GH GambleHub

Politikalar ve Prosedürler Yaşam Döngüsü

1) Neden yaşam döngüsünü yönetin

Politikalar ve prosedürler "oyunun kurallarını" belirler: riskleri en aza indirir, uyumluluğu sağlar (GDPR/AML/PCI DSS/SOC 2, vb.), uygulamaları birleştirir ve öngörülebilirliği arttırır. Resmi bir yaşam döngüsü (Policy Management Lifecycle, PML), denetçiler için kanıtların varlığının yanı sıra belgelerin uygunluğunu ve uygulanabilirliğini garanti eder.

2) Belge hiyerarşisi (taksonomi)

Politika: zorunlu olan ve neden; prensipler ve zorunlu şartlar.
Standart-Ölçülebilir normları belirtir (örneğin, şifreleme, TTL, SoD).
Prosedür/SOP: adım adım nasıl yapılır; Roller, tetikleyiciler, kontrol listeleri.
Kılavuz/En İyi Uygulamalar: Tavsiye edilir, ancak kesinlikle gerekli değildir.
Playbook (operasyonel runbook): tepki senaryoları (olaylar, DR, DSAR).
İş talimatı: bir komut/hizmet için yerel detaylandırma.

Bağlantılar: Politikalar ↔ standartlar ↔ prosedürler ↔ oyun kitapları. Her belgenin kontrol ifadeleri ve metrikleri vardır.

3) Roller ve Sorumluluklar (RACI)

RolSorumluluk
Belge sahibi (A)İçerik Bütünlüğü, Uygunluk, Yürütme Metrikleri
Politika Sorumlusu/Yazar (R)Geliştirme, güncelleme, onaylar, yorumlara yanıt
Yasal/DPO (C)Normların yorumlanması, gizlilik/iş hukuku ile çatışmalar
Uyumluluk/GRC (R/C)Gereksinimlere eşleme, sürüm oluşturma ve kalifikasyon
CISO/SecOps (C)Teknik fizibilite, kontrol önlemleri
Veri Platformu/IAM/IT (C)Sistemlere entegrasyon, kontrollerin otomasyonu
İK/L & D (R)Eğitim, sertifikasyon, geçiş kaydı
İç denetim (I)Kapsama ve etkinliğin bağımsız olarak doğrulanması
Yönetici Sponsoru/Komitesi (A)Onay, önceliklendirme, kilitlerin serbest bırakılması

(R - Sorumlu; A - Sorumlu; C - Danışılan; I - Bilgilendirilmiş)

4) Yaşam Döngüsü Kilometre Taşları (PML)

1. Talebin belirlenmesi

Tetikleyiciler: yeni düzenlemeler, olaylar, denetim sonuçları, hizmet uygulaması, yeni bir yargı alanına geçiş.

2. Taslak ve gerekçe

Kapsam, hedefler, terimlerin tanımları.
Kontrol tabloları + risk temeli.
Norm haritalama (GDPR/AML/PCI/SOC 2, vb.).
Ölçülebilir metrikler ve SLO/SLA (örneğin, DSAR ≤ 30 gün).

3. Peer review

Yasal/DPO, Güvenlik, İşlemler, Veri/IAM; Yorumların kaydedilmesi, kararların protokolü.

4. Fizibilite ve maliyetlerin tahmin edilmesi

Süreç/sistem etki analizi, otomasyon ihtiyacı, rol değişiklikleri.

5. Onay

Politika Kurulu veya Yönetici Sponsoru. Kimlik ve sürüm atanıyor.

6. Yayın ve İletişim

Politika Portalı (GRC/Confluence) + Bildirimler.
Hedef rollerin zorunlu niteliği (okuma ve anlama).
SSS/geniş bir kitle için kısa'tek çağrı cihazı ".

7. Uygulama ve Eğitim

L&D programları, e-öğrenme, posterler/notlar, onboarding dahil.

8. Yürütme ve İzleme

Politikalar, standartlar, prosedürler, otomatik kontroller (Kod Olarak Uyumluluk). Gösterge tabloları, uyarılar, biletlerin düzeltilmesi.

9. İstisna Yönetimi (Feragat)

Gerekçeli resmi talep, risk değerlendirmesi, son kullanma tarihi, telafi edici önlemler, istisnaların kaydı, periyodik inceleme.

10. Revizyon ve Değişim

Düzenli inceleme (genellikle yıllık olarak veya tetikleyicilerle). Değişim sınıfları: Majör/Minör/Acil Durum. Sürüm, değişiklik, prosedürlerin geriye dönük uyumluluğu.

11. Denetim ve performans izleme

İç Denetim/Dış İncelemeler: Tasarım ve Operasyonel Etkinlik Testleri, Örnekleme, Kural Reperformları.

12. Arşivleme ve Hizmetten Çıkarma (Sunset)

Değiştirme/birlik beyanı, göç planı, bağlantıların aktarılması, özet özet ile WORM'a arşiv.

5) Politika meta verileri (minimum kompozisyon)

Kimlik, Sürüm, Durum (Taslak/Aktif/Kullanımdan Kaldırılmış/Arşivlenmiş), Yayın/Revizyon Tarihi, Sahibi, Kişiler.
Kapsam (ne/nerede/kimin için), Yargı alanları ve istisnalar.
Terimlerin ve kısaltmaların tanımları.
Zorunlu gereksinimler (kontrol ifadeleri) + ölçülebilir göstergeler.
Prosedüre göre RACI.
Referanslar/bağımlılıklar (standartlar, prosedürler, oyun kitapları).
Yönetim prosedüründen feragat eder.

İlişkili riskler ve KRI/KPI

Eğitim ve yeterlilik gereksinimleri.
Sürüm geçmişi (changelog).

6) Sürüm Oluşturma ve Değişim Yönetimi

Sınıflandırma:
  • Büyük: ilkelerin değiştirilmesi/zorunlu gereksinimler; Requalification gereklidir.
  • Minör: ifadeler/örnek düzenlemeler; Zorunlu sertifika olmadan bildirim.
  • Acil durum: Olay/düzenleyici nedeniyle hızlı düzenlemeler; Post factum tam inceleme.
Örnek sürüm geçmişi:
VersiyonYazıDeğişikliklerTarihOnaylama
2. 0BinbaşıTTL tarafından güncellenen Legal Hold ile ilgili yeni bölüm2025-05-10Politika Kurulu
1. 3MinörAçıklığa kavuşturulmuş DSAR/PII terimleri2025-02-01Sahibi
1. 2EAcil durumGeçici PI ihracat yasağı2025-01-12CISO

7) Yerelleştirme ve yargı çakışmaları

Kurumsal dilde ana sürüm + yerel uygulamalar (Ülke Eki).
Çeviriler - terminolojik bir sözlük aracılığıyla; yasal doğrulama.
Tutarsızlık kontrolü: Yerel sürüm, Master gereksinimlerini güçlendirebilir ancak zayıflatamaz.

8) Sistemler ve verilerle entegrasyon

GRC platformu: belge kaydı, durumlar, sahipler, inceleme döngüleri, feragat kaydı.
IAM/IGA: Eğitim ve değerlendirmeleri rollere bağlamak; Geçmeden erişimi reddetmek.
Veri Platformu: veri dizini, soy, duyarlılık etiketleri; TTL/retentions kontrolü.
CI/CD/DevSecOps: maç kapıları; Kod olarak politika testleri ve kanıt toplama.
SIEM/SOAR/DLP/EDRM: yürütme kontrolü, uyarılar ve iyileştirme oyun kitapları.
HRIS/LMS: kurslar, testler, tamamlama kanıtı.

9) Performans Ölçümleri (KPI/KRI)

Kapsam: Zamanında kalifiye olan çalışanların/rollerin yüzdesi.
Politikanın Benimsenmesi: Standartlarda/prosedürlerde gereksinimlerin uygulandığı süreçlerin oranı.
İstisna Oranı, aktif feragat sayısı ve süresi dolan %'dir.
Drift/İhlaller: otomatik kontroller tarafından yapılan ihlaller.
Denetim Hazırlık Süresi: Belirli bir politika için kanıt seçme zamanı.
Cadence Güncellemesi - Revizyon son tarihini geçen belgelerin yüzdesi.
Ortalama Güncelleme Süresi (MTTU) tetikleyiciden aktif sürüme.

10) Feragat Yönetimi - Süreç

1. Nedeni, riskleri, dönemi, telafi edici önlemleri açıklayan talep.
2. Risk değerlendirmesi ve onayı (Sahip + Uygunluk + Yasal).
3. Kayıt kaydı; Kontrollere ve sistemlere bağlanır.
4. İzleme ve gözden geçirme/kapatma hatırlatıcıları.
5. Komite kararıyla otomatik çekilme veya yenileme.

11) Denetim ve performans incelemesi

Tasarım vs İşletim Etkinliği: Gereksinimlerin kullanılabilirliği ve gerçek performans.
Örnekleme/Analiz: vakaların örneklenmesi, IaC karşılaştırması ↔ gerçek konfigürasyon, CaC kuralları reperform.
Takip: iyileştirme zamanlama kontrolü, tekrarlanan bulguların izlenmesi.

12) Kontrol listeleri

Politika Oluşturma/Güncelleme

  • Tanımlanmış hedefler ve kapsam; Terimlerin tanımları verilmiştir.
  • Zorunlu gereksinimler ve metrikler öngörülmüştür.
  • Düzenleyici/standart haritalama gerçekleştirildi.
  • Hakem incelemesi geçti (Yasal/SecOps/İşlemler/Veriler).
  • Tahmini çaba ve uygulama planı.
  • Komite/Sponsor onayı.
  • Portalda yayınlama + iletişim.
  • Eğitim/değerlendirme yapılır.
  • Güncellenmiş ilişkili standartlar/prosedürler/oyun kitapları.
  • Kontrol ve kanıt toplama kurulur.

Yıllık revizyon

  • Düzenleyici ve risk değişiklikleri gözden geçirildi.
  • İhlal analizi/feragat/denetim bulguları dikkate alınır.
  • Güncellenmiş metrikler ve SLO/SLA.
  • Requalification gerçekleştirildi (eğer Major ise).
  • Güncellenmiş changelog ve yerelleştirme durumları.

13) Politika yapısı şablonu (örnek)

1. Amaç ve kapsam

2. Tanımlar ve kısaltmalar

3. Kontrol ifadeleri

4. Roller ve Sorumluluklar (RACI)

5. Standartlar/Prosedürler/Playbooks (bağlantılar)

6. Yürütme Metrikleri ve İzleme

7. Feragat ve telafi edici önlemler

8. Eşleme

9. Eğitim ve sertifikasyon

10. Belge yönetimi (sürümler, revizyonlar, kişiler)

14) Belge yönetimi ve numaralandırma

Kimlik biçimi: 'POL-SEC-001', 'STD-DATA-021', 'SOP-DSAR-005'.
Portal için tek tip adlandırma kuralları ve etiketleri: etki alanı, standart, denetim konuları.
"Kırık bağlantıların" kontrolü, gün batımında/belgeleri birleştirirken otomatik olarak yönlendirir.

15) Riskler ve antipatternler

"Uygulama politikası yok": standartlar/prosedürler/kontroller yok - feragatlerin ve ihlallerin büyümesi.
Ölçülebilirliği olmayan sözel formüller: denetim ve otomasyona uygun değildir.
Belgeler arasındaki kopyalar ve çakışmalar: tek bir sahip/dizin yoktur.
Eğitim ve sertifikasyon eksikliği: anlamadan resmi onay.
Sürüm ve lokalizasyon kontrolü yok: tutarsızlıklar, düzenleyici riskler.

16) PML Olgunluk Modeli (M0-M4)

M0 Belgesel: dağınık dosyalar, nadir güncellemeler, manuel postalar.
M1 Kataloğu: birleştirilmiş kayıt defteri, temel meta veriler, manuel revizyonlar.
M2 Managed: resmi RACI, düzenli denetimler, değerlendirmeler, feragat kayıtları.
M3 Entegre: GRC + IAM/LMS, kod olarak ilke, otomatik kontroller ve kanıtlar.
M4 Sürekli Güvence: kontroller ve düğme raporlama, yerelleştirmeler/sürümler otomatik olarak senkronize edilir, risk tetikleyicileri güncellemeleri tetikler.

17) İlgili wiki makaleleri

Sürekli Uyumluluk İzleme (CCM)

Uyumluluk ve raporlama otomasyonu

Yasal Tutma ve Veri Dondurma

Tasarım ve Veri Minimizasyonu ile Gizlilik

DSAR: kullanıcı veri istekleri

İş Sürekliliği Planı (BCP) ve DRP

PCI DSS/SOC 2 Kontrol ve Sertifikasyon

Toplam

Etkili bir politika yaşam döngüsü yönetilen bir sistemdir: tek bir taksonomi, şeffaf roller, ölçülebilir gereksinimler, düzenli revizyonlar ve otomatik kontroller. Böyle bir sistemde, belgeler toz toplamaz - çalışırlar, eğitirler, riskleri yönetirler ve herhangi bir denetime dayanırlar.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.