CAPA: açık/süresi dolmuş, sahipler, ciddiyet.
IAM Hijyen: yetim/SoD/JIT istisnalar, eğilimler.
VRM Isı Haritası: risk oranı sağlayıcıları, sertifikalar, olaylar.
Tutma ve Bekletme: TTL ihlalleri, kaldırma hacimleri, aktif bekletme.
Denetim Hazırlığı: "Düğmeyle" bütünlük, karma paket çapaları.

9) Eserler ve depolama

Revizyon protokolü (gündem, sonuçlar, kararlar, sahip/vade).
Denetimlerin/örneklerin listesi ve sonuçları (başarılı/başarısız).
Tarihler ve başarı ölçümleri ile Gap listesi ve CAPA.
Yükleme ve raporların hash makbuzları; WORM/Nesne Kilidi.

Güncellenmiş politika/prosedür sürümleri ve Controlling'e eşleme

10) İstisna yönetimi (feragat)

Düzeltme zamanında mümkün değilse tespit edilen her boşluk için verilir.
Sebep, telafi edici önlemler, son kullanma tarihi, sahip/plan içerir.
Gösterge tablosunda görünür; Otomatik eskalasyon süresi dolmadan 14/7/1 gün önce.

11) Entegrasyonlar

CCM/Compliance-as-Code - Kontrol testi kuralları revizyonda otomatik olarak çalıştırılır.
GRC: Denetim Kaydı, Bulgular, CAPA, Feragatlar, SLA ve Raporlama.
Kanıt Depolama: Tüm malzemelerin hash sabitleme ile otomatik arşivlenmesi.
ITSM: sistem sahiplerine verilen görevler ve yükselmeler.
VRM: Sağlayıcıların/sertifikaların durumlarını yukarı çeker.
LMS: Denetim Sonuçlarına Dayalı Büyük Değişim Kursları/Sertifikaları.

12) Antipatterns

CAPA ve sahipleri olmadan "gösteri için" revizyonlar.
Takvim ve öngörülebilirlik eksikliği - gecikmeler ve yangın modu.
Karma makbuzları ve WORM'ler olmadan manuel yüklemeler - tartışmalı kanıtlar.
Kapsam karması (politikalar gereksinimleri değiştirir, ancak SOP'lar/denetimler güncellenmez).
Son kullanma tarihi ve tazminatı olmayan "ebedi" feragatler.
Risk iştahı/komitesi ile bağlantı yok - kararlar ölçeklenmiyor.

13) Olgunluk modeli (M0-M4)

M0 Hell-hoc: Düzensiz kontroller, Excel'de raporlar, sahipsiz.
M1 Zamanlanmış: takvim ve temel kontrol listeleri, eserlerin depolanması.
M2 Managed: GRC kayıt defteri, gösterge panoları, SLA/eskalasyon, WORM arşivi.
M3 Entegre: JMA/ascode, otomatik kanıt, kuru çalıştırma düğmesi denetimi.
M4 Sürekli Güvence: KRI'ları, otomatik yeniden planlama, uçtan uca CAPA risklerini, CAPA revizyonlarını tahmin edin.

14) İlgili wiki makaleleri

KPI'lar ve uyumluluk metrikleri

Risk Bazlı Denetim (RBA)

Sürekli Uyumluluk İzleme (CCM)

Kanıt ve belgelerin depolanması

Günlüğe Kaydetme ve Denetim İzi

Uyum politikası değişim yönetimi

Durum Tespiti ve Dış Kaynak Kullanımı Riskleri

Risk Yönetimi ve Uyum Komitesi

Toplam

Periyodik incelemeler ve revizyonlar, uygunluğu bir "sorun yanıtı'ndan şeffaf bir iyileştirme hattına dönüştürür: sabit bir takvim, otomatik denetimler, kaliteli eserler, zamanında CAPA'lar ve herhangi bir denetim için öngörülebilir hazırlık.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Telegram
@Gamble_GC
Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.