Gerçekleştirme Süreçleri

Gerçekleştirme Süreçleri
Personal Copy of: Dr. Ali Ozkaya

: GERÇEKLEŞTİRME SÜREÇLERİ
ISACA®
160 ülkede 95,000 katılımcısıyla, ISACA (www.isaca.org), bilgi sistemleri (IS) güvence ve güvenliği, kurumsal BT
yönetişim ve yönetimi ve BT-bağlantılı risk ve uyum konusunda bilgi, sertifikasyon, örgütlenme desteği ve eğitimi
sağlayan dünya lideri bir kuruluştur. Kar amacı gütmeyen bağımsız bir kuruluş olarak 1969 yılında kurulan ISACA,
Uluslararası konferanslara ev sahipliği yapmakta, ISACA® Journal dergisini çıkartmakta, uluslararası IS denetim ve
kontrol standartlarını geliştirerek de katılımcılarının bilgi sistemlerine güvenmesine ve bir değer çıkartmasına yardımcı
olmaktadır.. Ayrıca, dünya çapında saygın Sertifikalı Bilgi Sistemleri Denetçisi (Certified Information Systems Auditor®
(CISA®)), Sertifikalı Bilgi Güvenliği Yöneticisi (Certified Information Security Manager® (CISM®)), Kurumsal BT
Yönetişim Sertifikası (Certified in the Governance of Enterprise IT® (CGEIT®)) ve Risk ve Bilgi Sistemleri Kontrol
Sertifikası (Certified in Risk and Information Systems ControlTM (CRISCTM)) unvanları aracılığıyla BT becerileri ve
bilgi birikimine dair öncülük yapmakta ve onay belgesi vermektedir. ISACA, BT profesyonelleri ve kurum liderlerine,
özellikle güvence, güvenlik, risk ve kontrol alanlarında olmak üzere BT yönetişim ve yönetim sorumluluklarını yerine
getirmelerinde ve işe yönelik değer yaratımında yardımcı olan COBIT® kümesini sürekli olarak güncellemektedir.
Feragatname
ISACA, COBIT® 5: Gerçekleştirme Süreçleri (‘Çalışma’) yayınını, esasen kurumsal BT yönetişimi (GEIT), güvence,
risk ve güvenlik profesyonellerine yönelik bir eğitim kaynağı olarak tasarlamıştır. ISACA, Çalışmanın herhangi bir
şekilde kullanımının başarılı bir sonucu garanti ettiğini iddia etmemektedir. Çalışmanın, tüm doğru bilgi, prosedür ve testi
içerdiği veya mantık çerçevesinde aynı sonucun elde edilmesine yönelik olan diğer bilgi, prosedür ve testleri içermediği
düşünülmemelidir. Herhangi özel bilgi, prosedür veya testin doğruluğunun belirlenmesinde okuyucular, özel sistemler ve
bilgi teknolojisi ortamının getirdiği belirli kurumsal BT yönetişimi (GEIT), güvence, risk ve güvenlik durumlarında kendi
profesyonel görüşlerini uygulamalıdır.
Disclaimer:
ISACA has designed this publication, COBIT® 5 (the ‘Work’), primarily as an educational resource for governance of enterprise
IT (GEIT), assurance, risk and security professionals. ISACA makes no claim that use of any of the Work will assure a successful
outcome. The Work should not be considered inclusive of all proper information, procedures and tests or exclusive of other
information, procedures and tests that are reasonably directed to obtaining the same results. In determining the propriety of any specific
information, procedure or test, readers should apply their own professional judgement to the specific GEIT, assurance, risk and security
circumstances presented by the particular systems or information technology environment.
Telif Hakkı
© 2012 ISACA. Tüm hakları saklıdır. Kullanım kılavuzu için, bkz., www.isaca.org/COBITuse.
Copyright
© 2012 ISACA. All rights reserved. For usage guidelines, see www.isaca.org/COBITuse.
Quality Statement:
This Work is translated into Turkish from the English language version of COBIT® 5 Enabling Processes by the ISACA® Istanbul
Chapter with the permission of ISACA®. The ISACA® Istanbul Chapter assumes sole responsibility for the accuracy and faithfulness
of the translation.
Kalite Beyanı:
Cobit 5 Gerçekleştirme Süreçleri’nin İngilizceden Türkçeye tercümesi ISACA® Istanbul Chapter tarafından, ISACA® ‘nın izniyle
tercüme edilmiştir. Tercümenin doğruluğu ve güvenilirliği münferiden ISACA® Istanbul Chapter’in sorumluluğundadır.
ISACA Geri bildirim: www.isaca.org/cobit

3701 Algonquin Road, Suite 1010 ISACA Bilgi Merkezi’ne katılım için:
Rolling Meadows, IL 60008 USA Telefon: www.isaca.org/knowledge-center
+1.847.253.1545 ISACA’yı Twitter’da takip etmek için:
Faks: +1.847.253.1443 https://twitter.com/ISACANews
E-posta: info@isaca.org Twitter’da COBIT sohbetine katılım için: #COBIT
Web sitesi: www.isaca.org ISACA’yı Linkedin’de takip etmek için:
ISACA, http://linkd.in/ISACAOfficial
ISACA’yı Facebook’ta takip etmek için:
www.facebook.com/ISACAHQ
COBIT® 5: Gerçekleştirme Süreçleri

ISBN 978-1-60420-450-6
2
TAKDİM ve TEŞEKKÜRLER
TAKDİM VE TEŞEKKÜRLER
ISACA aşağıda isimleri verilen kişilere takdirlerini sunar:
COBIT 5 Türkçe Tercüme Grubu

Kaya Kazmirci (Başkan)
Şahin Aydın
Bahar Yumrutaşlı
Tuğba Yıldırım
Hayrican Duygun
Aslı Doğrusöz
Ahmet Doğan
Berna Gökçe
Bülent Surijon
Cem Ergül
Cevat Oke
Ceyhun Akgün
Ekrem Zoroğlu
Hakan Tercan
Ihsan Büyükuğur
Inci Kezban Özalp
Mustafa Gülmüş
Necdet Almaç
Nihal Kindap
Seniz Kesiktaş
Serap Çolak
Sermet Ilgaz
Suheyl Hamasoğlu
Şerife Doğan
Yalçın Gerek
Cobit 5 Gerçekleştirme Süreçleri’nin tercümesiyle ilgili düzeltme önerilerinizi pdf üzerinden düzelti notu ekleyerek, Cobit5@isaca-
istanbul.org adresine iletmeniz rica olunur. Pdf dosyalarında yorum yapma konusunda bilgiye http://help.adobe.com/tr_TR/reader/
using/WSdd9016941e183011-1771a28812ac2a34771-8000.html linkinden ulaşılabilir.
COBIT 5 Özel Görev Grubu (2009-2011)

John W. Lainhart, IV, CISA, CISM, CGEIT, IBM Global Business Services, ABD, Eş Başkan
Derek J. Oliver, Ph.D., DBA, CISA, CISM, CRISC, CITP, FBCS, FISM, MInstISP, Ravenswood Consultants Ltd., İngiltere, Eş Başkan
Pippa G. Andrews, CISA, ACA, CIA, KPMG, Avustralya Elisabeth Judit Antonsson, CISM, Nordea Bank, İsveç Steven A. Babb,
CGEIT, CRISC, Betfair, İngiltere
Steven De Haes, Ph.D., University of Antwerp Management School, Belçika
Peter Harrison, CGEIT, FCPA, IBM Australia Ltd., Avustralya
Jimmy Heschl, CISA, CISM, CGEIT, ITIL Uzmanı, bwin.party digital entertainment plc, Avusturya
Robert D. Johnson, CISA, CISM, CGEIT, CRISC, CISSP, Bank of America, ABD Erik H.J.M. Pols, CISA, CISM, Shell International-
ITCI, Hollanda
Vernon Richard Poole, CISM, CGEIT, Sapphire, İngiltere
Abdul Rafeq, CISA, CGEIT, CIA, FCA, A. Rafeq and Associates, Hindistan
Geliştirme Takımı
Floris Ampe, CISA, CGEIT, CIA, ISO 27000, PwC, Belçika
Gert du Preez, CGEIT, PwC, Kanada
Stefanie Grijp, PwC, Belçika
Gary Hardy, CGEIT, IT Winners, Güney Afrika
Bart Peeters, PwC, Belçika
Dirk Steuperaert, CISA, CGEIT, CRISC, IT In Balance BVBA, Belçika
3
Çalıştay Katılımcıları
Gary Baker, CGEIT, CA, Kanada
Brian Barnier, CGEIT, CRISC, ValueBridge Advisors, ABD
Johannes Hendrik Botha, MBCS-CITP, FSM, getITright Skills Development, Güney Afrika
Ken Buechler, CGEIT, CRISC, PMP, Great-West Life, Kanada
Don Caniglia, CISA, CISM, CGEIT, FLMI, ABD
Mark Chaplin, İngiltere
Roger Debreceny, Ph.D., CGEIT, FCPA, University of Hawaii at Manoa, ABD
Mike Donahue, CISA, CISM, CGEIT, CFE, CGFM, CICA, Towson University, ABD
Urs Fischer, CISA, CRISC, CPA (Swiss), Fischer IT GRC Consulting & Training, İsviçre
Bob Frelinger, CISA, CGEIT, Oracle Corporation, ABD James Golden, CISM, CGEIT, CRISC, CISSP, IBM, ABD
Meenu Gupta, CISA, CISM, CBP, CIPP, CISSP, Mittal Technologies, ABD Gary Langham, CISA, CISM, CGEIT, CISSP, CPFA,
Avustralya
Nicole Lanza, CGEIT, IBM, ABD
Philip Le Grand, PRINCE2, Ideagen Plc, İngiltere
Debra Mallette, CISA, CGEIT, CSSBB, Kaiser Permanente IT, ABD Stuart MacGregor, Real IRM Solutions (Pty) Ltd., Güney Afrika
Christian Nissen, CISM, CGEIT, FSM, CFN People, Danimarka
Jamie Pasfield, ITIL V3, MSP, PRINCE2, Pfizer, İngiltere
Eddy J. Schuermans, CGEIT, ESRAS bvba, Belçika
Michael Semrau, RWE Almanya, Almanya
Max Shanahan, CISA, CGEIT, FCPA, Max Shanahan & Associates, Avustralya
Alan Simmonds, TOGAF9, TCSA, PreterLex, İngiltere
Cathie Skoog, CISM, CGEIT, CRISC, IBM, ABD
Dejan Slokar, CISA, CGEIT, CISSP, Deloitte & Touche LLP, Kanada
Roger Southgate, CISA, CISM, İngiltere
Nicky Tiesenga, CISA, CISM, CGEIT, CRISC, IBM, ABD
Wim Van Grembergen, Ph.D., University of Antwerp Management School, Belçika
Greet Volders, CGEIT, Voquals N.V., Belçika
Christopher Wilken, CISA, CGEIT, PwC, ABD
Tim M. Wright, CISA, CRISC, CBCI, GSEC, QSA, Kingston Smith Consulting LLP, İngiltere
Uzman Eleştirmenler
Mark Adler, CISA, CISM, CGEIT, CRISC, Commercial Metals Company, ABD
Wole Akpose, Ph.D., CGEIT, CISSP, Morgan State University, ABD
Krzysztof Baczkiewicz, CSAM, CSOX, Eracent, Polonya
Roland Bah, CISA, MTN Kamerun, Kamerun
Dave Barnett, CISSP, CSSLP, ABD
Max Blecher, CGEIT, Virtual Alliance, Güney Afrika
Ricardo Bria, CISA, CGEIT, CRISC, Meycor GRC, Arjantin
Dirk Bruyndonckx, CISA, CISM, CGEIT, CRISC, MCA, KPMG Advisory, Belçika
Donna Cardall, İngiltere
Debra Chiplin, Investors Group, Kanada
Sara Cosentino, CA, Great-West Life, Kanada
Kamal N. Dave, CISA, CISM, CGEIT, Hewlett Packard, ABD Philip de Picker, CISA, MCA, National Bank of Belgium, Belçika
Abe Deleon, CISA, IBM, ABD
Stephen Doyle, CISA, CGEIT, İnsan Hizmetleri Bölümü, Avustralya
Heidi L. Erchinger, CISA, CRISC, CISSP, System Security Solutions, Inc., ABD
Rafael Fabius, CISA, CRISC, Uruguay
4
Urs Fischer, CISA, CRISC, CPA (Swiss), Fischer IT GRC Consulting & Training, İsviçre
Bob Frelinger, CISA, CGEIT, Oracle Corporation, ABD
Yalcin Gerek, CISA, CGEIT, CRISC, ITIL Uzmanı, ITIL V3 Eğitimcisi, PRINCE2, ISO/IEC 20000 Danışmanı, Türkiye
Edson Gin, CISA, CISM, CFE, CIPP, SSCP, ABD
James Golden, CISM, CGEIT, CRISC, CISSP, IBM, ABD
Marcelo Hector Gonzalez, CISA, CRISC, Banco Central Republic Argentina, Arjantin
Erik Guldentops, University of Antwerp Management School, Belçika
Meenu Gupta, CISA, CISM, CBP, CIPP, CISSP, Mittal Technologies, ABD Angelica Haverblad, CGEIT, CRISC, ITIL, Verizon
Business, İsveç
Kim Haverblad, CISM, CRISC, PCI QSA, Verizon Business, İsveç
J. Winston Hayden, CISA, CISM, CGEIT, CRISC, Güney Afrika
Eduardo Hernandez, ITIL V3, HEME Consultores, Meksika
Jorge Hidalgo, CISA, CISM, CGEIT, ATC, Lic. Sistemas, Arjantin
Michelle Hoben, Media 24, Güney Afrika
Linda Horosko, Great-West Life, Kanada
Mike Hughes, CISA, CGEIT, CRISC, 123 Consultants, İngiltere
Grant Irvine, Great-West Life, Kanada
Monica Jain, CGEIT, CSQA, CSSBB, Southern California Edison, ABD
John E. Jasinski, CISA, CGEIT, SSBB, ITIL Uzmanı, ABD
Masatoshi Kajimoto, CISA, CRISC, Japonya
Joanna Karczewska, CISA, Polonya
Kamal Khan, CISA, CISSP, CITP, Saudi Aramco, Suudi Arabistan
Eddy Khoo S. K., Prudential Services Asia, Malezya
Marty King, CISA, CGEIT, CPA, Blue Cross Blue Shield NC, ABD Alan S. Koch, ITIL Uzmanı, PMP, ASK Process Inc., ABD
Gary Langham, CISA, CISM, CGEIT, CISSP, CPFA, Avustralya Jason D. Lannen, CISA, CISM, TurnKey IT Solutions, LLC, ABD
Nicole Lanza, CGEIT, IBM, ABD
Philip Le Grand, PRINCE2, Ideagen Plc, İngiltere
Kenny Lee, CISA, CISM, CISSP, Bank of America, ABD
Brian Lind, CISA, CISM, CRISC, Topdanmark Forsikring A/S, Danimarka
Bjarne Lonberg, CISSP, ITIL, A.P. Moller - Maersk, Danimarka
Stuart MacGregor, Real IRM Solutions (Pty) Ltd., Güney Afrika Debra Mallette, CISA, CGEIT, CSSBB, Kaiser Permanente IT, ABD
Charles Mansour, CISA, Charles Mansour Audit & Risk Service, İngiltere
Cindy Marcello, CISA, CPA, FLMI, Great-West Life & Annuity, ABD Nancy McCuaig, CISSP, Great-West Life, Kanada
John A. Mitchell, Ph.D., CISA, CGEIT, CEng, CFE, CITP, FBCS, FCIIA, QiCA, LHS Business Control, İngiltere
Makoto Miyazaki, CISA, CPA, Bank of Tokyo-Mitsubishi, UFJ Ltd., Japonya
Lucio Augusto Molina Focazzio, CISA, CISM, CRISC, ITIL, Bağımsız Danışman, Kolombiya
Christian Nissen, CISM, CGEIT, FSM, ITIL Uzmanı, CFN People, Danimarka
Tony Noblett, CISA, CISM, CGEIT, CISSP, ABD
Ernest Pages, CISA, CGEIT, MCSE, ITIL, Sciens Consulting LLC, ABD
Jamie Pasfield, ITIL V3, MSP, PRINCE2, Pfizer, İngiltere
Tom Patterson, CISA, CGEIT, CRISC, CPA, IBM, ABD
Robert Payne, CGEIT, MBL, MCSSA, PrM, Lode Star Strategy Consulting, Güney Afrika
Andy Piper, CISA, CISM, CRISC, PRINCE2, ITIL, Barclays Bank Plc, İngiltere
Andre Pitkowski, CGEIT, CRISC, OCTAVE, ISO27000LA, ISO31000LA, APIT Consultoria de Informatica Ltd., Brezilya
Geert Poels, Ghent University, Belçika
Dirk Reimers, Hewlett-Packard, Almanya Steve Reznik, CISA, ADP, Inc., ABD
Robert Riley, CISSP, University of Notre Dame, ABD Martin Rosenberg, Ph.D., Cloud Governance Ltd., İngiltere
Claus Rosenquist, CISA, CISSP, Nets Holding, Danimarka
5
Jeffrey Roth, CISA, CGEIT, CISSP, L-3 Communications, ABD Cheryl Santor, CISSP, CNA, CNE, Metropolitan Water District, ABD
Eddy J. Schuermans, CGEIT, ESRAS bvba, Belçika
Michael Semrau, RWE Almanya, Almanya
Max Shanahan, CISA, CGEIT, FCPA, Max Shanahan & Associates, Avustralya
Alan Simmonds, TOGAF9, TCSA, PreterLex, İngiltere
Dejan Slokar, CISA, CGEIT, CISSP, Deloitte & Touche LLP, Kanada
Jennifer Smith, CISA, CIA, Salt River Pima Maricopa Indian Community, ABD
Marcel Sorouni, CISA, CISM, CISSP, ITIL, CCNA, MCDBA, MCSE, Bupa Avustralya, Avustralya
Roger Southgate, CISA, CISM, İngiltere
Mark Stacey, CISA, FCA, BG Group Plc, İngiltere
Karen Stafford Gustin, MLIS, London Life Insurance Company, Kanada Delton Sylvester, Silver Star IT Governance Consulting,
Güney Afrika Katalin Szenes, CISA, CISM, CGEIT, CISSP, University Obuda, Hungary Halina Tabacek, CGEIT, Oracle Americas, ABD
Nancy Thompson, CISA, CISM, CGEIT, IBM, ABD
Kazuhiro Uehara, CISA, CGEIT, CIA, Hitachi Consulting Co., Ltd., Japonya
Johan van Grieken, CISA, CGEIT, CRISC, Deloitte, Belçika
Flip van Schalkwyk, Centre for e-Innovation, Western Cape Government, Güney Afrika
Jinu Varghese, CISA, CISSP, ITIL, OCA, Ernst & Young, Kanada
Andre Viviers, MCSE, IT Project+, Media 24, Güney Afrika
Greet Volders, CGEIT, Voquals N.V., Belçika
David Williams, CISA, Westpac, Yeni Zelanda
Tim M. Wright, CISA, CRISC, CBCI, GSEC, QSA, Kingston Smith Consulting LLP, İngiltere
Amanda Xu, PMP, Southern California Edison, ABD
Tichaona Zororo, CISA, CISM, CGEIT, Standard Bank, Güney Afrika
ISACA Yönetim Kurulu

Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (emekli), ABD, Uluslararası Başkan
Christos K. Dimitriadis, Ph.D., CISA, CISM, CRISC, INTRALOT S.A., Yunanistan, Başkan Yardımcısı
Gregory T. Grocholski, CISA, The Dow Chemical Co., ABD, Başkan Yardımcısı
Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Queensland Government, Avustralya, Başkan Yardımcısı
Niraj Kapasi, CISA, Kapasi Bangad Tech Consulting Pvt. Ltd., Hindistan, Başkan Yardımcısı
Jeff Spivey, CRISC, CPP, PSP, Security Risk Management, Inc., ABD, Başkan Yardımcısı
Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, RSM Bird Cameron, Avustralya, Başkan Yardımcısı
Emil D’Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd. (retired), ABD, Eski Uluslararası Başkan
Lynn C. Lawton, CISA, CRISC, FBCS CITP, FCA, FIIA, KPMG Ltd., Rusya Federasyonu, Eski Uluslararası Başkan
Allan Neville Boardman, CISA, CISM, CGEIT, CRISC, CA (SA), CISSP, Morgan Stanley, İngiltere, Direktör
Marc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Belçika, Direktör
Bilgi Kurulu
Marc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Belçika, Yönetim Kurulu Başkanı
Michael A. Berardi Jr., CISA, CGEIT, Bank of America, ABD
John Ho Chi, CISA, CISM, CRISC, CBCP, CFE, Ernst & Young LLP, Singapur
Phillip J. Lageschulte, CGEIT, CPA, KPMG LLP, ABD
Jon Singleton, CISA, FCA, Auditor General of Manitoba (emekli), Kanada
Patrick Stachtchenko, CISA, CGEIT, Stachtchenko & Associates SAS, Fransa
6
Çerçeve Komitesi (2009-2012)

Patrick Stachtchenko, CISA, CGEIT, Stachtchenko & Associates SAS, Fransa, Yönetim Kurulu Başkanı
Georges Ataya, CISA, CISM, CGEIT, CRISC, CISSP, Solvay Brussels School of Economics and Management, Belçika, Eski Başkan
Yardımcısı
Steven A. Babb, CGEIT, CRISC, Betfair, İngiltere
Sushil Chatterji, CGEIT, Edutech Enterprises, Singapur
Sergio Fleginsky, CISA, Akzo Nobel, Uruguay
John W. Lainhart, IV, CISA, CISM, CGEIT, CRISC, IBM Global Business Services, ABD
Mario C. Micallef, CGEIT, CPAA, FIA, Malta
Anthony P. Noble, CISA, CCP, Viacom, ABD
Derek J. Oliver, Ph.D., DBA, CISA, CISM, CRISC, CITP, FBCS, FISM, MInstISP, Ravenswood Consultants Ltd., İngiltere
Robert G. Parker, CISA, CA, CMC, FCA, Deloitte & Touche LLP (emekli), Kanada
Rolf M. von Roessing, CISA, CISM, CGEIT, CISSP, FBCI, Forfa AG, İsviçre
Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, RSM Bird Cameron, Avustralya
Robert E. Stroud, CGEIT, CA Inc., ABD
ISACA ve BT Yönetişim Enstitüsü (ITGI®) İştirakleri ve Sponsorları

Amerika Yeminli Mali Müşavirler Enstitüsü
Commonwealth Association for Corporate Governance Inc. -CAGG
FIDA Inform
Bilgi Güvenliği Forumu
Yönetim Muhasebecileri Enstitüsü A.Ş.
ISACA chapters
ITGI Fransa
ITGI Japonya
Norwich Üniversitesi
Brüksel Solvay Ekonomi ve Yönetim okulu
Ulusal Singapur Üniversitesi Stratejik Teknoloji Enstitüsü (STMI)
Antwerp Yönetim Okulu Üniversitesi
Kurumsal GRC Çözümleri A.Ş.
Hewlett-Packard
IBM
Symantec Corp.
7
Sayfa Özellikleri Boş Bırakılmıştır
8
İÇİNDEKİLER
İÇİNDEKİLER
Şekil Listesi .........................................................................................................................................................................................................................................11
Bölüm 1. Giriş ......................................................................................................................................................................................................................................................................................13
Bölüm 2. Kurumsal Hedefler ve BT-Bağlantılı Hedeflere Yönelik Hedef Basamakları ve Ölçütler ....15
COBIT 5 Hedef Basamakları ...........................................................................................................................................................................................................................................15
Basamak 1. Paydaşları Etkileyen Etmenler Paydaş İhtiyaçlarını da Etkiler ............................................................................................................................................15
Basamak 2. Paydaş İhtiyaçları Kurum Hedeflerine Basamak Oluşturur. .......................................................................................................................................................15
Basamak 3. Kurum Hedefleri BT-bağlantılı Hedeflere Basamak Oluşturur. ..........................................................................................................................................17
Basamak 4. BT-bağlantılı Hedefler Gerçekleştirici Hedeflerine Basamak Oluşturur .........................................................................................................17
COBIT 5 Hedef Basamaklarının Kullanımı ..................................................................................................................................................................................................17
COBIT 5 Hedef Basamaklarının Faydaları ......................................................................................................................................................................................................................................................................17
COBIT 5 Hedef Basamaklarının Dikkatli Şekilde Kullanımı .................................................................................................................................................................................................18
COBIT 5 Hedef Basamaklarının Uygulamada Kullanımı ...............................................................................................................................................................................................................18
Ölçütler: .....................................................................................................................................................................................................................................................................................18
Kurum Hedef Ölçütleri: ........................................................................................................................................................................................................................................................................................................................................18
BT-bağlantılı Hedef Ölçütleri: ...............................................................................................................................................................................................................................................................................................................19
Bölüm 3 – COBIT 5 Süreç Modeli ....................................................................................................................................................................................................................21

(Gerçekleştirici) Performans Yönetimi ................................................................................................................................................................................................................23
Bölüm 4 – COBIT 5 Süreç Referans Modeli ....................................................................................................................................................................................25

Yönetişim ve Yönetim Süreçleri ..................................................................................................................................................................................................................................25
Model ...............................................................................................................................................................................................................................................................................................25
Bölüm 5 – COBIT 5 Süreç Referans Kılavuzu İçerikleri .............................................................................................................................................27

Girdiler ve Çıktılar .........................................................................................................................................................................................................................................................................27
Süreçler için Genel Rehber .................................................................................................................................................................................................................................................29
Değerlendir, Yönlendir ve İzle (EDM)............................................................................................................. 31
Hizala, Planla ve Organize et (APO)................................................................................................................ 51
İnşa et, Tedarik Et ve Uygula (BAI). ................................................................................................................... 119
Tedarik, Hizmet ve Destek (DSS):. ....................................................................................................................... 173
İzle, Tespit Et ve Değerlendir (MEA) .................................................................................................................. 203
Ek A: COBIT 5 ve Eski ISACA Çerçeveleri Arasında Eşleştirme .......................................................................................................................219
Ek B. Kurum Hedefleri ve BT-Bağlantılı Hedeflerin Detaylı Eşleştirmesi ...........................................................................................227
Ek C. BT-Bağlantılı Hedefler ve BT-Bağlantılı Süreçlerin Detaylı Eşleştirmesi .......................................................................229
9
10
ŞEKİL LİSTESİ
Şekil Listesi
Şekil 1 COBIT 5 Ürün ailesi............................................................................................................................................... 13

Şekil 2 Yönetişim Amacı: Değer Yaratma.......................................................................................................................... 15
Şekil 3 COBIT 5 Hedef Basamaklarına Genel Bakış......................................................................................................... 16
Şekil 4 COBIT 5 Kurum Hedefleri . .................................................................................................................................. 16
Şekil 5 BT-bağlantılı Hedefler ........................................................................................................................................... 17
Şekil 6 Kurum Hedefi Örnek Ölçütleri............................................................................................................................... 18
Şekil 7 BT-bağlantılı Hedef Örnek Ölçütleri . ................................................................................................................... 19
Şekil 8 COBIT 5 Gerçekleştirici: Süreçler......................................................................................................................... 21
Şekil 9 COBIT 5 Yönetişim ve Önemli Yönetim Alanları................................................................................................. 25
Şekil 10 COBIT 5 Süreç Referans Modeli .......................................................................................................................... 27
Şekil 11 Çıktılar ................................................................................................................................................................... 28
Şekil 12 COBIT 4.1 Süreç Kontrolleri ve İlgili ISO/IEC 15504 Süreç Yetkinlik Özellikleri............................................. 29
Şekil 13 COBIT 5’te Yer Alan ISACA Çerçeveleri............................................................................................................ 219
Şekil 14 COBIT 5 ile eşleştirilen COBIT 4.1 Kontrol Hedefleri....................................................................................... 219
Şekil 15 COBIT 5 Tarafından kapsanan Val IT 2.0 Ana Yönetim Uygulamaları.............................................................. 224
Şekil 16 COBIT 5 Tarafından kapsanan Risk IT Ana Yönetim Uygulamaları.................................................................. 226
Şekil 17 COBIT 5 Kurum Hedeflerinin BT-bağlantılı Hedeflere Eşleştirilmesi............................................................... 228
Şekil 18 COBIT 5 BT-bağlantılı Hedeflerin Süreçlere Eşleştirilmesi............................................................................... 229
11
12
Bölüm 1
GİRİŞ
BÖLÜM 1: GİRİŞ
COBIT 5: COBIT 5, (Gerçekleştirme) Süreçleri ile birlikte tamamlanır (Şekil 1). Bu yayında, COBIT 5 süreç referans
modelinde tanımlanan süreçlere dair detaylı bir referans rehberi yer almaktadır.
Şekil 1 – COBIT 5 Ürün ailesi
COBIT® 5
COBIT 5 (Gerçekleștirme) Rehberleri
COBIT® 5: COBIT® 5: Diğer Gerçekleștirici
Gerçekleștirme Süreçleri Gerçekleștirme Bilgisi Rehberleri
COBIT 5 Profesyonel Rehberler

Bilgi Güvenliği Güvence İçin Risk İçin Diğer Profesyonel
COBIT® 5 Uygulama için COBIT® 5 COBIT® 5 COBIT® 5 Rehberler
COBIT 5 Çevrim-içi İșbirliği Ortamı
COBIT 5 çerçevesi, detaylı olarak ele alınacak beş temel prensip üzerine kuruludur ve BT’nin kurumsal yönetişim ve
yönetimindeki gerçekleştiriciler için kapsamlı rehberliği de bünyesinde bulundurur.
COBIT 5 ürün ailesi kapsamında aşağıdaki ürünler yer alır:

• COBIT 5 (Çerçeve)
• COBIT 5 Gerçekleştirici Kılavuzları. Yönetişim ve yönetim gerçekleştiricilerinin detaylı olarak ele alınmıştır. Bunlar; :
– COBIT 5: Gerçekleştirme Süreçleri
– COBIT 5: Gerçekleştirme Bilgileri (geliştirme aşamasında)
– Diğer Gerçekleştirme rehberleri için (www.isaca.org/cobit adresine bakınız)
• COBIT 5 Profesyonel Rehberleri. Bunlar;
– COBIT 5:Uygulama
– COBIT 5:Bilgi Güvenliği (geliştirme aşamasında)
– COBIT 5:Güvence (geliştirme aşamasında)
– COBIT 5:Risk (geliştirme aşamasında)
– Diğer profesyonel rehberler için(www.isaca.org/cobit adresine bakınız)
• COBIT 5 kullanımını desteklemek amacıyla ulaşılabilecek çevrimiçi işbirliği ortamı
Bu yayın aşağıdaki şekilde yapılandırılmıştır:

• Bölüm 2’de, COBIT 5 hedef basamakları- ayrıca COBIT 5 çerçevesinde de açıklanmıştır- kurumsal ve BT-bağlantılı
hedefler için bir grup örnek ölçüt ile yeniden özetlenmiş ve tamamlanmıştır.
• Bölüm 3’te, COBIT 5 süreç modeli açıklanmış ve buna ait bileşenler tanımlanmıştır. Bu bölüm, detaylı süreç bilgisi
kısmında hangi bilginin yer aldığını açıklar. COBIT 5 süreç modeli 37 yönetişim ve yönetim sürecini içerir; bu süreç
grubu COBIT 4.1, Val IT ve Risk IT süreçlerinin yerine geçer ve kurumsal BT yönetişim ve yönetiminin baştan sona
uygulanmasında gerekli olan tüm süreçleri içerir.
• Bölüm 4 iyi uygulamalar, standartlar ve uzman görüşlerine dayanılarak geliştirilen süreç referans modelinin bir şemasını
gösterir. Bu model ve içeriklerinin genel nitelikte olduğu ve kural koyucu nitelikte olmadığı ve kuruma uygun olarak
uyarlanması gerektiğinin anlaşılması önemlidir. Ayrıca, rehber, uygulamalar ve faaliyetleri nispeten yüksek seviyede
tanımlar ve süreç prosedürünün nasıl tanımlanması gerektiğini açıklamaz.
• Bölüm 5- bu yayındaki ana kısım- süreç referans modelindeki 37 COBIT 5 sürecinin tamamına yönelik detaylı süreç
bilgilerini içerir.
• Ek olarak eklenen bölümler;
–Ek A, COBIT 4.1, Val IT 2.0 ve Risk IT süreçleri (ve bunların kontrol amaçları veya yönetim uygulamaları) ve bunların
COBIT 5 eşdeğerleri arasında bir eşleştirme içerir.
–Ek B ve C, kurum hedeflerinin BT-bağlantılı hedeflerle ve BT-bağlantılı hedeflerin süreçlerle eşleştirildiği hedef
basamaklarına dair eşleştirme tablolarını içerir.
13
14
Bölüm 2 KURUMSAL HEDEFLER VE BT-BAĞLANTILI
HEDEFLERE YÖNELİK HEDEF BASAMAKLARI VE ÖLÇÜTLER
BÖLÜM2
KURUMSAL HEDEFLER VE BT-BAĞLANTILI HEDEFLERE
YÖNELİK HEDEF BASAMAKLARI VE ÖLÇÜTLER
COBIT 5 Hedef Basamakları
Kurumlar paydaşları için değer yaratmak amacıyla var olurlar. Bu nedenle, her kurum -ticari olsun veya olmasın- bir
yönetişim hedefi olarak değer yaratacaktır. Değer yaratma, risk optimum hale getirilirken faydanın da optimum kaynak
maliyetiyle gerçekleştirilmesi anlamına gelir. (Bkz., Şekil 2) Faydalar çeşitli şekillerde olabilir. Örneğin, ticari kurumlara
yönelik olarak finansal veya Devlet birimlerine yönelik olarak kamu hizmetleri olabilir.
Kurumların birçok paydaşı vardır ve “değer

Şekil 2- Yönetişim Hedefi: Değer Yaratma
yaratma ifadesi her biri için farklı- ve çoğunlukla
birbiriyle çelişebilen- anlama sahiptir. Yönetişim,
değer yaklaşımının farklı paydaşlar arasında karar
Paydașların
İhtiyaçları ve müzakeresi ile ilgilidir. Sonuç olarak, yönetişim
sistemi fayda, risk ve kaynak değerlendirme
kararları alınırken tüm paydaşları göz önünde
Sürer - Etkiler
bulundurmalıdır. Her kararda, aşağıdaki sorular

sorulabilir ve sorulmalıdır: Kimler fayda sağlıyor?
Riski kimler alıyor? Hangi kaynaklar gereklidir?
Paydaşlar, eyleme geçirilebilecek kurum stratejisi

Yönetișim Hedefi: Değer Yaratma altında tekrardan yapılanmalıdır. COBIT 5 hedef
basamakları, paydaşların ihtiyaçlarını özgün,
Fayda Risk Kaynak eyleme geçirilebilir ve özelleştirilmiş kurum
Gerçekleștirme Optimizasyonu Optimizasyonu hedefleri, BT-bağlantılı hedefler ve gerçekleştirici
hedefler halinde açıklayan bir mekanizmadır. Bu
açıklama, genel hedeflerin ve paydaş ihtiyaçlarının
desteklenmesinde kurumun her seviyesinde ve her
alanında özgün hedeflerin tayin edilmesine imkân tanır.
COBIT 5 hedef basamakları Şekil 3’te gösterilmiştir.
Aşama 1. Paydaşları Etkileyen Etmenler Paydaşların İhtiyaçlarını Etkiler

Paydaşların ihtiyaçları, strateji değişiklikleri, iş ve yasal düzenleyici ortamın değişmesi veya yeni teknolojiler gibi bir çok
etmenden etkilenebilir.
Aşama 2. Paydaşların İhtiyaçları Kurum Hedeflerine Basamak Oluşturur.
Paydaşların ihtiyaçları bir grup genel kurum hedefiyle ilişkilendirilebilir. Bu kurum hedefleri, kurumsal karne (BSC)1
ölçütleri kullanılarak geliştirilmiş olup, kurumun kendisi için tanımlayabileceği, yaygın olarak kullanılan bir hedef
listesini temsil eder. Bu liste ayrıntılı olmamasına rağmen, kuruma özgü olan çoğu hedef, genel kurum hedeflerinden bir
veya daha fazlasıyla kolaylıkla eşleştirilebilir.
COBIT 5, Şekil 4’te gösterildiği gibi, aşağıdaki bilgileri içeren 17 genel hedefi tanımlar:
• Kurum hedefinin uygun olduğu BSC boyutu
• Kurum hedefleri
• Üç ana yönetişim hedefiyle- fayda gerçekleştirme, risk ve kaynakların optimizasyonu- ilişki. (“P birincil ilişkiyi ve “S
ikincil ilişkiyi, yani kuvveti daha az olan ilişkiyi belirtir)
1 Kaplan, Robert S.; David P. Norton; The Balanced Scorecard: Translating Strategy into Action, Harvard University Press, ABD, 1996
15
Şekil 3 – COBIT 5 Hedef Basamaklarına Genel Bakış
Paydașları Etkileyen Etmenler

(Ortam, Teknolojinin Gelișimi, …)
Etki
Paydașların İhtiyaçları
Fayda Risk Kaynak
Gerçekleștirme Optimizasyonu Optimizasyonu
Bir sonraki basamak Ek D, COBIT 5
Kurum Hedefleri Șekil 4
Bir sonraki basamak Ek B
BT-bağlantılı Hedefler Șekil 5
Bir sonraki basamak Ek C
Gerçekleștirici Hedefleri
Şekil 4 – COBIT 5 Kurum Hedefleri

Yönetişim Amaçlarıyla İlişki
BSC Boyutu Kurum Hedefi Fayda Risk Kaynak
Gerçekleştirme Optimizasyonu Optimizasyonu
Finansal 1. İş yatırımlarının paydaş değeri P S
2. Rakip ürünler ve hizmetler portföyü P P S
3. Yönetilen iş riski (varlıkların korunması) P S
4. Dış kaynaklı yasa ve düzenlemelere uyum P
5. Finansal şeffaflık P S S
Müşteri 6. Müşteri odaklı hizmet kültürü P S
7. İş servis sürekliliği ve erişilebilirliği P
8. Değişen iş ortamına çevik tepkiler P S
9. Bilgi esaslı stratejik karar alma P P P
10. Servis tedarik maliyetlerinin optimizasyonu P P
İçsel 11. İş süreci fonksiyonelliğinin optimizasyonu P P
12. İş süreci maliyetlerinin optimizasyonu P P
13. Yönetilen iş değişiklik programları P P S
14. Operasyon ve kadro üretkenliği P P
15. İç politikalara uygunluk P
Öğrenme ve Büyüme 16. Yetenekli ve istekli insanlar S P P
17. Ürün ve iş yenilik kültürü P
16
Aşama 3. Kurum Hedefleri BT-bağlantılı Hedeflere Basamak Oluşturur

Kurum hedeflerinin başarısı, BT-bağlantılı2 hedeflerle (Şekil 5) ifade edilen birkaç BT-bağlantılı sonucu gerektirir.
Bilgi ve ilgili teknoloji için BT-bağlantılı temeller, BT kurumsal karnesinin (IT BSC) boyutlarıyla birlikte yapılandırılır.
COBIT 5, Şekil 5’te listelenen 17 BT-bağlantılı hedefi tanımlar.
Şekil 5- BT-bağlantılı Hedefler

BT BSC Boyutu Bilgi ve İlgili Teknoloji Hedefi
Finansal 01 BT ve iş stratejisinin hizalanması
02 İşin dış kanun ve yönetmeliklerle uyumlu olması için BT uyumu ve desteği
03 BT-Bağlantılı kararların verilmesinde yönetici kadronun taahhüdü
04 Yönetilen BT-Bağlantılı iş riski
05 BT-etkin yatırım ve hizmet portföylerinden gerçekleştirilen faydalar
06 BT maliyet, fayda ve riskinde şeffaflık
Müşteri 07 BT hizmetlerinin iş gereksinimlerine uyumlu olarak sağlanması
08 Uygulama, bilgi ve teknoloji çözümlerinin yeterli kullanımı
İçsel 09 BT Çevikliği
10 Bilgi, süreç altyapısı ve uygulamaların güvenliği
11 BT varlık, kaynak ve yetkinliklerinin optimizasyonu
12 Uygulamalar ve teknolojinin iş süreçlerine entegre edilmesiyle iş süreçlerinin gerçekleştirilmesi ve desteklenmesi
13 Fayda sağlayan programların zamanında, bütçe dahilinde, gereksinimleri karşılayacak şekilde ve kalite standartlarına
uygun olarak sunulması
14 Karar alma için güvenilir ve yararlı bilgilerin kullanılabilirliği
15 İç politikalarla BT uyumu
Sürekli Öğrenme ve 16 Yetkin ve istekli iş ve BT personeli
Büyüme 17 İşte yenilik için bilgi birikimi, uzmanlık ve girişimcilik
BT-bağlantılı hedefler ve kurum hedefleri arasındaki eşleştirme tablosu, Ek B’de yer almaktadır ve her kurum hedefinin,
birkaç BT-bağlantılı hedefle nasıl desteklendiğini göstermektedir.
Aşama 4. BT-bağlantılı Hedefler Gerçekleştirici Hedeflere Basamak Oluşturur

BT-bağlantılı hedeflerin başarılması, başarılı uygulama ve birkaç gerçekleştiricinin kullanımını gerektirir.
Gerçekleştiricilere şunlar dahildir:
• Prensipler, politikalar ve çerçeveler

• Süreçler
• Organizasyon yapıları
• Kültür, Etik ve davranış
• Bilgi
• Hizmetler, altyapı ve uygulamalar
• İnsanlar, beceriler ve yetkinlikler
Her sağlayıcı için, BT-bağlantılı hedefin desteklenmesinde bir grup özgün, ilgili hedef tanımlanabilir. Bu dokümanda,
süreç hedefleri detaylı süreç açıklamalarında yer alır. Süreçler, gerçekleştiricilerden biridir ve Ek C, BT-bağlantılı hedefler
ve COBIT 5 süreçleri arasında bir eşleştirme içerir.
COBIT 5 Hedef Basamaklarının Kullanımı

COBIT 5 Hedef Basamaklarının Faydaları
Hedef basamakları, kurumsal BT3 yönetişiminde uygulama, gelişme ve güvenceye yönelik olarak, kurumsal amaçlar
(stratejik) ve ilişkili riskler esasında önceliklerin tanımlanmasını sağladığından önemlidir. Uygulamada, hedef
basamakları:
2 Kurum hedeflerini başarmak için gerekli yegane ara fayda BT-bağlantılı sonuçlar değildir. Bir organizasyonda, finans ve pazarlama gibi diğer tüm fonksiyonel
alanlar da kurumsal hedeflerin başarısına katkıda bulunur, ancak COBIT 5 bağlamında sadece BT-bağlantılı faaliyetler ve hedefler ele alınır.
3 Hedef basamakları, Belçika’daki University of Antwerp Management School IT Alignment and Governance Institute tarafından gerçekleştirilen araştırmaya
dayanır.
17
• Farklı sorumluluk seviyelerinde ilgili ve somut hedef ve amaçları tanımlar

• Kurumsal hedefler esasında özgün uygulama, gelişme veya güvence projelerinin dahil edilmesi için ilgili rehberliği
bulmak üzere COBIT 5 bilgi tabanını filtreler.
• Kurumsal hedefleri başarmak için, gerçekleştiricilerin, ne kadar (bazen tümüyle operasyona özgüdür) önemli olduğunu
açıkça belirler ve bildirir.
COBIT 5 Hedef Basamaklarının Dikkatli Kullanımı

Hedef basamakları- kurumsal hedefler ve BT-bağlantılı hedefler arasında ve BT-bağlantılı hedefler ve COBIT 5
gerçekleştiricileri (süreçler dahil) arasındaki eşleştirme tablolarıyla birlikte- evrensel doğruları içermez ve kullanıcılar
bunları salt mekanik olarak kullanmaya çalışmamalı, bunun yerine bir rehber olarak kullanmalıdır. Aşağıdakiler dâhil
olmak üzere bunun birçok nedeni vardır:
• Her kurumun hedefleri bakımından farklı öncelikleri vardır ve bu öncelikler zamanla değişebilir.
• Eşleştirme tabloları kurumun büyüklüğü ve/veya sanayi kolu arasında ayrım yapmaz. Bu tablolar, genel olarak farklı
seviyelerdeki hedeflerin birbirleriyle nasıl ilişkili olduklarına dair bir çeşit ortak paydayı temsil eder.
• Eşleştirmede kullanılan göstergeler, iki önem veya ilgi seviyesini kullanarak, “ayrık ilgi seviyeleri varmış izlenimi
vermesine rağmen, gerçekte ise, eşleştirme, çeşitli benzerlik derecelerinin sürekliliğine daha yakındır.
COBIT 5 Hedef Basamaklarının Uygulamada Kullanımı

Bir önceki yasal uyarıdan, bir kurumun kendi hedef basamaklarını kullandığında her zaman uygulaması gereken birinci
basamağın, eşleştirmeyi kendi özgün durumunu hesaba katacak şekilde özelleştirmesi olduğu açıktır. Bir başka deyişle,
her kurum kendi hedef basamaklarını oluşturmalı, COBIT ile karşılaştırmalı ve ardından bunları iyileştirmelidir.
Örneğin, kurum:
• Stratejik önceliklerini, kurum hedeflerinin her biri için özgün “ağırlık veya önem derecesine göre belirlemek isteyebilir.
• Hedef basamaklarının eşleştirmelerini, kendi özgün ortamı, sanayi kolu vb. dikkate alarak doğrulamak isteyebilir.
Ölçütler
İlerleyen sayfalarda, her hedefin başarısını ölçmek üzere kullanılabilecek örnek ölçütler ile birlikte kurum hedefleri ve BT-
bağlantılı hedefler yer almaktadır. Bu ölçütler örnek olarak verilir ve her kurum listeyi dikkatli şekilde incelemeli, kendi
ortamı içinde ilgili ve başarılabilecek ölçütlere karar vermeli ve kendi puan çizelge sistemini oluşturmalıdır. Aşağıdaki
ölçütlere ek olarak, süreç hedefleri ve ölçütleri detaylı süreç açıklamalarında yer almaktadır.
Kurum Hedef Ölçütleri

Şekil 6’da, çerçeve yayınında tanımlanan tüm kurum hedefleri, her biri için örnek ölçütler ile birlikte yer almaktadır.
Şekil 6 – Kurum Hedefi Örnek Ölçütleri
BSC Boyutu Kurum Hedefi Ölçüt
Finansal 1. İş yatırımlarının •Paydaş beklentilerini karşılayan yatırımların yüzdesi

paydaş değeri •Beklenen faydaların gerçekleştirildiği ürün ve hizmetlerin yüzdesi
•Talep edilen faydaların elde edildiği veya geçildiği yatırımların yüzdesi
2. Rakip ürünler ve •Gelir ve/veya pazar payı hedeflerinin tutturulduğu veya geçildiği ürün ve hizmetlerin yüzdesi
hizmetler portföyü •Her bir yaşam döngüsü fazındaki ürün ve hizmetlerin oranı
•Müşteri memnuniyeti hedeflerinin tutturulduğu veya geçildiği ürün ve hizmetlerin yüzdesi
•Rekabet üstünlüğü sağlayan ürün ve hizmetlerin yüzdesi
3. Yönetilen iş riski •Risk değerlendirmesinin kapsadığı kritik iş hedefleri ve hizmetlerinin yüzdesi
(varlıkların korunması) •Risk değerlendirmesine tabi tutulmamış olan önemli olayların toplam olaylara oranı
•Kabul edilebilir risk seviyesini güncelleme sıklığı
4. Dış kaynaklı yasa •Ödemeler ve para cezaları dâhil kanunlara uyumlu olmamanın maliyeti
ve düzenlemeler ile •Kamuoyu açıklamasına veya olumsuz tanıtıma yol açan kanunlara uyumsuz sorunlarının sayısı
uyumluluk •İş ortaklarıyla yapılan sözleşmeli anlaşmalarla ilgili kanunlara uyumsuz sorunlarının sayısı
5. Finansal şeffaflık •Açıkça tanımlanmış ve onaylanmış beklenen maliyet ve faydaları olan ticari yatırımların yüzdesi
•Tanımlanmış ve onaylanmış işletme maliyetleri ve beklenen faydaları olan ürün ve hizmetlerin yüzdesi
•Kurum finansal bilgilerinde şeffaflık, mutabakat ve doğruluk ile ilgili ana paydaşların memnuniyet araştırması
•Kullanıcılara paylaştırılabilecek hizmet maliyetlerinin yüzdesi
18
Şekil 6 – Kurum Hedefi Örnek Ölçütleri (devamı)

BSC Boyutu Kurum Hedefi Ölçüt
Müşteri 6. Müşteri odaklı hizmet •BT hizmetleriyle ilgili olaylar yüzünden müşteri hizmetindeki aksamaların sayısı (güvenilirlik)
kültürü •Müşteri hizmet tedariğinin üzerinde anlaşılmış hizmet seviyelerini karşılamasından memnun iş paydaşlarının
yüzdesi
•Müşteri şikayetlerinin sayısı
•Müşteri memnuniyet araştırması sonuçlarının eğilimi
7. İş hizmet sürekliliği •Önemli olaylara yol açan müşteri hizmet kesintilerinin sayısı
ve kullanılabilirliği •Olayların ticari maliyeti
•Planlanmamış hizmet kesintileri yüzünden kaybedilen iş süreç saatlerinin sayısı
•Taahhüt edilen hizmet erişilebilirlik hedeflerinin bir fonksiyonu olarak şikayetlerin yüzdesi
8. Değişen iş ortamına •Kurumun yeni şartlara tepki verme yeteneğine dair yönetim kurulu memnuniyetinin seviyesi
çevik tepkiler •Güncel iş süreçleriyle desteklenen kritik ürün ve hizmetlerin sayısı
•Stratejik kurum amaçlarının, üzerinde anlaşılmış ve onaylanmış bir girişime döndürülmesi için geçen
ortalama süre
9. Bilgi esaslı stratejik •Karar alma konusunda yönetim kurulu ve yönetim kadrosunun memnuniyet derecesi
karar alma •Doğru olmayan bilgilere dayanan yanlış ticari kararların yol açtığı olayların sayısı
•Etkili ticari kararları verebilmek için destekleyici bilginin sağlanma süresi
10. Servis tedarik •Hizmet tedariği maliyet optimizasyon değerlendirmelerinin sıklığı
maliyetlerinin •Maliyet değerlendirmesine karşı hizmet seviyesi sonuçlarının eğilimi
optimizasyonu •Hizmet tedarik maliyetleri konusunda yönetim kurulu ve yönetim kadrosunun memnuniyet dereceleri
İçsel 11. İş süreç •İş süreç yetkinliği olgunluk değerlendirmelerinin sıklığı
fonksiyonelliğinin •Değerlendirme sonuçlarının eğilimi
optimizasyonu •İş süreç yetkinlikleri konusunda yönetim kurulu ve yönetim kadrosunun memnuniyet dereceleri
12. İş süreç •İş süreci maliyet optimizasyon değerlendirmelerinin sıklığı
maliyetlerinin •Maliyet değerlendirmesine karşı hizmet seviyesi sonuçlarının eğilimi
optimizasyonu •İş süreci maliyetleri konusunda yönetim kurulu ve yönetim kadrosunun memnuniyet dereceleri
13. Yönetilen iş •Zamanında ve bütçesi dâhilinde olan programların sayısı
değişiklik •Program tedariği konusunda memnun paydaşların yüzdesi
programları •BT tarafından gerçekleştirilmiş iş girişimleriyle başlatılan iş değişikliği farkındalık seviyesi
14. Operasyon ve kadro •Zamanında ve bütçesi dâhilinde olan programların/projelerin sayısı
verimliliği •Kıstaslarına kıyasla maliyet ve istihdam seviyeleri
15. İç politikalara •Politikaya uygun olmayan olayların sayısı
uygunluk •Politikaların esasını kavrayan paydaşların yüzdesi
•Etkili standartlar ve çalışma yöntemleriyle desteklenen politikaların yüzdesi
Sürekli 16. Yetenekli ve istekli •Kadro uzmanlığı ve yetenekleri konusunda paydaş memnuniyet seviyesi
Öğrenme ve insanlar •Makamı için gereken yetkinliğe ilişkin becerileri yetersiz olan kadro yüzdesi
Büyüme •Memnun kadro yüzdesi
17. Ürün ve iş yenilik •İş yenilik fırsatlarının farkında olma ve kavrama seviyesi
kültürü •Ürün ve yeniliğe dair uzmanlık ve fikirlerin seviyesi konusunda paydaş memnuniyeti
•Yenilikçi fikirlerden doğan onaylanmış ürün ve hizmet girişimlerinin sayısı
BT-bağlantılı Hedef Ölçütleri

Şekil 7’de, hedef basamaklarında tanımlanan tüm BT-bağlantılı hedefler yer almakta ve her hedef için örnek ölçütler
içermektedir.
Şekil 7 – BT-Bağlantılı Hedef Örnek Ölçütleri
BSC Boyutu BT-Bağlantılı Hedef Ölçüt
Finansal 01 BT ve iş stratejisinin •BT stratejik hedefleri tarafından desteklenen gereksinimlerin ve kurum stratejik hedeflerinin yüzdesi
hizalanması •Planlı program ve hizmet portföylerinin kapsamına dair paydaş memnuniyet seviyesi
•İş değeri faktörlerine eşleştirilen BT değer faktörlerinin yüzdesi
02 İşin dış kanun ve •Ödemeler ve para cezaları ve itibar kaybı etkisi dahil BT’ye uygun olmamanın maliyeti
yönetmeliklerle uyumlu •Yönetim kuruluna rapor edilen veya kamuoyu açıklamasına veya toplum önünde küçük düşmeye yol açan
olması için BT uyumu BT-Bağlantılı uygun olmama sorunlarının sayısı
ve desteği ••BT hizmet sağlayıcılarla yapılan sözleşmeli anlaşmalar ile ilgili uyumsuzluk sayıları
•Uyumluluk değerlendirmelerinin kapsamı
03 BT-Bağlantılı BT kararları için açıkça tanımlanmış yükümlülükleri olan yönetici kadro görevlerinin yüzdesi
kararların verilmesinde BT’nin önceden önlemler alınacak şekilde yönetim kurulu toplantı gündeminde olma sayısı
yönetici kadronun BT strateji (yönetim) kurulu toplantılarının sıklığı
taahhüdü BT-Bağlantılı yönetim kararlarının icra oranı
19
Şekil 7 – BT-bağlantılı Hedef Örnek Ölçütleri (devamı)

BSC
BT-Bağlantılı Hedef Ölçüt
Boyutu
Finansal 04 Yönetilen BT-Bağlantılı • Risk değerlendirmesinin kapsadığı kritik iş süreçleri, BT hizmetleri ve BT-Etkin iş programlarının yüzdesi
(devamı) iş riski • Risk değerlendirmesinde belirlenmemiş olan önemli BT-Bağlantılı olayların sayısı
• BT-Bağlantılı risk dahil olmak üzere kurum risk değerlendirmelerinin yüzdesi
• Kabul edilebilir risk seviyesini güncelleme sıklığı
05 BT-Etkin yatırım ve • Fayda gerçekleşmesinin tam ekonomik yaşam döngüsü boyunca izlendiği BT-Etkin yatırımların yüzdesi
hizmet portföylerinden • Beklenen faydaların gerçekleştirildiği BT hizmetlerinin yüzdesi
gerçekleştirilen faydalar • Talep edilen faydaların elde edildiği veya geçildiği BT-Etkin yatırımların yüzdesi
06 BT maliyet, fayda ve • Açıkça tanımlanmış ve onaylanmış beklenen BT-Bağlantılı maliyet ve faydaları olan ticari yatırımların
riskinde şeffaflık yüzdesi
• Açıkça tanımlanmış ve onaylanmış işletme maliyetleri ve beklenen faydaları olan BT hizmetlerinin yüzdesi
• BT finansal bilgilerinde şeffaflık, mutabakat ve doğruluk ile ilgili ana paydaşların memnuniyet araştırması
Müşteri 07 BT hizmetlerinin iş • BT hizmet olayları nedeniyle oluşan iş kesintilerinin sayısı
gereksinimlerine uyumlu • BT hizmet tedariğinin üzerinde anlaşılmış hizmet seviyelerini karşılamasından memnun iş paydaşlarının
olarak sağlanması yüzdesi
• BT hizmetinin sağladığı kaliteden memnun kullanıcıların yüzdesi
08 Uygulama, bilgi ve • Destekleyici BT ürün ve hizmetlerinden memnun iş süreç sahiplerinin yüzdesi
teknoloji çözümlerinin • İş kullanıcılarının, teknolojik çözümlerin kendilerine ait süreçleri nasıl desteklediğini kavrama seviyesi
yeterli kullanımı • Eğitim ve kullanıcı rehberleri konusunda iş kullanıcılarının memnuniyet derecesi
• Teknolojik çözümlerin kalite ve kullanışlılığı konusunda ticari memnuniyeti gösteren net bugünkü değer
(NPV)
İçsel 09 BT Çevikliği • BT’nin yeni şartlara tepki verme yeteneğine dair iş idarecileri memnuniyetinin seviyesi
• Güncel altyapı ve uygulamalarla desteklenen kritik iş süreçlerinin sayısı
• Stratejik BT amaçlarının, üzerinde anlaşılmış ve onaylanmış bir girişime döndürülmesi için geçen ortalama
süre
10 Bilgi, işlem altyapısı • Finansal kayıp, iş kesintisi veya toplum önünde küçük düşmeye yol açan güvenlik olaylarının sayısı
ve uygulamaların • Güvenlik şartları yerine getirilmemiş olan BT hizmetlerinin sayısı
güvenliği • Üzerinde anlaşılmış hizmet seviyeleriyle karşılaştırıldığında erişim ayrıcalıklarının verilme, değiştirilme ve
kaldırılma süresi
• Güncel standartlar ve yönetmelikler bazında güvenlik değerlendirme sıklığı
11 BT varlık, kaynak • Yetkinlik olgunluğu ve maliyet optimizasyon değerlendirmelerinin sıklığı
ve yetkinliklerinin • Değerlendirme sonuçlarının eğilimi
optimizasyonu • BT-Bağlantılı maliyetler ve yetkinlikler konusunda iş idarecileri ve BT yöneticilerinin memnuniyet dereceleri
12 Uygulamalar • Teknolojik entegrasyon hatalarının yol açtığı iş süreç olaylarının sayısı
ve teknolojinin iş • Teknolojik entegrasyon sorunları yüzünden ertelenmesi veya tekrar çalışılması gereken iş süreç
süreçlerine entegre değişikliklerinin sayısı
edilmesiyle iş süreçlerinin • Teknolojik entegrasyon sorunları yüzünden ertelenen veya ilave maliyetler oluşturan BT-Etkin iş
gerçekleştirilmesi ve programlarının sayısı
desteklenmesi • Bilgi sistemi olmadan çalışan ve entegrasyonu yapılmamış uygulamalar veya kritik altyapıların sayısı
13 Fayda sağlayan • Zamanında ve bütçe dahilinde olan programların/projelerin sayısı
programların • Program/proje kalitesi konusunda memnun paydaşların yüzdesi
zamanında, bütçe • Kalite kusurları yüzünden önemli tekrar çalışma gerektiren programların sayısı
dahilinde, gereksinimleri • Uygulamanın sürdürülme maliyetine karşı genel BT maliyeti
karşılayacak şekilde
ve kalite standartlarına
uygun olarak sunulması
14 Karar alma için • Yönetim bilgilerinin kalitesi ve zamanlaması (veya erişilebilirliği) konusunda iş kullanıcısı memnuniyetinin
güvenilir ve yararlı seviyesi
bilgilerin kullanılabilirliği • Bilgilerin kullanılamamasından kaynaklanan iş süreç olaylarının sayısı
• Hatalı veya kullanılamayan bilgilerin ana faktör olduğu hatalı ticari kararların oranı ve kapsamı
15 İç politikalarla BT • Politikaya uygun olmayan olayların sayısı
uyumu • Politikaların esasını kavrayan paydaşların yüzdesi
• Etkili standartlar ve çalışma yöntemleriyle desteklenen politikaların yüzdesi
• Politikaların tekrar gözden geçirilme ve güncellenme sıklığı
Sürekli 16 Yetkin ve istekli iş ve • Makamı için gereken yetkinliğe ilişkin BT-Bağlantılı becerileri yeterli olan kadro yüzdesi
Öğrenme BT personeli • BT-Bağlantılı görevlerinden memnun kadro yüzdesi
ve • Her bir çalışan başına düşen sürekli öğrenme/eğitim saati sayısı
Büyüme 17 İşte yenilik için bilgi • BT yenilik olanaklarına dair iş idarecisinin farkında olma ve kavrama seviyesi
birikimi, uzmanlık ve • BT yeniliğine dair uzmanlık ve fikirlerin seviyesi konusunda paydaş memnuniyet seviyesi
girişimcilik • Yenilikçi BT fikirlerinden doğan onaylanmış girişimlerin sayısı
20
Bölüm 3
COBIT 5 SÜREÇ MODELİ
Bölüm 3
COBIT 5 Süreç Modeli
Süreçler, COBIT 5, bölüm 5’te açıklandığı gibi, kurum yönetişim ve yönetimi için yedi gerçekleştirici kategoriden biridir.
Süreç gerçekleştiricisinin detayları, genel gerçekleştirici açıklamasıyla karşılaştırmalı olarak Şekil 8’de gösterilir.
Şekil 8 – COBIT 5 Gerçekleştirici:Süreçler
Paydașlar Hedefler Yașam Döngüsü İyi Uygulamalar

• İç Paydașlar • Asli Kalite • Plan •Süreç Uygulamaları,
Gerçekleștirici
• Dıș Paydașlar • İçeriksel Kalite • Tasarım Faaliyetleri,

(Geçerlilik, Etkinlik) • İnșa et/ Tedarik Et/ Detaylı Faaliyetler
• Erișilebilirlik ve Güvenlik Oluștur/Uygula • Çalıșma Ürünleri
• Kullan/Çalıștır (Girdiler/Çıktılar)
• Değerlendir/İzle
• Güncelle/Düzenle
Süreçler için Genel

Uygulamalar
Performans Yönetimi
Paydașların İhtiyaçları Gerçekleștirici Hedeflerine Yașam Döngüsü İyi Uygulamalar

Gerçekleștirici
Karșılanıyor mu? Ulașıldı mı? Yönetiliyor mu? Tatbik Ediliyor mu?
Hedeflere ulașmak için ölçütler Uygulamaların tatbik edilmesi için ölçütler

(Gecikmeli Göstergeler) (Öncül Göstergeler)
Süreç, “ kurum politikaları ve prosedürlerinden etkilenen, birkaç kaynaktan (diğer süreçler dahil) girdiler alan,
girdileri işleyen ve çıktılar (ör., ürünler, hizmetler) oluşturan bir uygulamalar derlemesidir şeklinde tanımlanır.
Süreç modeli şunları gösterir:

• Paydaşlar- Süreçlerde kendi görevleri olan iç ve dış paydaşlar vardır; paydaşlar ve sorumluluk seviyeleri, kimin sorumlu,
mesul, danışılan veya bilgilendirilen (SMDB) olduğunu gösteren tablolarda belgelenir. Dış paydaşlara müşteriler, iş
ortakları, hissedarlar ve düzenleyiciler dâhildir. İç paydaşlara yönetim kurulu, yönetim, kadro ve gönüllüler dahildir.
• Hedefler- Süreç hedefleri “bir sürecin istenilen sonucunu açıklayan bir ifade olarak tanımlanır. Sonuç bir ürün, önemli
bir durum değişikliği veya diğer süreçlere dair önemli bir yetenek geliştirmesi olabilir. Bunlar hedef basamaklarının
bir kısmını oluşturur, yani süreç hedefleri BT-bağlantılı hedefleri destekler, BT-bağlantılı hedefler de kurum hedeflerini
destekler.
Süreç hedefleri aşağıdaki şekilde sınıflandırılabilir:

-Asli Hedefler- Süreç asli kaliteye sahip mi? Doğru mu ve iyi uygulamalarla uyumlu mu? İç ve dış kurallara uygun mu?
-İçeriksel hedefler- Süreç, kurumun özel durumuna göre özelleştirildi ve uyarlandı mı? Süreç konuyla ilgili, anlaşılır,
uygulanması kolay mı?
-Erişilebilirlik ve güvenlik hedefleri- Süreç gerektiğinde gizli olarak kalır ve ihtiyacı olan kişi tarafından bilinir ve
erişilebilir.
Ölçütler, hedeflere ne ölçüde ulaşıldığını ölçmek amacıyla hedef basamaklarının her seviyesinde, dolayısıyla süreçler için
de tanımlanır. Ölçütler, “bir süreç hedefine ulaşmanın ölçülmesini sağlayan ölçülebilir bir niteliktir şeklinde tanımlanabilir.
Ölçütler, SMART- özgün, ölçülebilir, uygulanabilir, konuyla ilgili ve güncel olmalıdır.
Gerçekleştiriciyi etkili ve verimli şekilde yönetmek için, ölçütlerin, beklenen sonuçların ne ölçüde gerçekleştirildiğini
ölçmek amacıyla tanımlanması gerekir. Ek olarak, Gerçekleştirici performans yönetiminin ikinci safhasında, iyi
uygulamaların ne ölçüde uygulandığı açıklanır. İlişkili ölçütler, Gerçekleştirici yönetimine yardımcı olmak amacıyla
burada da tanımlanabilir.
21
•Yaşam döngüsü- Her sürecin yaşam döngüsü vardır. Bu tanımlanır, oluşturulur, yürütülür, izlenir ve ayarlanır/güncellenir
veya sonlandırılır. ISO/IEC 15504 esasındaki COBIT süreç değerlendirme modelinde tanımlananlar gibi genel süreç
uygulamaları, süreçlerin tanımlanması, yürütülmesi, izlenmesi ve optimizasyonuna yardımcı olabilir.
•İyi uygulamalar- COBIT 5: Gerçekleştirici Süreçleri, süreç içi iyi uygulamaların artan detay seviyeleriyle açıklandığı bir
süreç referans modeli içerir: uygulamalar, faaliyetler ve detaylı faaliyetler4.
Uygulamalar:
•Yönetişim/yönetim uygulamaları, her COBIT 5 süreci için, kurum BT’sinin etkili ve pratik yönetişim ve yönetimi için
yüksek seviyedeki koşulların tam bir takımını sağlar. Bunlar:
-Faydaların sağlanması, risk seviyesinin optimizasyonu ve kaynak kullanımının optimizasyonu için yapılacak faaliyet
ifadeleridir
-İyi uygulamalar ve yaygın olarak kabul görmüş standartlara uygun olacak şekilde hizalanır
-Genel kapsamlıdır ve dolayısıyla her kurum için uyarlanması gerekir.
-Süreç dahilindeki (baştan sona) iş ve BT görev üstlenicilerini kapsar.
•Kurum yönetişim kurulu ve yönetim, bu yönetişim ve yönetim uygulamaları ile ilgili tercihleri aşağıdaki şekilde
yapmalıdır:
-Uygulanabilecek olanları seçmeli ve uygulanacak olanlar üzerinde karar vermeli
-Gerekli olduğunda uygulamaları eklemeli ve/veya uyarlamalı
-İş süreçlerinde entegrasyon için BT-bağlantılı olmayan uygulamaları tanımlamalı ve eklemeli
-Bunların nasıl uygulanacağını seçmeli (sıklık, süre, otomasyon vb.)
-Uygulanabilecek olanların uygulanmama riskini kabul etmeli
Faaliyetler - COBIT dahilinde süreci yürütmek için yapılan ana eylemler

•Bunlar, “kurum BT’sinin başarılı yönetişim ve yönetimi için yönetim uygulamalarını gerçekleştirme kılavuzu olarak
tanımlanır. COBIT 5 faaliyetleri, BT performansını geliştirmek ve/veya BT çözümünü ve hizmet teslim riskini ele
alacak şekilde her yönetişim veya yönetim uygulaması için neyin, neden ve nasıl uygulanacağını öngörür. Bu gereç
aşağıdaki kişilerin yararınadır:
-Kurum BT’sini planlaması, oluşturması, çalıştırması veya izlemesi (PBRM) gereken yönetim, hizmet sağlayıcıları, son
kullanıcılar ve BT profesyonelleri
-Güncel veya öngörülen uygulamalar veya gerekli geliştirmelerle ilgili olarak fikirleri sorulabilecek güvence
profesyonelleri
•Ana yönetişim uygulaması (GP)/yönetim uygulamasını (MP) gerçekleştirmek için gerekli ve yeterli olan tüm aşamaları
içeren bir yaklaşım sağlayan genel ve özel faaliyetlerin tam bir takımı. Bunlar, fiili performansın değerlendirilmesi
ve potansiyel geliştirmelerin dikkate alması için GP/MP’nin bir seviye altında yüksek seviyede rehberlik sağlar. Bu
faaliyetler:
-GP/MP’yi gerçekleştirmek için gerekli ve yeterli olan bir takım eylem odaklı uygulama aşamalarını açıklar.
-Sürecin girdi ve çıktılarını göz önünde bulundurur
-İyi uygulamalar ve yaygın olarak kabul görmüş standartlara dayanır
-Görev ve sorumlulukların açık bir şekilde tesis edilmesini destekler
-Kural koyucu nitelikte değildir ve kurum için uygun olan özel prosedürler halinde uyarlanmalı ve geliştirilmelidir.
Detaylı faaliyetler - Faaliyetler uygulanmak için yeterli detay seviyesinde olmayabilir ve ileri rehberliğin:
Information Technology Infrastructure Library (ITIL, Bilgi Teknolojisi Altyapı Kütüphanesi), International
Organization for Standardization/International Electrotechnical Commission (ISO/IEC, Uluslararası Standardizasyon
Teşkilatı/Uluslararası Elektroteknik Komisyonu) 27000 serisi ve PRojects IN Controlled Environments 2 (PRINCE2,
Kontrollü Ortamda Projeler) gibi ilgili özel standartlar ve iyi uygulamalardan elde edilmesi gerekebilir
-COBIT 5 ürün ailesindeki ek geliştirmeler olarak daha detaylı veya daha özel faaliyetler halinde geliştirilmesi
gerekebilir
Girdiler ve çıktılar - COBIT 5 girdileri ve çıktıları, sürecin işleyişini desteklemek için gerekli olduğu düşünülen süreç
iş ürünleri/yapılarıdır. Bunlar, önemli kararları gerçekleştirir, süreç faaliyetlerinin bir kaydını ve denetim izi sağlar ve bir
olay durumunda takibi gerçekleştirir. Ana yönetişim/yönetim uygulama seviyesinde tanımlanırlar ve bunlara sadece süreç
içinde kullanılan bazı iş ürünleri de dahildir ve sıklıkla diğer süreçler açısından temel girdileri oluştururlar5.
Diğer iyi uygulamalar herhangi bir şekil veya detay seviyesinde mevcut olabilir ve çoğunlukla diğer standartlar ve
çerçevelere atıfta bulunur. Kullanıcılar, ilgili olduğu durumda COBIT’in bu standartlarla uyumlu olduğunu bilerek, her
zaman bu diğer iyi uygulamalara başvurabilir ve eşleştirme bilgileri temin edilebilir.
4 Güncel projede sadece uygulamalar ve faaliyetler geliştirilir. Daha detaylı olan seviyeler ek geliştirme(ler)e tabidir, ör., çeşitli profesyonel rehberler kendi
alanları için daha detaylı rehberlik sağlayabilir. Ayrıca, detaylı süreç açıklamalarında belirtildiği üzere, ilgili standartlar ve çerçeveler aracılığıyla daha ileri
rehberlik elde edilebilir.
5 Örnek COBIT 5 girdileri ve çıktıları detaylı liste olarak kabul edilmemelidir, çünkü belirli kurum ortamı ve süreç çerçevesine bağlı olarak ek bilgi akışları
tanımlanabilir
22
Bölüm 3
COBIT 5 SÜREÇ MODELİ
Gerçekleştirici Performans Yönetimi

Kurumlar, gerçekleştirici kullanımı ve uygulamasından olumlu sonuçlar bekler. Gerçekleştiricilerin performansını
yönetmek için, düzenli bir şekilde aşağıdaki sorular izlenmeli ve ölçüt bazlı cevaplanmalıdır:
•Paydaş ihtiyaçları karşılanıyor mu?
•Gerçekleştirici hedeflerine ulaşılıyor mu?
•Gerçekleştirici yaşam döngüsü yönetiliyor mu?
•İyi uygulamalar uygulanıyor mu?
Süreç sağlayıcısı durumunda, ilk iki madde sürecin fiili sonucu ile ilgilidir. Hedeflere ne ölçüde ulaşıldığını ölçmek için
kullanılan ölçütler “gecikmeli göstergeler olarak adlandırılabilir. COBIT 5: Gerçekleştirici Süreçleri’nde, her süreç hedefi
için birkaç ölçüt tanımlanır.
Son iki madde, Gerçekleştiricinin kendisinin fiili işleyişi ile ilgilidir ve buna yönelik ölçütler “öncül göstergeler olarak
adlandırılabilir.
Süreç kabiliyet seviyesi- COBIT 5, ISO/IEC 15504 esaslı süreç kabiliyet değerlendirme şeması içerir. Bu konudan,
COBIT 5, bölüm 8’de bahsedilmektedir ve daha ileri seviyede rehberlik farklı ISACA yayınlarından temin edilebilir.
Özetle, süreç kabiliyet seviyesi hem hedeflere ulaşılma seviyesini ve hem de iyi uygulama tatbiklerini ölçer.
Diğer sağlayıcılarla ilişkiler- süreçler ve diğer sağlayıcı kategorileri arasındaki bağlantı aşağıdaki ilişkiler aracılığıyla
mevcuttur:
•Süreçler bilgiye ihtiyaç duyar (girdilerin bir türü olarak) ve bilgi üretebilir (iş ürünü olarak).
•Süreçler, SMDB tablolarıyla ifade edildiği üzere organizasyon yapılarına ve yürütecek makamlara ihtiyaç duyar, ör., BT
BT Yönlendirme kurulu, kurum risk kurulu, yönetim kurulu, denetleme, BT üst yöneticisi (CIO), İcra kurulu başkanı
(CEO).
•Süreçler hizmet yetkinliklerini (altyapı, uygulamalar vb.) oluşturur ve ayrıca talep eder.
•Süreçler diğer süreçlere bağlı olabilir ve olacaktır.
•Süreçler, uygulama ve yürütmeyi kesintisiz sağlamak için politikalar ve prosedürler oluşturur ve bunlara ihtiyaç duyar.
•Kültürel ve davranış yönleri süreçlerin ne kadar iyi yürütüldüğünü belirler.
23
24
Bölüm 4
COBIT 5 SÜREÇ REFERANS MODELİ
BÖLÜM 4
COBIT 5 SÜREÇ REFERANS MODELİ
Yönetişim ve Yönetim Süreçleri
COBIT’teki rehber prensiplerden biri, yönetişim ve yönetim arasında bir ayrımın yapılmasıdır. Bu prensibe uygun olarak,
her kurumdan, kurum BT’sinin geniş kapsamlı yönetişim ve yönetimini sağlamak amacıyla birkaç yönetişim süreci ve
birkaç yönetim sürecini uygulaması beklenir.
Kurum bağlamında yönetişim ve yönetime yönelik süreçler göz önünde bulundurulduğunda, süreç türleri arasındaki fark,
süreçlerin amaçlarında yatar.
• Yönetişim süreçleri- Yönetişim süreçleri, paydaş yönetişim hedefleriyle- değer yaratımı, risk optimizasyonu ve kaynak
optimizasyonu- ilgilidir ve stratejik seçeneklerin değerlendirilmesi, BT’ye yön verilmesi ve sonuçların izlenmesi
(Değerlendir, Yönlendir ve İzle [EDM]- ISO/IEC 38500 standart kavramlarıyla uyumlu) uygulamaları ve faaliyetlerini
içerir.
•Yönetim süreçleri- “Yönetimin tanımıyla uyumlu olarak (bkz., COBIT 5, Yönetici Özeti), yönetim süreçlerindeki
uygulamalar ve faaliyetler PBRM kurum BT’sine ait sorumluluk alanlarını kapsar, ve BT’nin baştan sona kapsanması
şarttır.
Her iki türdeki sürecin sonucu farklı olmasına ve sürecin kendi bağlamı bakımından farklı bir hedef kitlesine yönelik
olmalarına rağmen, tüm süreçler süreç içinde “planlama, “oluşturma veya uygulama, “yürütme ve “izleme faaliyetlerini
gerektirir.
Model
COBIT 5, kural koyucu nitelikte değildir, ancak yukarıdaki metinden açıkça anlaşılacağı üzere, Şekil 9’da gösterildiği
gibi, önemli alanlar kapsanacak şekilde, kurumların, yönetişim ve yönetim süreçlerini gerçekleştirmesini savunur.
Teoride, bir kurum temel yönetişim ve yönetim amaçları kapsandığı takdirde, süreçleri uygun gördüğü şekilde organize
edebilir. Daha küçük kurumların daha az sayıda süreci olabilir; daha büyük ve daha karmaşık kurumların, hepsi aynı
amaçları kapsayan birden fazla süreci olabilir.
Şekil 9- COBIT 5 Yönetişim ve Yönetim Önemli Alanları
İș ihtiyaçları
Yönetișim
Değerlendir
Yönlendir Yönetim Geri Bildirimi İzle
Yönetim
Planla İnșa Et Çalıștır İzle

(APO) (BAI) (DSS) (MEA)
25
COBIT 5, birkaç yönetişim ve yönetim sürecini detaylı olarak tanımlayan ve açıklayan bir süreç referans modeli içerir. BT
faaliyetleriyle ilgili bir kurumda normal olarak bulunan süreçlerin tamamını temsil eden, BT çalışanları ve iş yöneticileri
için anlaşılabilir bir ortak referans modeli sunan bir süreç referans modeli sağlar. Önerilen süreç modeli, tam kapsamlı
bir modeldir, ancak tek olası süreç modeli değildir. Her kurum, kendi özel durumunu dikkate alan kendi süreç takımını
tanımlamalıdır.
BT faaliyetlerinde yer alan tüm taraflar için bir çalışma modeli ve bir ortak lisanın dahil edilmesi, iyi yönetişime doğru
giden en önemli ve kritik aşamalardan biridir. Ayrıca, BT performansının ölçülmesi ve izlenmesi için hizmet sağlayıcılarla
iletişim kuran ve en iyi yönetim uygulamalarının entegrasyonunu yapan bir çerçeve sağlar.
COBIT 5 süreç referans modeli, kurum BT yönetişim ve yönetim süreçlerini, süreç etki alanları halinde bölümlere
ayrılmış halde yönetişim ve yönetim olmak üzere iki ana faaliyet alanına ayırır.
• Yönetişim- Bu etki alanı beş yönetişim süreci içerir; her süreç dahilinde EDM uygulamaları tanımlanır.
• Yönetim- Bu dört etki alanı, PBRM sorumluluk alanlarıyla uyumludur (COBIT 4.1 etki alanlarının bir gelişimi)
ve baştan sona BT’nin kapsanmasını sağlar. Her etki alanı, COBIT 4.1 ve önceki versiyonlarda olduğu gibi, birkaç
süreç içerir. Daha önce açıklandığı üzere, süreçlerin çoğu, süreç dahilinde veya çözülecek olan özel sorun- ör.,
kalite, güvenlik- dahilinde “planlama, “uygulama, “yürütme ve “izleme faaliyetlerini gerektirmesine rağmen, kurum
seviyesinde BT ile ilişkili olarak elde alındığında genellikle en ilgili faaliyet alanıyla uyumlu olan etki alanlarında yer
alır.
COBIT 5 süreç referans modeli, ek olarak Risk IT ve Val IT süreç modelleri entegre edilmiş olmak üzere COBIT 4.1
süreç modelinin yerine geçer. Şekil 10, COBIT 5 dahilindeki 37 yönetişim ve yönetim süreçlerinin tam takımını gösterir.
Şekil 10 – COBIT 5 Süreç Referans Modeli
Kurumsal BT Yönetișim Süreçleri

Değerlendir, Yönlendir ve İzle
EDM01 EDM03 EDM04
Yönetișim Çerçevesi EDM02 EDM05
Fayda Yaratımı Risk Kaynak Paydaș
Kurulum ve Optimizasyonunu Optimizasyonunu
Sürdürülmesini Sağla Șeffaflığı Sağla
Sağla Sağla
Sağla
Hizala, Planla ve Organize Et İzle, Tespit Et ve

Değerlendir
APO01 APO02 APO03 APO06 APO07
BT Yönetim Kurum APO04 APO05
Stratejiyi Yönet Yenilikleri Yönet İlișkileri Yönet Bütçe ve İnsan Kaynaklarını
Çerçevesini Yönet Mimarisini Yönet Maliyeti Yönet Yönet
MEA01
Performans ve
APO09 Uyumu İzle,
APO08 Manage APO10 APO11 APO12 APO13 Tespit Et ve Değerlendir
Hizmet Riski Yönet Güvenliği Yönet
Relationships Anlașmalarını Tedarikçileri Yönet Kaliteyi Yönet
Yönet
İnșa Et, Tedarik Et ve Uygula

BAI05
BAI03 BAI04 Organizasyon BAI07
BAI01 BAI02 Çözüm Belirleme ve Değișiklik Kabul ve
Programları ve Gereksinimlerin Kullanılabilirlik ve Değișikliği BAI06
Olușturmayı Yönet Kapasiteyi Yönet Gerçekleștirmeyi Değișiklikleri Dönüșümü Yönet MEA02
Projeleri Yönet Tanımını Yönet
Yönet Yönet İç Kontrol
Sistemini İzle,
Tespit Et ve Değerlendir
BAI08 BAI09 BAI10

Bilgi Birikimini Varlıkları Yönet Konfigürasyonu
Yönet Yönet
Tedarik, Hizmet ve Destek

MEA03
DSS02 DSS05 DSS06 Dıș Gereksinimler İle
DSS01 DSS03 DSS04 Uyumu İzle,
Operasyonu Hizmet Talep ve Güvenlik İș Süreç
Olayları Problemleri Sürekliliği Yönet Hizmetlerini Yönet Kontrollerini Yönet Tespit Et ve Değerlendir
Yönet Yönet
Kurumsal BT Yönetim Süreçleri
26
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
BÖLÜM 5
Bu bölümde, COBIT 5 yönetişim ve yönetim süreçlerine yönelik olarak süreçle alakalı detaylı içerikler açıklanır. Her
sürece yönelik olarak, bir önceki bölümde açıklanan süreç modeli ile uyumlu olmak üzere aşağıdaki bilgiler verilir:
• Süreç tanımı- Birinci sayfada:
– Süreç etiketi- Etki alanı öneki (EDM, APO, BAI, DSS, MEA) ve süreç numarası
– Süreç adı- Sürecin ana konusunu belirten kısa bir açıklama
– Sürecin alanı- Yönetişim veya yönetim
– Etki alanı adı
• Süreç açıklaması- Sürecin ne olduğuna ilişkin genel bir açıklama ve sürecin amacını nasıl gerçekleştirdiğine ilişkin
yüksek seviyeli genel bir açıklama
• Süreç amaç bildirisi- Sürecin genel amacına dair bir açıklama
• Hedef basamakları bilgisi- Öncelikle süreç tarafından desteklenen6 BT-bağlantılı hedeflerin referansı ve açıklaması ve
BT-bağlantılı hedeflerin başarısını ölçmek için ölçütler
• Süreç hedefleri ve ölçütler- Bir grup süreç hedefi ve sınırlı sayıda örnek ölçütler
• SMDB tablosu- Süreç uygulamaları için farklı makamlar ve yapılara tahsis edilen önerilen sorumluluk seviyesi
Listelenen kurum makamları, BT makamlarından daha koyu olarak tonlanmıştır. Dahil olunan farklı seviyeler şunlardır:
–Sorumlu (S)- Görevi kim yaptırıyor? Listelenen faaliyetin gerçekleştirilmesinde ana operasyon riskini alan ve
planlanmış etkiyi oluşturan makamları belirtir.
–Mesul (M)- Görevin başarısıyla ilgili kim hesap veriyor? Bu, görevin yaptırılmasına dair genel mesuliyeti tayin eder
(Mesuliyet nerede sona erer?). Bahsedilen makamın uygun olan asgari mesuliyet seviyesi olduğu belirtilmelidir; doğal
olarak mesul olan daha yüksek seviyeler de mevcuttur. Kurum yetkilendirmesini gerçekleştirmek amacıyla, mesuliyet
mümkün olduğu kadar parçalara ayrılır. Mesuliyet, makamın hiçbir operasyonel faaliyeti olmadığını göstermez;
makam sahibi büyük ihtimalle işe dahil olur. Prensip olarak, mesuliyet paylaşılamaz.
–Danışılan (D) – Girdileri kim sağlıyor? Bunlar girdi sağlayan ana makamlardır. Diğer birimler veya kurum dışı
ortaklardan bilgi etilmesinin de, mesul ve sorumlu makamların işi olduğu belirtilmelidir. Bununla birlikte, süreç
sahibi ve/veya yönlendirme kurulu bilgisi dahil olmak üzere listelenen makamlardan elde edilen girdiler göz önünde
bulundurulmalı ve gerekli olduğu takdirde, üst bildirimler için uygun eylemler gerçekleştirilmelidir.
–Bilgilendirilen (B) - Bilgileri kim alıyor? Bunlar, görevin başarıları ve/veya çıktıları hakkında bilgilendirilen
makamlardır. Doğal olarak “yükümlü olan makam, söz konusu alanlardan sorumlu makamların yaptığı gibi, görevi
denetlemek amacıyla daima gerekli bilgileri alır.
• Süreç uygulamalarının detaylı açıklaması- Her kurum için:
–Uygulama başlığı ve açıklaması
–Kaynak ve hedef göstergeleriyle birlikte uygulama girdileri ve çıktıları
–Uygulamaları ayrıca detaylandıran süreç faaliyetleri
• İlgili rehber- diğer standartlara referanslar ve ek rehberlere yöneltmeler
Girdiler ve Çıktılar
Detaylı süreç açıklamaları- yönetişim ve yönetim uygulamaları seviyesinde- girdiler ve çıktılar içerir. Genel olarak, her
çıktı, tipik olarak genellikle bir başka COBIT süreç uygulaması olan bir veya sınırlı sayıdaki hedefe gönderilir. Bu çıktı
böylece, hedefi için bir girdi halini alır. Ancak, ör., tüm COBIT süreçleri veya bir etki alanındaki tüm süreçler gibi birçok
hedefi olan birkaç çıktı vardır. Anlaşılabilir olması amacıyla, bu çıktılar buradaki süreçlerde girdiler olarak listelenmez.
Bu çıktıların tam bir listesi Şekil 11’de verilmektedir.
6 Bazı girdiler/çıktılar için, hedef “İçsel olarak dile getirilir. Bunun anlamı, girdi/çıktının aynı süreç içindeki faaliyetler arasında olmasıdır.
27
Şekil 11-Çıktılar
Tüm Süreçlerin Çıktıları
Kaynak Ana Uygulama Çıktı Açıklaması Hedef
APO13.02 Bilgi güvenliği risk iyileştirme planı Tüm EDM; Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
Tüm Yönetişim Süreçlerinin Çıktıları
EDM01.01 Kurum yönetişimi rehber prensipleri Tüm EDM
EDM01.01 Karar alma modeli Tüm EDM
EDM01.01 Yetki seviyeleri Tüm EDM
EDM01.02 Kurum yönetişim iletişimleri Tüm EDM
EDM01.03 Yönetişim etkinliği ve performansına dair geri bildirim Tüm EDM
Tüm Yönetim Süreçlerinin Çıktıları
APO01.01 İletişim temel kuralları Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
APO01.03 BT-Bağlantılı politikalar Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
APO01.04 BT amaçları bildirimleri Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
APO01.07 Süreç geliştirme fırsatları Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
APO02.06 İletişim paketi Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
APO11.02 Kalite yönetim standartları Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
APO11.04 Hizmet hedeflerinin süreç kalitesi ve ölçütler Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
APO11.06 Sürekli iyileşme ve iyi uygulamalara dair bildirimler Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
APO11.06 Paylaşılacak olan iyi uygulama örnekleri Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
APO11.06 Karşılaştırmalı kalite değerlendirme sonuçları Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA01.02 Hedeflerin izlenmesi Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA01.04 Performans raporları Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA01.05 İyileştirici aksiyonlar ve görevler Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA02.01 İç kontrol izleme ve değerlendirmelerinin sonuçları Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA02.01 Karşılaştırmalı ve diğer değerlendirmelerin sonuçları Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA02.03 Öz-değerlendirme planları ve kriterleri Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA02.03 Öz-değerlendirme inceleme sonuçları Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA02.04 Kontrol yetersizlikleri Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA02.04 İyileştirici aksiyonlar Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA02.06 Güvence planları Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA02.08 Arıtılmış kapsam Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA02.08 Güvence gözden geçirme sonuçları Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA02.08 Güvence gözden geçirme raporu Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA03.02 Değiştirilmiş uyum gereksinimlerine dair bildirimler Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
28
Bölüm 5
Süreçler için Genel Rehber

Detaylı süreç açıklamalarındaki faaliyetler, sürecin fonksiyonel amacını- sürecin neyi gerçekleştirmesi gerektiğini açıklar.
Bu, her süreç için farklıdır, çünkü her sürecin farklı süreç hedefleri vardır.
Burada sürecin nasıl yürütüleceğine ilişkin bir rehber, yani sürecin kendisinin nasıl oluşturulacağı, yürütüleceği, izleneceği
ve geliştirileceğine dair bir genel rehber de yer alır. Bu rehber, her süreç için aynı olmak üzere genel kapsamlıdır.
COBIT 4.1’de, süreç kontrolleri, herhangi bir sürece özgü olmayan, ancak genel kapsamlı olan ve tüm süreçlere
uygulanabilen iyi uygulamaları içerir. Süreç kontrolleri, COBIT 4.1 olgunluk modelindeki genel olgunluk özelliklerinin
bazılarıyla benzerdir.
COBIT 5’te, ISO/IEC 15504-uyumlu süreç yetkinlik değerlendirme şeması kullanılır. Bu şemada, daha üstteki süreç
yetkinlik seviyelerine ait yetkinlik özellikleri, daha iyi ve daha yetkin süreçlerin nasıl oluşturulacağını açıklar, dolayısıyla
etkin bir şekilde COBIT 4.1 süreç kontrollerinin yerine geçer.
Bu, süreçle bağlantılı önemli bir rehberdir ve bu nedenle Şekil 12’de, iyi uygulamaların temeli olan hem COBIT 4.1 süreç
kontrolleri ve hem de ISO/IEC 15504 esaslı süreç yetkinlik özelliklerinin üst seviyede genel bir açıklaması yer alır.
Şekil 12- COBIT 4.1 Süreç Kontrolleri ve İlgili ISO/IEC 15504 Süreç Yetkinlik Özellikleri
COBIT 4.1 İlgili ISO/IEC 15504 Süreç Yetkinlik Özellikleri
PC1 Süreç Hedefleri ve Amaçları PA 2.1 Performans yönetim özelliği
PC2 Süreç Sahipliği PA 2.1 Performans yönetim özelliği
PC3 Süreç Tekrarlanabilirliği PA 3.1 Süreç tanım özelliği
PC4 Görevler ve Sorumluluklar PA 2.1 Performans yönetim özelliği
PA 3.2 Süreç uygulama özelliği
PC5 Politika, Planlar ve Prosedürler PA 2.1 Performans yönetim özelliği
PC6 Süreç Performans Geliştirme PA 2.1 Performans yönetim özelliği
PA 5.2 Süreç optimizasyon özelliği
29
30
Bölüm 5

DEĞERLENDİR, YÖNLENDİR VE İZLE
(EDM)
01 Yönetişim çerçevesi kurulum ve sürdürülmesini sağla
02 Fayda yaratımı sağla
03 Risk optimizasyonu sağla
04 Kaynak optimizasyonu sağla
05 Paydaş şeffaflığı sağla
31

32
Bölüm 5

Alan: Yönetişim
EDM01 Yönetişim Çerçevesi Kurulum ve Sürdürülmesini Sağla Etki alanı: Değerlendir, Yönlendir ve İzle
Süreç Açıklaması
Kurumsal BT’ yönetişimi için gereksinimleri analiz et ve ifade et ve geçerli gerçekleştirme yapıları, prensipleri, süreçleri ve uygulamalarının, kurum görev,
hedef ve amaçlarını gerçekleştirmek amacıyla sorumluluk ve yetki netliği ile birlikte, yerleşik hale getir ve sürdür.
Süreç Amaç Bildirisi
Kurum yönetişim yaklaşımıyla bütünleşik ve uyumlu olan tutarlı bir yaklaşımı sağla. BT-Bağlantılı kararların, kurum stratejileri ve amaçlarıyla uyumlu
olarak yapılmasını sağla, BT-Bağlantılı süreçlerin etkili ve şeffaf şekilde denetlenmesini sağla, yasa ve yönetmelik şartlarına uygunluğu teyit et ve kurul
üyelerinin yönetişim gereksinimlerini karşıla.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur.
BT-Bağlantılı Hedef İlgili Ölçütler
01 BT ve iş stratejisinin hizalanması • BT stratejik hedefleri tarafından desteklenen gereksinimlerin ve kurum stratejik hedeflerinin
yüzdesi
• Planlı program ve hizmet portföylerinin kapsamına dair paydaş memnuniyet seviyesi
• İş değeri faktörlerine eşleştirilen BT değer faktörlerinin yüzdesi
03 BT-Bağlantılı kararların verilmesinde yönetici • BT kararları için açıkça tanımlanmış yükümlülükleri olan yönetici kadro görevlerinin yüzdesi
kadronun uyumu • BT’nin önceden önlemler alınacak şekilde yönetim kurulu toplantı gündeminde olma sayısı
• BT strateji (yönetim) kurulu toplantılarının sıklığı
• BT-Bağlantılı yönetim kararlarının icra oranı
07 BT hizmetlerinin iş gereksinimlerine uyumlu • BT hizmet olayları nedeniyle oluşan iş kesintilerinin sayısı
olarak sağlanması • BT hizmet tedariğinin üzerinde anlaşılmış hizmet seviyelerini karşılamasından memnun iş
paydaşlarının yüzdesi
• BT hizmetinin sağlandığı kaliteden memnun kullanıcıların yüzdesi
Süreç Hedefleri ve Ölçütler
Süreç Hedefi İlgili Ölçütler
1. BT için stratejik karar alma modeli etkilidir • Önemli kararlar için fiili döngü süresine karşılık hedef döngü süresi
ve kurum içi ve dışındaki ortam ve paydaş • Paydaş memnuniyet seviyesi (araştırmalarla ölçülen)
gereksinimleriyle uyumludur.
2. BT için yönetişim sistemi kurum içinde yerleşiktir. • Uygun iş ve BT yönetimi tarafından tanımlanan, tahsis edilen ve kabul edilen görevler,
sorumluluklar ve yetkilerin sayısı
• BT için üzerinde anlaşılmış olan yönetişim prensiplerinin süreçler ve uygulamalarda ispatlanma
derecesi (prensipleri açıkça izleyebilen süreçler ve uygulamaların yüzdesi)
• Ahlak kuralları ve profesyonel davranış esaslarına uygun olmayan örneklerin sayısı
3. Güvence, BT yönetişim sistemi etkili şekilde • BT yönetişimi bağımsız değerlendirmelerinin sıklığı
çalıştığında elde edilir. • Yönetim kurulu ve heyetine rapor edilen BT yönetişimi sıklığı
• Rapor edilen BT yönetişim sorunlarının sıklığı
EDM01 SMDB Tablosu

Yönlendirme Kurulu (Programlar/projeler)
İnsan Kaynakları Bölüm Başkanı
Bilgi Teknolojileri Üst Yöneticisi

Risk Yönetimi Bölüm Başkanı
Bilgi Güvenliği Üst Yöneticisi
Geliştirme Bölüm Başkanı

BT Operasyonları Başkanı
Strateji Yönetim Kurulu
İş Sürekliliği Yöneticisi
Bilgi Güvenliği Yöneticisi
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
İcra Kurulu Başkanı
Kurumsal Risk Kurulu

Proje Yönetim Ofisi
Operasyon Direktörü
İş Süreç Sahipleri
Değer Yönetim Ofisi

Şirket Yöneticileri
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
Ana Yönetişim Uygulaması

EDM01.01
Yönetişim sistemini değerlendir M S D D S S D D D D D D S D D D
EDM01.02
Yönetişim sistemini yönlendir M S D D S B S B B B D B B B B D D S D B B B B B B I
EDM01.03
Yönetişim sistemini izle M S D D S B S B B B D B B B B D D S D B B B B B B I
33
EDM01 Süreç Uygulamaları, Girdiler/Çıktılar ve Faaliyetler

Yönetişim Uygulaması Girdiler Çıktılar
EDM01.01 Yönetişim sistemini değerlendir Kaynak Açıklama Açıklama Hedef
Sürekli şekilde kurum paydaşlarının belirlenmesi ve MEA03.02 Değiştirilmiş uyum Kurum yönetişimi rehber Tüm EDM
irtibat kurulması, gereksinimlere dair mutabakatın gereksinimlerine dair prensipleri APO01.01
belgelenmesi ve güncel ve gelecekteki kurumsal BT bildirimler APO01.03
yönetişim tasarımı üzerinde bir karara varılmasını
sağla. COBIT • İş ortamı eğilimleri Karar alma modeli Tüm EDM
dışında • Yasal düzenlemeler APO01.01
• Yönetişim/karar alma modeli Yetki seviyeleri Tüm EDM
• Anayasa/ek maddeler/ APO01.02
organizasyon mevzuatı
Faaliyetler
1. İş ortamında yönetişim tasarımını etkileyebilecek iç ve dış ortam faktörleri (yasa, yönetmelik ve sözleşmeye ait yükümlülükler) ve eğilimlerin analiz
edilmesi ve belirlenmesini sağla.
2. İş açısından BT’nin önemi ve rolünü belirle.
3. Ait olunan ülke dışındaki ülkelere ait yönetmelikler, yasalar ve sözleşme yükümlülükleri göz önünde bulundur ve kurumsal BT yönetişimi dahilinde
nasıl uygulanmaları gerektiğini belirle.
4. Bilgilerin ahlaki kullanımı ve işlenmesi ve bunun toplum, doğal ortam ve aynı zamanda iç ve dış paydaş menfaatleri üzerindeki etkisinin, kurum
doğrultusu, hedef ve amaçları ile hizalanmasını sağla.
5. Genel kurum kontrol ortamının BT’ye ilişkin etkilerini belirle.
6. BT yönetişim ve karar alma tasarımına rehberlik edecek prensiplerin ifade edilmesini sağla.
7. Kurum karar alma kültürünün kavranması ve BT için optimum karar alma modelinin belirlenmesini sağla.
8. BT kararları için, eşik kuralları dahil olmak üzere yetki delegasyonu uygun seviyelerinin belirlenmesini sağla.
EDM01.02 Yönetişim sistemini yönlendir Kaynak Açıklama Açıklama Hedef
Liderleri bilgilendir ve desteklik, ortaklık ve bağlılıklarını Kurum yönetişim Tüm EDM
sağla. BT yönetişimi için yapılar, süreçler ve iletişimleri APO01.04
uygulamaları, üzerinde anlaşılmış olan yönetişim
tasarımı prensipleri, karar alma modelleri ve yetki Ödül sistemi yaklaşımı APO07.03
seviyeleri ile uyumlu olacak şekilde yönlendir. Bilgi APO07.04
dahilinde karar alma için gerekli olan bilgileri tanımla.
Faaliyetler
1. Bilgi sahibi ve amacına bağlı liderlik oluşturmak yolunda BT yönetişim prensipleri ile iletişimi sağla ve yönetici kadro ile hemfikir ol.
2. Üzerinde anlaşılan tasarım prensipleri ile uyumlu olan yönetişim yapıları, süreçleri ve uygulamaları tesis edilmesini sağla veya görevlendirme yap.
3. Üzerinde anlaşılmış olan yönetişim tasarım prensipleri, karar alma modelleri ve delegasyon ile uyumlu olan sorumluluk, yetki ve yükümlülükleri tahsis et.
4. İletişim ve raporlama mekanizmalarının, gözetim ve karar almadan sorumlu olan kişiye uygun bilgileri temin etmesini sağla.
5. Personelin, ahlaki ve profesyonel davranış için ilgili kurallara uymaya yönlendirilmesi ve riayetsizlik sonuçlarının bilinmesi ve uygulanmalarını sağla.
6. İstenilen kültür değişikliğini teşvik etmek amacıyla bir ödül sistemi kurulmasına dair yönlendirme yap.
34
Bölüm 5

EDM01 Süreç Uygulamaları, Girdiler/Çıktılar ve Faaliyetler (devamı)
EDM01.03 Yönetişim sisteminin izlenmesi. Kurumun Kaynak Açıklama Açıklama Hedef
BT yönetişim etkinliği ve performansını izle.Yönetişim MEA01.04 Performans raporları Yönetişim etkinliği ve Tüm EDM
sistemi ve uygulanan mekanizmaların (yapılar, prensipler performansına dair geri APO01.07
ve süreçler dahil) etkili şekilde çalışıp çalışmadığı ve MEA01.05 Aksiyonların durumu ve
sonuçları bildirim
uygun BT gözetimi sağlayıp sağlamadığını değerlendir.
MEA02.01 • Karşılaştırmalı ve
diğer değerlendirmelerin
sonuçları
• İç kontrol izleme ve
değerlendirmelerinin
sonuçları
MEA02.03 Öz-değerlendirme
inceleme sonuçları
MEA02.06 Güvence planları
MEA03.03 Uyum onayları
MEA03.04 • Uyumsuzluk sorunları ve
kök neden raporları
• Uyum güvence raporları
COBIT dışında • Zorunluluklar
• Denetleme raporları
Faaliyetler
1. Kurum BT yönetişimi için sorumluluk ve yetki ile görevlendirilen paydaşların etkinlik ve performansını değerlendir.
2. Üzerinde anlaşılan BT yönetişim mekanizmalarının (yapılar, prensipler, süreçler, vb.) oluşturulup oluşturulmadığı ve etkili şekilde çalışıp çalışmadığını
düzenli aralıklarla değerlendir.
3. Yönetişim tasarım etkinliğinin değerlendirilmesi ve bulunan her türlü sapmanın düzeltilmesi için eylemleri belirle.
4. BT’nin zorunlulukları (yönetmelik, yasa, teamül hukuku, sözleşmeye ait), iç politikalar, standartlar ve profesyonel kuralları yerine getirme derecesi
gözetimini sürdür.
5. Kurum kontrol sisteminin etkinlik ve uygunluk gözetimini sağla.
6. BT kullanımının, ilgili zorunluluklar (yönetmelik, yasa, teamül hukuku, sözleşmeye ait), standartlar ve kurallara uygun olmasını sağlamak için düzenli ve
rutin mekanizmaları izle.
EDM01 İlgili Rehber

İlgili Standart Detaylı Referans
Treadway Komisyonunu Destekleyen
Kuruluşlar Komitesi (Committee of
Sponsoring Organizations of the Treadway
Commission (COSO))
ISO/IEC 38500
King III • 5.1. Yönetim kurulu bilgi teknolojileri (BT) yönetişiminden sorumlu olmalıdır.
• 5.3. Yönetim kurulu, BT yönetişim çerçevesini uygulama sorumluluğunu yönetime delege etmelidir.
Ekonomik İşbirliği ve Kalkınma Örgütü Kurumsal Yönetişim Prensipleri
(Organisation for Economic Co-operation
and Development (OECD))
35

36
Bölüm 5

Alan: Yönetişim
EDM02 Fayda Yaratımı Sağla Etki alanı: Değerlendir, Yönlendir ve İzle
BT tarafından uygun maliyetlerle yapılan yatırımların sonucunda iş süreçleri, BT hizmetleri ve BT varlıklarından işe değer katkısını optimize et.
İş ihtiyaçlarını etkili ve verimli şekilde desteklemek amacıyla, BT-etkin insiyatifler, hizmetler ve varlıklardan gelen optimum değeri; çözüm ve hizmetlerin
düşük maliyetle sağlanmasını; ve güvenilir ve doğru bir maliyet resmi ve olası faydaları güvence altına al.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
01 BT ve iş stratejisinin hizalanması • BT stratejik hedefleri tarafından desteklenen gereksinimlerin
ve kurum stratejik hedeflerinin yüzdesi
• Planlı program ve hizmet portföylerinin kapsamına dair paydaş
memnuniyet seviyesi
05 BT etkin yatırım ve hizmet portföylerinden gerçekleştirilen faydalar • Fayda gerçekleşmesinin tam ekonomik yaşam döngüsü
boyunca izlendiği BT etkin yatırımların yüzdesi
• Beklenen faydaların gerçekleştirildiği BT hizmetlerinin yüzdesi
• Talep edilen faydaların elde edildiği veya geçildiği BT etkin
yatırımların yüzdesi
06 BT maliyet, fayda ve riskinde şeffaflık • Açıkça tanımlanmış ve onaylanmış beklenen BT etkin maliyet
ve faydaları olan ticari yatırım durumlarının yüzdesi
• Açıkça tanımlanmış ve onaylanmış işletme maliyetleri ve
beklenen faydaları olan BT hizmetlerinin yüzdesi
• BT finansal bilgilerinde şeffaflık, mutabakat ve doğruluk
seviyesi ile ilgili ana paydaşların memnuniyet araştırması
07 BT hizmetlerinin iş gereksinimlerine uyumlu olarak sağlanması • BT hizmet olayları nedeniyle oluşan iş kesintilerinin sayısı
• BT hizmet tedariğinin üzerinde anlaşılmış hizmet seviyelerini
karşılamasından memnun iş paydaşlarının yüzdesi
• BT hizmetinin sağlandığı kaliteden memnun kullanıcıların
yüzdesi
17 İşte yenilik için bilgi birikimi, uzmanlık ve girişimcilik • BT yenilik olanaklarına dair iş idarecisinin farkında olma ve
kavrama seviyesi
• BT yeniliğine dair uzmanlık ve fikirlerin seviyesi konusunda
paydaş memnuniyet seviyesi
• Yenilikçi BT fikirlerinden doğan onaylanmış girişimlerin sayısı
1. Kurum, onaylı BT etkin kendine ait insiyatif, hizmet ve varlık portföyünden elde • BT değer yaratımı ve maliyet konusunda yönetici kadrosu
edilen optimum değeri güvence altına alır. memnuniyet seviyesi
• Hedef ve fiili karma yatırım arasındaki sapma
• Kurumun BT etkin insiyatiflerden değer elde edilmesindeki
kabiliyeti konusunda paydaş memnuniyet seviyesi
2. Optimum değerler, kurum içindeki etkili değer yönetim uygulamalarıyla BT • Yerleşik değer yönetim prensipleri ve uygulamalarında fiili
yatırımından türetilir. veya teşebbüs edilmiş sahtekarlık sonucunda ortaya çıkan
olayların sayısı
• Genel portföy içinde, değerin tam yaşam döngüsü boyunca
yönetildiği BT insiyatiflerinin yüzdesi
3. BT etkin yatırımların her biri optimum değere katkıda bulunur. • Belirlenmiş hedeflere doğru, araştırmalarla ölçülen değer
yaratımı olan ilerleme konusunda paydaş memnuniyet seviyesi
• Gerçekleştirilen beklenti değer yüzdesi
37
EDM02 SMDB Tablosu




Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
EDM02.01
Değer optimizasyonunu M S S D S S D D D D D D D S D D D
değerlendir
EDM02.02
Değer optimizasyonunu M S S D S B S B B B B B B B B B B S D B B B B B B B
yönlendir
EDM02.03
Değer optimizasyonunu izle M S S D S S S D D D D D D D S D D D

EDM02.01 Değer optimizasyonunu değerlendir Kaynak Açıklama Açıklama Hedef
BT etkin yatırım, hizmet ve varlık protföyünü, kurum APO02.05 Stratejik yol haritası Stratejik uyumlandırmanın APO02.04
amaçlarını gerçekleştirme ve makul maliyetle değer değerlendirilmesi APO05.03
yaratma olasılığını belirlemek amacıyla sürekli olarak
değerlendir. Değer oluşturmayı optimize etmek amacıyla APO05.02 Yatırım geri dönüşü Yatırım ve hizmet APO05.03
yönetim istikametinde yapılması gereken her türlü beklentileri portföylerinin APO05.04
değişiklik kararını tespit et ve ver. APO05.03 Yatırım kilometre değerlendirilmesi APO06.02
taşlarındaki geri dönüşü
(ROI) olan seçilmiş
programlar
APO05.06 Fayda sonuçları ve ilgili
iletişim
BAI01.06 Aşama bitiş gözden
geçirme sonuçları
Faaliyetler
1. Paydaş gereksinimleri, BT’ye bağımlılık gibi stratejik BT sorunları ve kurum stratejisi açısından BT’nin fiili ve potansiyel önemiyle ilgili teknoloji anlayışı
ve yetkinlikleri kavra.
2. Mevcut olan ve yeni BT hizmet, varlık ve kaynaklarının kullanımından elde edilen optimum değerin güvenilir, güvenceli ve düşük maliyetle yaratımında
gerekli olan yönetişim ana öğelerini kavra.
3. Güncel, yeni veya gelişmekte olan teknolojilerle gerçekleştirilen kurum değişikliğinden doğabilecek fırsatları kavra ve düzenli olarak üzerinde
görüşülmesi ve bu fırsatlardan oluşturulan değerin optimize edilmesini sağla.
4. Kurum adına değeri neyin oluşturduğunu kavra ve bunun kurum süreçleri içinde ne kadar iyi şekilde iletişiminin yapıldığı, kavrandığı ve uygulandığını
dikkate al.
5. Kurum ve BT stratejilerinin, değer yaratımı amacıyla ne kadar etkili şekilde kuruma entegre edildiği ve kurum ve kurum hedefleriyle hizalandığını
değerlendir.
6. Mevcut görevler, sorumluluklar, yükümlülükler ve karar alma organlarının, BT etkin yatırımlar, hizmetler ve varlıklardan değer yaratımının
sağlanmasında ne kadar etkili olduklarını kavra ve dikkate al.
7. BT etkin yatırımlar, hizmetler ve varlıkların, kurum değer yönetimi ve finansal yönetim uygulamalarıyla uyumlu olarak ne kadar iyi yönetildiğini dikkate al.
8. Yatırım, hizmet ve varlık protföyünün kurum stratejik amaçlarına uygunluğu, hem finansal ve hem de finansal olmayan kurum kıymeti, hem teslim riski
ve hem de fayda riski olmak üzere risk, iş süreç uyumlandırma, kullanılabilirlik, sağlanabilirlik ve yanıt verebilirlik açısından etkinlik ve maliyet, işsizlik
ve teknik sağlık açısından etkinliği değerlendir.
38
Bölüm 5

EDM02.02 Değer optimizasyonunu yönlendir Kaynak Açıklama Açıklama Hedef
BT etkin yatırımlardan tüm ekonomik yaşam Yatırım tipleri ve kriterleri APO05.01
döngüleri boyunca elde edilebilecek optimum değeri APO05.03
gerçekleştirmek amacıyla değer yönetim prensipleri ve
uygulamalarını yönlendir. Aşama bitiş gözden BAI01.01
geçirme şartları
Faaliyetler
1. Genel nispi değer puanlarını hesaba katmak amacıyla, portföy ve yatırım tipleri, kategorileri, kriterleri ve kriterlerin ilgili ağırlıklandırmalarını tanımla ve
bildir.
2. Yatırımın kurum için önemi ve ilişkili risk, program çizelgeleri, kaynak yaratma planları ve ana yetkinlikler ve faydaların teslimi ve devam eden değer
katkısı açısından aşama bitiş ve diğer gözden geçirme şartlarını tanımla.
3. Kurumun yeni fırsatlara veya zorluklara cevap vermesini, yeni iş yüklenmesini, rekabetçiliğini arttırmasını veya süreçleri geliştirmesini gerçekleştiren
potansiyel yenilikçi BT kullanımlarını dikkate almak amacıyla yönetimi yönlendir.
4. Yatırım portföyünün yürütülmesi ve iş süreçleri ve hizmetlerinden değer yaratılmasındaki yükümlülükler ve sorumlulukların tahsis edilmesi için gerekli
her türlü değişikliği yönlendir.
5. Etkili izlemeyi gerçekleştirmek amacıyla kurum seviyesinde değer yaratım hedefleri ve sonuç ölçütleri tanımla ve bildir.
6. Güncel ve beklenen kurum amaçları ve/veya kısıtlamalarıyla yeniden hizalamak amacıyla yatırım ve hizmet portföyünde gerekli olan her türlü
değişikliği yönlendir.
7. BT etkin insiyatiflerden kurum adına arttırılmış değer sağlayabilecek potansiyel yenilikler, organizasyon değişiklikleri veya operasyonel gelişmelerin göz
önünde bulundurulmasını öner.
EDM02.03 Değer optimizasyonunu izle Kaynak Açıklama Açıklama Hedef
İşin, BT etkin yatırımlar ve hizmetlerden kuruma ne APO05.04 Yatırım portföyü Portföy ve program APO05.04
seviyede beklenen değer ve fayda yarattığını belirlemek performans raporları performansına dair geri APO06.05
amacıyla ana hedefler ve ölçütleri izle. Önemli olayları bildirim BAI01.06
belirle ve düzeltici aksiyonları dikkate al.
Değer yaratımını arttıran EDM05.01
eylemler APO05.04
APO06.02
BAI01.01
Faaliyetler
1. Performans amaçları, ölçütleri, hedefleri ve karşılaştırmalı değerlendirmelerin dengeli bir grubunu tanımla. Ölçütler, faaliyet ve sonuçlar için öncül ve
gecikmeli göstergeler dahil olmak üzere sonuç ölçütlerini ve aynı zamanda finansal ve finansal olmayan ölçütlerin uygun bir dengesini içermelidir.
Bunları, BT ve diğer iş fonksiyonları ve diğer ilgili paydaşlar ile gözden geçir ve üzerinde anlaş.
2. Hedeflerle karşılaştırıldığında değer yaratımındaki ilerlemeyi raporlamak amacıyla ilgili, zamanında, tam, güvenilir ve doğru verileri topla. Karar almayı
destekleyecek şekilde, portföy, program ve BT (teknik ve operasyonel yetkinlikler) performansının kısa ve öz, yüksek seviyeli, çepeçevre görünümünü
elde et ve beklenen sonuçların gerçekleştirildiğinden emin ol.
3. Düzenli ve ilgili portföy, program ve BT (teknik ve fonksiyonel) performans raporlarını elde et. Kurumun belirlenmiş hedeflere doğru ilerlemesi ve
planlanan amaçları gerçekleştirme, çıktıları elde etme, performans hedeflerine ulaşma ve riski azaltma seviyesini gözden geçir.
4. Raporlar gözden geçirildikten sonra, değer optimizasyonunu sağlamak amacıyla gerektiğinde uygun yönetim tedbirini al.
5. Raporlar gözden geçirildikten sonra, uygun yönetim düzeltici tedbirinin başlatıldığından ve kontrol edildiğinden emin ol.

COSO
ISO/IEC 38500
King III • 5.2. BT, şirketin performans ve sürdürülebilirlik amaçlarıyla hizalanmalıdır.
• 5.4. Yönetim kurulu, önemli BT yatırım ve harcamalarını izlemeli ve değerlendirmelidir.
39

40
Bölüm 5

Alan: Yönetişim
EDM03 Risk Optimizasyonunu Sağla Etki alanı: Değerlendir, Yönlendir ve İzle
Kurum risk iştahı ve toleransının kavrandığı, ifade edildiği ve bildirildiğinden ve BT kullanımıyla ilgili kurum değerine yönelik riskin belirlendiği ve
yönetildiğinden emin ol.
BT-Bağlantılı kurum riskinin, risk iştahı ve risk toleransını geçmediğinden, BT riskinin kurum değeri üzerindeki etkisinin belirlendiği ve yönetildiğinden ve
uyum başarısızlıkları potansiyelinin minimize edildiğinden emin ol.
04 Yönetilen BT-Bağlantılı iş riski • Risk değerlendirmesinin kapsadığı kritik iş süreçleri, BT hizmetleri ve BT etkin iş programlarının
yüzdesi
• Risk değerlendirmesinde belirlenmemiş olan önemli BT-bağlantılı olayların sayısı
• BT-bağlantılı risk dahil olmak üzere kurum risk değerlendirmelerinin yüzdesi
06 BT maliyet, fayda ve riskinde şeffaflık • Açıkça tanımlanmış ve onaylanmış beklenen BT etkin maliyet ve faydaları olan ticari yatırım
durumlarının yüzdesi
• Açıkça tanımlanmış ve onaylanmış işletme maliyetleri ve beklenen faydaları olan BT hizmetlerinin yüzdesi
• BT finansal bilgilerinde şeffaflık, mutabakat ve doğruluk seviyesi ile ilgili ana paydaşların
memnuniyet araştırması
10 Bilgi, süreç altyapısı ve uygulamaların güvenliği • Finansal kayıp, iş kesintisi veya toplum önünde küçük düşmeye yol açan güvenlik olaylarının sayısı
• Güvenlik şartları yerine getirilmemiş olan BT hizmetlerinin sayısı
• Üzerinde anlaşılmış hizmet seviyeleriyle karşılaştırıldığında erişim ayrıcalıklarının verilme,
değiştirilme ve kaldırılma süresi
15 İç politikalarla BT uyumu • Politikaya uygun olmayan olayların sayısı
• Politikaların esasını kavrayan paydaşların yüzdesi
• Etkili standartlar ve çalışma yöntemleriyle desteklenen politikaların yüzdesi
1. Risk eşik değerleri tanımlanır ve bildirilir ve ana BT- • BT riski ve kurum riski arasındaki uyum seviyesi
Bağlantılı risk bilinir. • Belirlenen ve yönetilen potansiyel BT risklerinin sayısı
• Risk faktörü değerlendirmesinin yenilenme hızı
2. Kurum, kritik BT-Bağlantılı kurum riskini etkili ve verimli • BT riski düşündüren kurum projelerinin yüzdesi
şekilde yönetir. • Zamanında yürütülen BT riski eylem planlarının yüzdesi
•Etkili şekilde azaltılan kritik risk yüzdesi
3. BT-Bağlantılı kurum riski, risk iştahını geçmez ve BT • Beklenmedik kurum etkisi seviyesi
riskinin kurum değerine etkisi belirlenir ve yönetilir. • Kurum risk toleransını geçen BT riski yüzdesi
EDM03 SMDB Tablosu





Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
EDM03.01
Risk yönetimini değerlendir M S D D S D S B S D B D D D S D D
EDM03.02
Risk yönetimini yönlendir M S D D S D S B B B S B B B D D D S D B B B B B B B
EDM03.03
Risk yönetimini izle M S D D S D S B B B S S B B D D D S D B B B B B B D
41

EDM03.01 Risk yönetimini değerlendir Kaynak Açıklama Açıklama Hedef
Riskin, şimdiki ve gelecekteki kurum içinde BT kullanımı APO12.01 Ortaya çıkmakta olan risk Risk iştah rehberi APO12.03
üzerindeki etkisini sürekli olarak incele ve bu konuda sorunları ve faktörleri
karar al Kurum risk iştahının uygun olup olmadığının, Onaylanmış risk tolerans APO12.03
BT kullanımıyla ilgili kurum değerine yönelik riskin seviyeleri
belirlenip belirlenmediği ve yönetilip yönetilmediğini göz COBIT dışında Kurum risk yönetim Risk yönetim faaliyetlerinin APO12.01
önünde bulundur. prensipleri değerlendirmesi
Faaliyetler
1. Kurumun amaçlarını gerçekleştirmek için almaya razı olduğu BT-Bağlantılı risk seviyesini (risk iştahı) belirle.
2. Kurumun kabul edilebilir risk ve fırsat seviyelerine karşı, öngörülen BT risk toleransı eşik değerlerini değerlendir ve onayla.
3. BT risk stratejisinin kurum risk stratejisine uyum seviyesini belirle.
4. Karara bağlanmamış stratejik kurum kararlarının öncesinde BT risk faktörlerinin önceden değerlendirilmesi ve riskin farkında olan kurum kararlarının
verilmesini sağla.
5. BT kullanımının, ilgili uluslararası ve ulusal standartlarda açıklandığı üzere, uygun risk değerlendirmesi ve tespitine tabi olduğunu belirt.
6. BT-Bağlantılı kayıp ve bununla ilgili liderlik toleransının kurum kapasitesiyle uyumunu sağlamak amacıyla risk yönetim faaliyetlerini tespit et.
EDM03.0 Risk yönetimini yönlendir Kaynak Açıklama Açıklama Hedef
BT risk yönetimi uygulamalarının, fiili BT riskinin APO12.03 Risk yönetim aksiyonlarının Risk yönetim politikaları APO12.01
yönetim kurulu risk iştahını geçmemesini sağlamak için durumu dahil olmak üzere Risk yönetimi için
uygun olduğu makul güvenceyi sağlamak amacıyla, APO12.01
toplam risk profili izlenecek ana amaçlar
risk yönetim uygulamalarının oluşturulmasına dair
yönlendirme yap COBIT dışında Kurum risk yönetimi (ERM) Risk yönetimini ölçmek APO12.01
profilleri ve risk azaltma için onaylanmış süreç
planları
Faaliyetler
1. BT riskinin farkında olan bir kültürü teşvik et ve BT riski ve potansiyel iş etkilerini tanımlamak amacıyla önceden tedbirler alarak kurumu güçlendir.
2. BT risk stratejisi ve operasyonların, kurum stratejik risk kararları ve operasyonlarıyla entegrasyonunu yönlendir.
3. Risk iletişim planlarının (tüm kurum seviyelerini kapsayan) yanı sıra risk eylem planlarının geliştirilmesini yönlendir.
4. Değişen riske hızlı cevap vermek ve uygun yönetim seviyelerine anında rapor vermek amacıyla, üzerinde anlaşılmış üst bildirim prensipleriyle
desteklenen (ne, ne zaman, nerede ve nasıl rapor edilecek,) uygun mekanizmaların çalıştırılmasını yönlendir.
5. Riskler, fırsatlar, sorunlar ve endişeler herhangi bir kişi tarafından herhangi bir zamanda tanımlanabilecek ve raporlanabilecek şekilde yönlendir. Risk,
yayınlanmış politikalar ve prosedürlere uygun olarak yönetilmeli ve ilgili karar vericilere doğru üst bildirimi yapılmalıdır.
6. Risk yönetişim ve yönetim süreçlerine ait izlenecek ana hedefler ve ölçütleri belirle ve ölçüm bilgilerinin elde edilmesi ve raporlanmasına yönelik
yaklaşım, usul, teknik ve süreçleri onayla.
42
Bölüm 5

EDM03.03 Risk yönetimini izle Kaynak Açıklama Açıklama Hedef
Risk yönetim süreçlerine ait ana hedefler ve ölçütleri izle APO12.02 Risk analizi sonuçları Risk yönetim sapmalarına APO12.06
ve sapmalar veya problemlerin, iyileştirme amacıyla, yönelik iyileştirici
nasıl tanımlanacağı, izleneceği ve raporlanacağını teşkil aksiyonlar
et.
APO12.04 Daha büyük risk Yönetim kuruluna ait risk EDM05.01
alınmasının getirdiği yönetim sorunları
fırsatlar
Üçüncü şahıs risk
değerlendirmelerinin
sonuçları
Paydaşlara ait risk analizi
ve risk profil raporları
Faaliyetler
1. Risk profilinin, risk iştahı eşik değerleri içinde yönetilme derecesini izle.
2. Hedeflerle karşılaştırıldığında risk yönetişim ve yönetim süreçlerine ait ana hedefler ve ölçütleri izle, herhangi bir sapma nedenini analiz et ve altta
yatan nedenlere yönelik iyileştirici aksiyonları başlat.
3. Kurumun belirlenmiş hedeflere yönelik ilerlemesine ait ana paydaş gözden geçirmelerini gerçekleştir.
4. Herhangi bir risk yönetim sorununu yönetim kurulu veya heyetine raporla.

COSO/ERM
ISO/IEC 31000 Risk Yönetim Çerçevesi
ISO/IEC 38500
King III • 5.5. BT, şirket risk yönetiminin entegre bir parçasını oluşturmalıdır.
• 5.7. Risk heyeti ve denetleme heyeti, kendi BT sorumluluklarını gerçekleştirmesinde yönetim kuruluna
yardımcı olmalıdır.
43

44
Bölüm 5

Alan: Yönetişim
EDM04 Kaynak Optimizasyonu Sağla Etki alanı: Değerlendir, Yönlendir ve İzle
Yeterli ve uygun BT-Bağlantılı yetkinliklerin (insan, süreç ve teknoloji) kurum amaçlarını optimum maliyetle etkili şekilde desteklemek amacıyla
kullanılabilirliğinden emin ol.
Kurumun kaynak ihtiyaçlarının optimum şekilde karşılandığından, BT maliyetlerinin optimize edildiğinden ve fayda gerçekleşme olasılığı ve gelecekteki
değişikliğe hazır olmanın arttırıldığından emin ol.
09 BT çevikliği • BT’nin yeni şartlara tepki verme yeteneğine dair iş idarecileri
memnuniyetinin seviyesi
•Güncel altyapı ve uygulamalarla desteklenen kritik iş süreçlerinin sayısı
• Stratejik BT amaçlarının, üzerinde anlaşılmış ve onaylanmış bir
girişime döndürülmesi için geçen ortalama süre
11 BT varlık, kaynak ve yetkinliklerinin optimizasyonu • Yetkinlik olgunluğu ve maliyet optimizasyon değerlendirmelerinin
sıklığı
• Değerlendirme sonuçlarının eğilimi
• BT-Bağlantılı maliyetler ve yetkinlikler konusunda iş idarecileri ve BT
yöneticilerinin memnuniyet dereceleri
16 Yetkin ve istekli iş ve BT personeli • Makamı için gereken yetkinliğe ilişkin BT-Bağlantılı becerileri yeterli
olan kadro yüzdesi
• BT-Bağlantılı görevlerinden memnun kadro yüzdesi
• Her bir çalışan başına düşen sürekli öğrenme/eğitim saati sayısı
1. Kurumun kaynak ihtiyaçları optimum yetkinliklerle karşılanır. • Kaynak optimizasyonunda paydaş geri bildirim seviyesi
• Kaynakların optimum kullanımıyla elde edilen fayda (ör., maliyet
tasarrufu) sayısı
• Kaynak planı ve kurum mimari stratejilerinden sapma sayısı
2. Kaynaklar, kurum önceliklerini bütçe kısıtlamaları dahilinde en iyi şekilde • Kaynak yönetim prensiplerinden ve beklentilerinden sapma sayısı
karşılamak amacıyla tahsis edilir. • Uygun kaynak tahsisi olan projelerin yüzdesi
3. Kaynakların optimum kullanımı, tam ekonomik yaşam döngüleri içinde • Mimari bileşenlerin tekrar kullanım yüzdesi
gerçekleştirilir. • Kaynak yönetim sorunları nedeniyle orta- veya yüksek-risk durumu
olan proje ve programların yüzdesi
• Gerçekleştirilen kaynak yönetim performans hedeflerinin sayısı
EDM04 SMDB Tablosu





Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
EDM04.01
Kaynak yönetimini değerlendir M S D D S S B D D D D D D D S D D D
EDM04.02
Kaynak yönetimini yönlendir M S D D S B S B B B B B B B B B B S D B B B B B B B
EDM04.03
Kaynak yönetimini izle M S D D S B S B B B D D D D D D D S D D D B B B B B
45

EDM04.01 Kaynak yönetimini değerlendir Kaynak Açıklama Açıklama Hedef
Şimdiki ve gelecekteki BT Bağlantılı kaynak ihtiyacı, APO02.04 Hedef yeterliliğinin Kaynak ve yetkinliklerin APO02.01
kaynak oluşturma seçenekleri (kaynak temin stratejileri sağlanmasındaki tahsisi için rehber APO07.01
dahil) ve kurum ihtiyaçlarını optimum şekilde karşılamak eksiklikler ve gerekli olan prensipler BAI03.11
amacıyla tahsis ve yönetim prensiplerini sürekli olarak değişiklikler
incele ve bu konuda karar al.
APO07.03 Beceri geliştirme planları Kurum mimarisi için rehber APO03.01
prensipler
APO10.02 Tedarikçi değerlendirme Onaylanmış kaynak planı APO02.05
kararlarının sonuçları APO07.01
APO09.02
Faaliyetler
1. Şimdiki ve gelecekteki ihtiyaçları (kaynak temin seçenekleri dahil) karşılamak için şimdiki ve gelecekteki strateji, BT kaynaklarının sağlanma
seçenekleri ve gelişen yetkinlikleri incele ve bu konuda karar al.
2. BT’nin kurum ihtiyaçlarını, üzerinde anlaşılmış olan öncelikler ve bütçe kısıtlamalarına uygun olan gerekli yetkinlik ve kapasiteyle karşılayabilmesi için,
kaynak ve yetkinliklerin tahsisi ve yönetimini yönlendirmek amacıyla prensipleri tanımla.
3. Değer yaratımı ve riskin tahsis edilen kaynaklarla azaltılması amacıyla kaynak planı ve kurum mimari stratejilerini gözden geçir ve onayla.
4. Kaynak yönetiminin, kurum finansal ve insan kaynakları (HR) planlamasıyla hizalanmasına ilişkin gereksinimleri kavra.
5. Kurum mimarisinin yönetim ve kontrolüne ilişkin prensipleri tanımla.
EDM04.02 Kaynak yönetimini yönlendir Kaynak Açıklama Açıklama Hedef
BT kaynaklarının optimum kullanımını tam ekonomik Kaynak oluşturma APO02.06
yaşam döngüleri içinde gerçekleştirmek amacıyla stratejilerinin bildirilmesi APO07.05
kaynak yönetim prensiplerinin benimsendiğinden emin APO09.02
ol.
Kaynak yönetimine tahsis APO01.02
edilen sorumluluklar DSS06.03
Kaynakları koruma APO01.04
prensipleri
Faaliyetler
1. Kaynak yönetim stratejileri, prensipleri ve üzerinde anlaşılmış olan kaynak planı ve kurum mimari stratejilerinin benimsenmesini bildir ve sağla.
2. Kaynak yönetimini yürütmek amacıyla sorumlulukları tahsis et.
3. Kaynak yönetimi için ana hedefler, ölçütler ve ölçütleri tanımla.
4. Kaynakların korunmasıyla ilişkili prensipleri oluştur.
5. Kaynak yönetimini kurum finansal ve HR planlamasıyla hizala.
EDM04.03 Kaynak yönetimini izle Kaynak Açıklama Açıklama Hedef
Kaynak yönetim süreçlerine ait ana hedefler ve ölçütleri Kaynak ve yetkinliklerin EDM05.01
izle ve sapmalar veya problemlerin, iyileştirme amacıyla, tahsisi ve etkinliği APO02.05
nasıl tanımlanacağı, izleneceği ve raporlanacağını teşkil konusunda geri bildirim APO07.05
et. APO09.05
Kaynak yönetim APO02.05
sapmalarına yönelik APO07.01
iyileştirici aksiyonlar APO07.03
APO09.04
Faaliyetler
1. Kaynakların tahsisi ve optimizasyonunu, kurum amaçları ve önceliklerine uyumlu olarak üzerinde anlaşılmış olan hedef ve ölçütler kullanarak izle.
2. Şimdiki ve gelecekteki kurum ihtiyaçlarının karşılanabilmesini sağlamak amacıyla, BT kaynak oluşturma stratejileri, kurum mimari stratejileri, BT
kaynakları ve yetkinlikleri izle.
3. Hedeflerle karşılaştırmalı olarak kaynak performansını izle, sapma nedenlerini analiz et ve altta yatan nedenlere yönelik iyileştirici aksiyonları başlat.
46
Bölüm 5

ISO/IEC 38500
King III 5.6. Yönetim kurulu, bilgi varlıklarının etkili şekilde yönetildiğinden emin olmalıdır.
The Open Group Mimari Çerçeve Forumu Bir Mimar Kurulu, Mimari Yönetim ve Mimari Olgunluk Modellerinin TOGAF bileşenleri kaynak
(The Open Group Architecture Forum optimizasyonuyla eşleşir.
(TOGAF) 9)
47

48
Bölüm 5

Alan: Yönetişim
EDM05 Paydaş Şeffaflığı Sağla Etki alanı: Değerlendir, Yönlendir ve İzle
Kurum BT performans ve uyum ölçümü ve raporlamanın, hedef ve ölçütleri ve gerekli iyileştirici aksiyonları onaylayan paydaşlara şeffaf olduğundan
emin ol.
Paydaşlarla iletişimin etkili ve zamanında olduğundan ve performansı arttırmak amacıyla raporlama esasının oluşturulduğundan emin ol, iyileştirme
alanlarını belirle ve BT-Bağlantılı amaçlar ve stratejilerin kurum stratejisiyle hizalandığını teyit et.
03 BT-Bağlantılı kararların verilmesinde yönetici kadronun uyumu • BT kararları için açıkça tanımlanmış yükümlülükleri olan
yönetici kadro görevlerinin yüzdesi
• BT’nin önceden önlemler alınacak şekilde yönetim kurulu
toplantı gündeminde olma sayısı
• BT strateji (yönetim) kurulu toplantılarının sıklığı
• BT-Bağlantılı yönetim kararlarının icra oranı
yüzdesi
1. Paydaş raporlaması, paydaş gereksinimleriyle uyumludur. • Raporlama gereksinimlerine yapılan son gözden geçirme tarihi
• Raporlama gereksinimlerine dahil edilen paydaş yüzdesi
2. Raporlama tam, zamanında ve doğrudur. • Zamanında teslim edilmeyen rapor yüzdesi.
• Yanlışlıklar içeren rapor yüzdesi
3. İletişim etkilidir ve paydaşlar memnundur. • Raporlama konusunda paydaş memnuniyet seviyesi
• Zorunlu raporlama gereksinimi ihlallerinin sayısı
EDM05 SMDB Tablosu





Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
EDM05.01
Paydaş raporlama M S D D D B D D S B B
gereksinimlerini değerlendir
EDM05.02
Paydaş iletişim ve raporlamasını M S D D D B D D S B B
yönlendir
EDM05.03
Paydaş iletişimini izle M S D D D B D D S B B
49

EDM05.01 Paydaş raporlama gereksinimlerini Kaynak Açıklama Açıklama Hedef
değerlendir EDM02.03 Değer yaratımını arttıran Kurum raporlama MEA01.01
Hem zorunlu raporlama gereksinimleri (ör., yönetmelik eylemler gereksinimlerinin
gereği) ve hem de diğer paydaşlarla iletişim dahil, değerlendirilmesi
paydaş iletişimi ve raporlamaya ilişkin şimdiki ve
gelecekteki gereksinimleri sürekli olarak incele ve bu EDM03.03 Yönetim kuruluna ait risk Raporlama ve iletişim MEA01.01
konuda karar al. yönetim sorunları prensipleri
İletişim prensiplerini oluştur. EDM04.03 Kaynak ve yetkinliklerin
tahsisi ve etkinliği
konusunda geri bildirim
MEA02.08 Arıtılmış kapsam
Faaliyetler
1. Kurum içinde BT kullanımına ilişkin şimdiki ve gelecekteki kapsam ve sıklık dahil olmak üzere zorunlu raporlama gereksinimlerini (yönetmelik, yasa,
teamül hukuku, sözleşmeye ait) incele ve bu konuda karar al.
2. Kurum içinde BT kullanımına ilişkin şimdiki ve gelecekteki kapsam ve şartlar dahil olmak üzere diğer paydaşlar için zorunlu raporlama gereksinimlerini
incele ve bu konuda karar al.
3. İletişim biçimleri ve iletişim kanalları dahil olmak üzere, dış ve iç paydaşlarla iletişim ve paydaş raporlama kabul ve imzalama prensiplerini sürdür.
EDM05.02 Paydaş iletişim ve raporlamasını Kaynak Açıklama Açıklama Hedef
yönlendir APO12.04 Paydaşlara ait risk analizi Zorunlu raporları MEA01.01
Bilgilerin kalite ve eksiksizliği, zorunlu raporlama ve risk profil raporları doğrulama ve onaylama MEA03.04
gözetimi ve paydaşlar için bir iletişim stratejisi kuralları
oluşturulmasının sağlanmasına yönelik mekanizmalar
dahil olmak üzere, etkili paydaş iletişimi ve Üst bildirim kılavuzu MEA01.05
raporlamasının teşkil edildiğinden emin ol.
Faaliyetler
1. Dış ve iç paydaşlara yönelik iletişim stratejileri oluşturulmasına dair yönlendirme yap.
2. Bilgilerin kurum için zorunlu BT raporlama gereksinimlerine ait tüm kriterleri karşılamasını sağlayan mekanizmaların uygulanmasına dair yönlendirme yap.
3. Zorunlu raporlama doğrulama ve onaylama mekanizmalarını oluştur.
4. Raporlama üst bildirim mekanizmalarını oluştur.
EDM05.03 Paydaş iletişiminin izle Kaynak Açıklama Açıklama Hedef
Paydaş iletişim etkinliğini izle. Doğruluk, güvenilirlik ve MEA02.08 • Güvence gözden Raporlama etkinliği MEA01.01
etkinlik mekanizmalarını değerlendir ve farklı paydaş geçirme raporu değerlendirmesi MEA03.04
gereksinimlerinin karşılanıp karşılanmadığını tespit et. • Güvence gözden
Faaliyetler
1. Zorunlu raporlamaların doğruluk ve güvenilirliğini sağlamak amacıyla mekanizmaların etkinliğini düzenli aralıklarla değerlendir.
2. Dış ve iç paydaşlarla iletişim sonuçları ve mekanizmalarına dair etkinliği düzenli aralıklarla değerlendir.
3. Farklı paydaşların gereksinimlerinin karşılanıp karşılanmadığını belirle.

COSO
ISO/IEC 38500
King III
50
Bölüm 5
Hizala, Planla ve Organize Et

HİZALA, PLANLA VE ORGANİZE ET
(APO)
01 BT yönetim çerçevesini yönet
02 Stratejiyi yönet
03 Kurum mimarisini yönet
04 Yenilikleri yönet
05 Portföyü yönet
06 Bütçe ve maliyeti yönet
07 İnsan kaynaklarını yönet
08 İlişkileri yönet
09 Hizmet anlaşmalarını yönet
10 Tedarikçileri yönet
11 Kaliteyi yönet
12 Riski yönet
13 Güvenliği yönet
51

52
Bölüm 5
Alan: Yönetim
APO01 BT Yönetim Çerçevesini Yönet Etki alanı: Hizala, Planla ve Organize Et
Kurum BT özel görev ve vizyon yönetişimine açıklık getir ve sürdür. Bilgi yönetimi ve kurum içinde yönetişim amaçlarını rehber prensipler ve politikalarla
uyumlu olarak desteklemek amacıyla BT kullanımına dair mekanizma ve yetkileri uygula ve sürdür.
Kurum yönetişim gereksinimlerinin karşılanmasını gerçekleştirmek amacıyla, yönetim süreçleri, organizasyon yapıları, görevler ve sorumluluklar,
güvenilir ve tekrarlanabilir faaliyetler ve beceriler ve yetkinlikleri kapsayan tutarlı yönetim yaklaşımını sağla.

memnuniyet seviyesi
02 İşin ait olunan ülke dışındaki ülkelere ait kanunlar ve yönetmeliklere uygunluğu • Ödemeler ve para cezaları ve itibar kaybı etkisi dahil BT’ye
için BT uyumu ve desteği uygun olmamanın maliyeti
• Yönetim kuruluna rapor edilen veya kamuoyu açıklamasına
veya toplum önünde küçük düşmeye yol açan BT-Bağlantılı
uygun olmama sorunlarının sayısı
•BT hizmet sağlayıcılarıyla yapılan sözleşmeli anlaşmalarla ilgili
• Uygunluk değerlendirmelerinin kapsamı
•Güncel altyapı ve uygulamalarla desteklenen kritik iş
süreçlerinin sayısı
11 BT varlık, kaynak ve yetkinliklerinin optimizasyonu • Yetkinlik olgunluğu ve maliyet optimizasyon
değerlendirmelerinin sıklığı
• BT-Bağlantılı maliyetler ve yetkinlikler konusunda iş idarecileri
ve BT yöneticilerinin memnuniyet dereceleri
• Etkili standartlar ve çalışma yöntemleriyle desteklenen
politikaların yüzdesi
16 Yetkin ve istekli iş ve BT personeli • Makamı için gereken yetkinliğe yönelik BT-Bağlantılı becerileri
yeterli olan kadro yüzdesi
• Her bir çalışan başına düşen sürekli öğrenme/eğitim saati
sayısı
kavrama seviyesi
paydaş memnuniyet seviyesi
1. Bir grup etkili politika tanımlanır ve sürdürülür. • Aktif politikalar, standartlar ve belgelenmiş ve güncel diğer
sağlayıcıların yüzdesi
• Çerçeve ve sağlayıcılara yapılan son güncelleme tarihi
• Kontrol ortamı tasarımının yetersizliklerinden kaynaklanan
riske maruz kalma sayısı
2. Herkes politikaların farkındadır ve nasıl uygulaması gerektiğini bilir. • Eğitim ve farkındalık toplantılarına katılmış olan çalışan sayısı
• Kontrol gereksinimlerini tanımlayan anlaşmaları olan üçüncü
şahıs tedarikçilerin yüzdesi
53
APO01 SMDB Tablosu




Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
Ana Yönetim Uygulaması
APO01.01
Organizasyon yapısını tanımla D D D D B D S B B M D D D S D D D
APO01.02
Görevler ve sorumlulukları B D D D D D M D D D S D D D D
oluştur
APO01.03
Yönetim sistemi D M D S D D B D D D D D D S S
gerçekleştiricilerini sürdür
APO01.04
Yönetim amaçları ve M S S S B S B B B S S B B B B B S B B B B B B B B
doğrultusunu bildir.
APO01.05
BT fonksiyonu yerleştirilmesini D D D D M D D D D S D D D S D D D
optimize et
APO01.06
Bilgi (veri) ve sistem mülkiyetini B B D M S D D D D D D D
tanımla
APO01.07
Sürekli süreç gelişimini yönet M S S D B D D S S S S S S S S
APO01.08
Politikalar ve prosedürlerle M S S S S D B S S S S S S S S
uyumu sürdür.
APO01 Süreç Uygulamaları, Girdiler/Çıktılar ve Faaliyetler

Yönetim Uygulaması Girdiler Çıktılar
APO01.01 Organizasyon yapısını tanımla Kaynak Açıklama Açıklama Hedef
İş ihtiyaçları ve BT önceliklerini yansıtan bir iç ve geniş
EDM01.01 • Karar alma modeli Organizasyon yapısı ve APO03.02
çaplı organizasyon yapısını oluştur. Yönetimin karar
• Kurum yönetişimi rehber fonksiyonlarının tanımı
almasının en etkili ve verimli şekilde gerçekleşmesini
prensipleri
sağlayan gerekli yönetim yapılarını (ör., kurullar) yerleşik
hale getir. APO03.02 Süreç mimari modeli Organizasyon operasyon APO03.02
rehberleri
İletişim temel kuralları Tüm APO Tüm
BAI Tüm DSS
Tüm MEA
54
Bölüm 5
APO01 Süreç Uygulamaları, Girdiler/Çıktılar ve Faaliyetler (devamı)

APO01.01 Faaliyetler
1. Üçüncü şahıslar tarafından gerçekleştirilen BT faaliyetleri dahil olmak üzere, gerekli olan kapsam, iç ve dış fonksiyonlar, iç ve dış görevler ve yetkinlikler
ve karar haklarını tanımla.
2. Kurum getirileri ve BT stratejisinin gerçekleştirilmesi ve BT hizmetlerinin yönetimi ve yürütülmesi için gerekli olan kararları belirle.
3. Önemli olan paydaşların karar almaya dahil edilmesini (yükümlü, sorumlu, danışılacak veya bilgilendirilecek) teşkil et.
4. BT-Bağlantılı organizasyonu kurum mimarisi organizasyon modelleriyle hizala.
5. BT-Bağlantılı organizasyon yapısı içinde her bir fonksiyonun odak noktası, görevi ve sorumluluklarını tanımla.
6. Yönetim ve yürütme fonksiyonları ve görevlerini, yönetişim yönlendirme grubu ile uyumlu olarak desteklemek amacıyla yönetim yapıları ve ilişkilerini
tanımla.
7. Yönetim kurulu seviyesinde BT strateji kurulunu (veya eşdeğeri) oluştur. Bu kurul, tam yönetim kurulunun yerine kurum yönetişiminin bir parçası olarak

BT yönetişiminin yeterince ele alınmasını, stratejik istikamet hakkında fikir vermesini ve büyük yatırımları gözden geçirmesini sağlamalıdır.
8. Kurum iş stratejisi ve öncelikleriyle uyumlu BT etkin yatırım programlarının önceliklendirilmesini belirlemek, projelerin durumunu izlemek ve kaynak
ihtilaflarını çözmek ve hizmet seviyeleri ve hizmet geliştirmelerini izlemek amacıyla idari, iş ve BT yönetiminden oluşan bir BT yönlendirme kurulunu
(veya eşdeğeri) oluştur.
9. Her yönetim yapısına (yetki ve görevler, amaçlar, toplantı katılımcıları, zamanlama, izleme, gözetim ve denetim dahil) yönelik rehberliğin yanı sıra
toplantılar için gereken girdiler ve beklenen çıktıları sağla.
10. İletişim ihtiyaçlarının belirlenmesiyle ve bu ihtiyaçları esas alan planların uygulanmasıyla, yukarıdan aşağıya, aşağıdan yukarıya ve yatay iletişim
hesaba katılarak iletişim temel kurallarını tanımla.
11. Kurum içindeki iş ve BT fonksiyonları arasında ve kurum dışındaki kuruluşlar ile optimum koordinasyon, iletişim ve irtibat yapısını oluştur ve sürdür.
12. Organizasyon yapısının yeterliliği ve etkinliğini düzenli aralıklarla tetkik et.
APO01.02 Görevler ve sorumlulukları oluştur Kaynak Açıklama Açıklama Hedef
BT personelinin yanı sıra kurum BT’sine dair EDM01.01 Yetki seviyeleri BT-Bağlantılı görevler ve DSS05.04
sorumlulukları olan diğer paydaşlara ait, genel iş sorumluluklar
ihtiyaçları ve BT amaçlarını ve ilgili personel yetki,
sorumluluk ve yükümlülüklerini açıkça yansıtan görev ve EDM04.02 Kaynak yönetimine tahsis Denetim uygulamalarının APO07.01
sorumlulukları oluştur, üzerinde anlaş ve bildir. edilen sorumluluklar tanımı
APO07.03 • Beceri geliştirme planları
• Beceriler ve yetkinlikler
matrisi
APO11.01 Kalite yönetim sistemi
(QMS) görevleri,
sorumlulukları ve karar
hakları
APO13.01 Bilgi güvenliği yönetim
sistemi (ISMS) kapsam
bildirisi
DSS06.03 • Tahsis edilen yetki
seviyeleri
• Tahsis edilen görevler ve
sorumluluklar
Faaliyetler
1. Kurum içindeki her personel için iş ihtiyaçları ve amaçlarıyla uyumlu olarak BT-Bağlantılı görevler ve sorumlulukları oluştur, üzerinde anlaş ve bildir.
Özellikle karar alma ve onaylamalar olmak üzere sorumluluk ve yükümlülükleri açıkça belirle.
2. Görevler tanımlanırken, kadro yedeklemesi ve birden fazla dalda eğitim gereksinimleri dahil kurum ve BT hizmet devamlılığı gereksinimlerini göz
önünde bulundur.
3. BT hizmet devamlılığı sürecine, güncel temas bilgileri ve kurum içinde makam tanımlarının sürdürülmesiyle girdileri sağla.
4. Yönetim politikaları ve prosedürleri, ahlak kuralları ve profesyonel uygulamalara uyumlu makam ve sorumluluk tanımlarını dahil et.
5. Görev ve sorumlulukların tam olarak yerine getirildiğinden emin olmak, tüm personelin kendi görev ve sorumluluklarını icra etmek için yeterli yetki ve
kaynaklara sahip olup olmadığını değerlendirmek ve genel olarak performansı gözden geçirmek amacıyla yeterli denetim uygulamalarını yürüt. Denetim
seviyesi, tahsis edilen sorumluluk konumu ve kapsamının duyarlılığıyla uyumlu olmalıdır.
6. Yükümlülüğün, görevler ve sorumluluklar içinde tanımlandığından emin ol.
7. Tek bir görevin kritik bir süreci tehlikeye sokma olasılığını azaltmak amacıyla görevler ve sorumlulukları yapılandır.
55

APO01.03 Yönetim sistemi gerçekleştiricilerini Kaynak Açıklama Açıklama Hedef
sürdür EDM01.01 Kurum yönetişimi rehber BT-Bağlantılı politikalar Tüm APO Tüm
Yönetim sistemi ve kurumsal BT kontrol ortamı prensipleri BAI Tüm DSS
sağlayıcılarını sürdür ve bunların kurum yönetişim Tüm MEA
ve yönetim felsefesi ve çalışma şekliyle entegre ve APO02.05 Stratejik yol haritası
uyumlu olduğundan emin ol. Bu sağlayıcılar, beklenti/ APO12.01 Ortaya çıkmakta olan risk
gereksinimlerin açık iletişimini içerir. Yönetim sistemi sorunları ve faktörleri
bölümler arası işbirliği ve takım çalışmasını teşvik
etmeli, uyum ve sürekli gelişimi desteklemeli ve süreç APO12.02 Risk analizi sonuçları
sapmalarıyla (başarısızlık dahil) başa çıkmalıdır.
Faaliyetler
1. Kurum vizyon, doğrultu ve stratejisinin kavranmasını sağla.

2. Yönetim kültürü ve felsefesi, risk toleransı, güvenlik, ahlaki değerler, davranış kuralları, yükümlülük ve yönetim bütünlüğü gereksinimleri dahil kurum iç
ortamını göz önünde bulundur.
3. BT prensiplerini iş prensiplerinden türet ve entegre et.
4. BT kontrol ortamını genel BT politika ortamı, BT yönetişim ve BT süreç çerçeveleri ve mevcut kurum seviyesinde risk ve kontrol çerçeveleriyle hizala.
Sanayi dalına özel iyi uygulamalar veya gereksinimleri (ör., sanayi dalına özel yönetmelikler) değerlendir ve uygun olduğu yere entegre et.
5. Uygulanabilen herhangi ulusal ve uluslararası yönetişim ve yönetim standardı ve uygulama kuralıyla hizala ve COSO, İç Kontrol-Entegre Çerçeve ve
COSO, Kurum Risk Yönetimi-Entegre Çerçeve gibi uygun iyi uygulamaları değerlendir.
6. Kalite, güvenlik, gizlilik, iç kontroller, BT varlıklarının kullanımı, ahlak kuralları ve fikri mülkiyet hakları gibi ilgili ana konulardaki BT kontrol beklentilerini
sağlamak amacıyla politikalar topluluğu oluştur.
7. Politikaları, değişen çalışma veya iş ortamlarına uyum sağlamak amacıyla en azından yıllık olarak değerlendir ve güncelle.
8. BT politikalarını, kurum operasyonlarına dahil edilecek ve bunların entegre bir parçası olacak şekilde, ilgili tüm çalışanlara açıkla ve yürüt.
9. Prosedürlerin, politikalarla uyumu izlemek için uygun olduklarından emin ol ve uyumsuzluk sonuçlarını tanımla.
APO01.04 Yönetim amaçları ve doğrultusunu bildir. Kaynak Açıklama Açıklama Hedef
BT amaçları ve doğrultusuna dair farkındalık ve anlayışı EDM01.02 Kurum yönetişim iletişimi BT amaçlarına dair iletişim Tüm APO Tüm
uygun paydaşlara ve kurum içindeki kullanıcılara bildir. BAI Tüm DSS
EDM04.02 Kaynakları koruma
prensipleri Tüm MEA
APO12.06 Risk etki iletişimi

BAI08.01 Bilgi birikimi değerine dair
iletişim
DSS04.01 İş sürekliliği politika ve
amaçları
DSS05.01 Kötü amaçlı yazılım
önleme politikası
DSS05.02 Bağlantı güvenlik politikası
DSS05.03 Son nokta aygıtları
güvenlik politikaları
Faaliyetler
1. BT amaçları ve doğrultusunu sürekli olarak bildir. İletişimlerin uygun tüm kanallar kullanılarak yönetici kadro tarafından fiili ve sözlü olarak
desteklendiğinden emin ol.
2. İletişimi yapılan bilgilerin açıkça ifade edilen özel görevi, hizmet amaçları, güvenlik, iç kontroller, kalite, ahlak/davranış kuralları, politikalar ve
prosedürleri, görevler ve sorumlulukları vb. kapsadığından emin ol. Bilgilerin, kurum içindeki ilgili hedef kitlesi için uygun detay seviyesinde iletişimini
gerçekleştir.
3. İletişim sürecini desteklemek amacıyla yeterli ve uzman kaynaklar sağla.
56
Bölüm 5

APO01.05 BT fonksiyonu yerleştirilmesini optimize et Kaynak Açıklama Açıklama Hedef
BT yetkinliğini, genel organizasyon yapısı içinde, kurum COBIT dışında • Kurum çalışma modeli BT organizasyon APO03.02
içindeki BT önemine, özellikle kurum stratejisindeki • Kurum stratejisi seçeneklerinin
önceliğine ve BT’ye operasyonel bağımlılık seviyesine değerlendirilmesi
ilişkin bir kurum modelini yansıtacak şekilde
konumlandır. CIO raporlama silsilesi, kurum içindeki BT Tanımlanmış BT APO03.02
önemine uygun olmalıdır. fonksiyonu operasyonel
yerleştirmesi
Faaliyetler
1. Kurum stratejisi ve çalışma modeli (merkezi, birleşik, merkezi olmayan, karma) BT önemi ve kaynak temin durumu ve seçeneklerinin bir
değerlendirmesi dahil olmak üzere, BT fonksiyonu yerleştirme içeriğini kavra.

2. Organizasyon yerleşimi, kaynak temini ve çalışma modelleri seçeneklerini belirle, değerlendir ve önceliklendir.
3. BT fonksiyonu yerleştirilmesini tanımla ve anlaşma sağla.
APO01.06 Bilgi (veri) ve sistem mülkiyetini tanımla. Kaynak Açıklama Açıklama Hedef
Bilgi (veri) ve bilgi sistemleri mülkiyet sorumluluklarını Veri sınıflandırma kuralları APO03.02
tanımla ve sürdür. Sahiplerin, bilgi ve sistemlerin BAI02.01
sınıflandırılması ve bu sınıflandırmaya uygun olarak DSS05.02
korunmasına dair kararları verdiğinden emin ol. DSS06.01
Veri güvenliği ve kontrol BAI02.01
kuralları
Veri bütünlüğü prosedürleri BAI02.01
DSS06.01
Faaliyetler
1. Uygun ve tutarlı kurum çapında bilgi (veri) sınıflandırmasını sağlamak amacıyla politikalar ve kurallar sağla.
2. Bilgi ve bilgi sistemleri üzerinde sahibiyle işbirliği ile birlikte etkili güvenlik ve kontrolleri sağlamak amacıyla uygun araçlar, teknikler ve kuralları
tanımla, sürdür ve sağla.
3. Sahipler, yedieminler ve sınıflandırmaların bir listesini içeren bilgi (sistemler ve veriler) envanterini oluştur ve sürdür. Dış kaynak kullanılan ve
mülkiyetin kurum içinde kalması gereken sistemleri dahil et.
4. Veri tabanları, veri ambarları ve veri arşivleri gibi elektronik formda saklanan tüm bilginin bütünlüğü ve tutarlılığını sağlamak amacıyla prosedürleri
tanımla ve yürüt.
APO01.07 Sürekli süreç gelişimini yönet Kaynak Açıklama Açıklama Hedef
Süreçlerin kurum, yönetişim, yönetim ve kontrol EDM01.03 Yönetişim etkinliği ve Süreç yetkinlik MEA01.03
amaçlarını gerçekleştirebilmelerini sağlamak amacıyla, performansına dair geri değerlendirmeleri
sürekli süreç gelişimi ve bunların olgunluklarını bildirim
değerlendir, planla ve yürüt. COBIT süreç uygulama
rehberi, yeni geliştirilen standartlar, uyum gereksinimleri, MEA03.02 Güncellenmiş politikalar, Süreç geliştirme fırsatları Tüm APO Tüm
otomasyon imkanları ve süreç kullanıcıları, süreç prensipler, prosedürler ve BAI Tüm DSS
takımı ve diğer paydaşlardan geri bildirimi göz önünde standartlar Tüm MEA
bulundur. Süreci güncelle ve süreç sağlayıcıları Süreç gelişimini izlemek MEA01.02
üzerindeki etkileri göz önünde bulundur. için performans hedefleri
ve ölçütleri
Faaliyetler
1. Performans ve uyum faktörleri ve ilgili risk bazında iş-kritik süreçlerini belirle. Süreç yetkinliğini değerlendir ve gelişme hedeflerini belirle. Süreç
yetkinliği ve kontrolündeki eksiklikleri analiz et. Sürece dair gelişme ve tekrar tasarım seçeneklerini belirle. Potansiyel faydalar ve maliyetler bazında
süreç gelişmesine dair insiyatifleri önceliklendir.
2. Üzerinde anlaşılmış olan gelişmeleri uygula, normal iş uygulaması olarak çalış ve süreç gelişmelerinin izlenmesini gerçekleştirmek amacıyla
performans hedefleri ve ölçütlerini belirle.
3. Verim ve etkinliği geliştirme yollarını (ör., sürece dair eğitim, belgeleme, standardizasyon ve otomasyon) göz önünde bulundur.
4. Süreci güncellemek için kalite yönetim uygulamalarını uygula.
5. Güncel olmayan süreçler, süreç bileşenleri veya gerçekleştiricileri sonlandır.
57

APO01.08 Politikalar ve prosedürlerle uyumu sürdür. Kaynak Açıklama Açıklama Hedef
Politikalar ve kontrol çerçevesindeki diğer sağlayıcılarla DSS01.04 Çevre politikaları Uyumsuzluk iyileştirici MEA01.05
uyum ve performans ölçümünü sürdürmek amacıyla aksiyonlar
prosedürleri yerleşik hale getir ve uyumsuzluk veya MEA03.02 Güncellenmiş politikalar,
yetersiz performansın getirdiği sonuçları uygula. prensipler, prosedürler ve
Eğilimler ve performansı izle ve bunları gelecekteki standartlar
kontrol çerçevesi tasarım ve iyileştirmelerinde göz
önünde bulundur.
Faaliyetler
1. Politikalar ve prosedürlerle uyumu izle.
2. Uyumsuzluğu analiz et ve uygun eylemi gerçekleştir (bu değişim gereksinimlerini kapsayabilir).
3. Performans ve uyumu, personelin her birinin performans amaçlarına entegre et.

4. Çerçeveye ait gerçekleştiricilerin performansını düzenli aralıklarla değerlendir ve uygun eylemi gerçekleştir.
5. Performans ve uyumdaki eğilimleri analiz et ve uygun eylemleri gerçekleştir.
APO01 İlgili Rehber

ISO/IEC 20000 • 3.1 Yönetim sorumluluğu
• 4.4 Sürekli iyileştirme
ISO/IEC 27002 6. Bilgi Güvenliği Organizasyonu
ITIL V3 2011 Sürekli Hizmet İyileştirme, 4.1 7 Aşamalı İyileştirme Süreci
58
Bölüm 5
Alan: Yönetim
APO02 Stratejiyi Yönet Etki alanı: Hizala, Planla ve Organize Et
Güncel iş ve BT ortamı, gelecek istikameti ve istenilen gelecek ortamına ulaşmak için gerekli olan insiyatiflerin bütünleştirici bir bakış açısıyla
sağlanması. Stratejik amaçlara yönelik atik, güvenilir ve etkili cevap verebilmeyi sağlamak amacıyla dışarıdan sağlanan hizmetler ve ilgili yetkinlikler
dahil olmak üzere kurum mimari yapı taşlarının güçlendirilmesi.
Stratejik BT planlarının iş amaçlarıyla hizalanması. Amaçlar ve ilişkili yükümlülüklerin, BT stratejik seçenekleri belirlenecek, yapılandırılacak ve iş
planlarıyla entegre edilecek şekilde herkes tarafından kavranabilmesi amacıyla açıkça bildirilmesi.

memnuniyet seviyesi
yüzdesi
kavrama seviyesi
paydaş memnuniyeti seviyesi
1. BT stratejisinin tüm yönleri kurum stratejisi ile hizalanır. • BT stratejisinde, kurum stratejisini destekleyen amaçların
yüzdesi
• BT stratejisinde ele alınan kurum amaçlarının yüzdesi
2. BT stratejisi düşük maliyetli, uygun, gerçekçi, gerçekleştirilebilir, kurum odaklı ve • BT stratejisinde kendi kendine kaynak yaratan (maliyetlerinden
dengelidir. daha fazla finansal faydalar) insiyatiflerin yüzdesi
• BT stratejisinde yer alan insiyatiflerin yatırım getirisi (ROI)
eğilimleri.
• BT stratejisi konusunda kurum paydaş memnuniyet
araştırması geri bildirim seviyesi
3. Açık ve somut kısa vadeli hedefler, özel uzun vadeli insiyatiflerden elde edilebilir ve • BT proje portföyünde doğrudan BT stratejisinden
kaynaklanabilir ve dolayısıyla operasyon planlarına dönüştürülebilir. kaynaklanabilen projelerin yüzdesi.
4. BT, kurum için bir değer sağlayıcısıdır. • Stratejik BT insiyatiflerinin bir sonucu olarak elde edilen
stratejik kurum amaçlarının yüzdesi
• BT gelişmelerinin bir sonucu olarak gerçekleştirilen yeni
kurum fırsatlarının sayısı
• İş sahipleri tarafından desteklenen BT insiyatifleri/projelerinin
yüzdesi
5. BT stratejisine dair bir farkındalık ve teslim edilen net bir yükümlülük tahsisi vardır. • Personel performans hedeflerinin parçası olarak ölçülebilir BT
stratejisi sonuçlarının gerçekleştirilmesi
• BT strateji iletişim planını güncelleme sıklığı
• Tahsis edilen yükümlülüğü olan stratejik insiyatiflerin yüzdesi
59
APO02 SMDB Tablosu




Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
APO02.01
Kurum doğrultusunu kavra C C C A C C C C C R C R R R R R
APO02.02
Güncel ortam, yetkinlikler ve C C C R C C C C C A R R R C C C C
performansı değerlendir
APO02.03
Hedef BT yetkinliklerini tanımla A C C C I R I C C C C R C C C C C C C
APO02.04
Bir boşluk analizini yürüt R R C C C R R A R R R R R R C
APO02.05
Stratejik plan ve yol haritasını C I C C C R C C C C A C C C C C C C
tanımla
APO02.06
BT strateji ve doğrultusunu I R I I R I A I I I I I I I I I I R I I I I I I I I
bildir.

APO02.01 Kurum doğrultusunu kavra Kaynak Açıklama Açıklama Hedef
Güncel kurum ortamı ve iş süreçlerinin yanı sıra kurum EDM04.01 Kaynak ve yetkinliklerin Değişiklik kaynakları ve İçsel
stratejisi ve gelecek amaçlarını göz önünde bulundur. tahsisi için rehber öncelikleri
Ayrıca kurum dışındaki ortamı (endüstri faktörleri, ilgili prensipler
yönetmelikler, rekabet esası) göz önünde bulundur.
APO04.02 İş faktörlerine bağlı yenilik
fırsatları
COBIT dışında Kurum stratejisi ve kurum
kuvvetli yönleri, zayıf
yönleri, fırsatlar, tehditler
(SWOT) analizi
Faaliyetler
1. Kurum strateji ve amaçlarının yanı sıra güncel kurum operasyonel ortam ve zorluklara dair bir anlayış geliştir ve sürdür.
2. Kurum dışındaki ortama dair bir anlayış geliştir ve sürdür.
3. Ana paydaşları belirle ve gereksinimlerinin iç yüzünü anla.
4. Kurum içinde ve dışındaki ortamlardaki değişiklik kaynakları belirle ve analiz et.
5. Stratejik değişiklik için öncelikleri belirle.
6. Her türlü potansiyel mimari eksikliği belirlemek amacıyla, mevcut kurum mimarisi ve kurum mimari süreci ile işleyişi kavra.
60
Bölüm 5

APO02.02 Güncel ortam, yetkinlikler ve performansı Kaynak Açıklama Açıklama Hedef
değerlendir APO06.05 Maliyet optimizasyon Güncel yetkinlikler referans İçsel
Güncel iç işler ve BT yetkinlikleri ve dış BT hizmetleri fırsatları değeri
performansını değerlendir ve BT’ye ilişkin kurum
mimarisine dair bir anlayış geliştir. Yaşanılan güncel APO08.05 Potansiyel iyileştirme Güncel yetkinliklere ilişkin APO12.01
sorunları belirle ve iyileştirmeden fayda görebilecek projelerinin tanımı eksiklikler ve risk
alanlarda öneriler geliştir. Hizmet sağlayıcı farklılıkları APO09.01 BT hizmetlerinde işlere Yeterlilik SWOT analizi İçsel
ve seçeneklerinin ve dış hizmetlerin kullanımına dair yönelik belirlenmiş
finansal etki ve potansiyel maliyet ve faydaları göz eksiklikler
önünde bulundur.
APO09.04 İyileştirme aksiyon planları
ve iyileştirmeler

APO12.01 Ortaya çıkmakta olan risk
sorunları ve faktörleri
APO12.02 Risk analizi sonuçları
APO12.03 Risk yönetim aksiyonlarının
durumu dahil olmak üzere
toplam risk profili
APO12.05 Riskin azaltılmasına
yönelik proje teklifleri
BAI04.03 • Performans ve kapasite
planları
• Öncelikli iyileştirmeler
BAI04.05 Düzeltici aksiyonlar
BAI09.01 Amaca uygunluk
incelemesi sonuçları
BAI09.04 • Varlık maliyetlerini
azaltma veya değer
yükseltme fırsatları
• Maliyet optimizasyon
Faaliyetler
1. Güncel iş ve BT ortamı, yetkinlikler ve hizmetlerin, gelecekteki gereksinimler karşılaştırılabilecek şekilde, referans değerini oluştur. Güncel kurum
mimarisi (iş, bilgi, veri, uygulamalar ve teknoloji etki alanları), iş süreçleri, BT süreçleri ve prosedürleri, BT organizasyon yapısı, dış kaynaklı hizmet
sağlanması, BT yönetişimi ve kurum çapında BT-Bağlantılı beceriler ve yetkinliklere ait ilgili yüksek seviyedeki detayları dahil et.
2. Güncel, potansiyel ve düşük teknolojilerden kaynaklanan riski belirle.
3. Güncel iş ve BT yetkinlikleri ve hizmetler ve referans standartlar ve iyi uygulamalar, rakip iş ve BT yetkinlikleri arasındaki eksikliklerin ve iyi
uygulamalar ve gelişmekte olan BT hizmet sağlanması arasında karşılaştırmalı incelemeleri belirle.
4. Güncel performansı kavrayabilmek amacıyla, güncel ortam, yetkinlikler ve hizmetlerdeki sorunlar, güçlü yönler, fırsatlar ve tehditleri belirle. Kurum
amaçlarına BT katkısı bakımından iyileştirme alanlarını belirle.
61

APO02.03 Hedef BT yetkinliklerini tanımla Kaynak Açıklama Açıklama Hedef
Hedef işler ve BT yetkinlikleri ve gerekli BT hizmetlerini APO04.05 • Reddedilen insiyatiflerin Yüksek seviyede BT- İçsel
tanımla. Bu, kurum ortamı ve gereksinimlerin analizi Bağlantılı hedefler
kavranması, güncel iş süreci ve BT ortamı ve • Kavram kanıtlama
sorunların değerlendirilmesi ve referans standartları, iyi Gerekli iş ve BT İçsel
insiyatiflerinden gelen yetkinlikleri
uygulamalar ve doğrulanmış gelişen teknolojiler veya sonuçlar ve öneriler
yenilikçi öneriler esasına dayanmalıdır. Önerilen kurum mimari APO03.03
değişiklikleri
Faaliyetler
1. Doğrulanmış gelişen teknoloji veya yenilikçi fikirleri göz önünde bulundur.
2. Güncel, düşük ve yeni etilen teknolojilerden kaynaklanan tehditleri belirle.

3. Yüksek seviyede BT amaçları/hedeflerinin ve kurum iş amaçlarına nasıl katkı yapacaklarını tanımla.
4. Gereken ve istenilen iş süreci ve BT yetkinlikleri ve BT hizmetlerini tanımla ve kurum mimarisi (iş, bilgi, veri, uygulamalar ve teknoloji etki alanları), iş
ve BT süreçleri ve prosedürleri, BT organizasyon yapısı, BT hizmet sağlayıcılar, BT yönetişimi ve BT becerileri ve yetkinliklerine ait yüksek seviyedeki
değişiklikleri nitelendir.
5. Önerilen kurum mimari değişikliklerini kurum mimarisi ile hizala ve üzerinde anlaş.
6. Kurum stratejisi ve gereksinimlerin izlenebilirliğini göster.
APO02.04 Bir boşluk analizini yürüt Kaynak Açıklama Açıklama Hedef
Güncel ve hedef ortamlar arasındaki eksiklikleri belirle EDM02.01 Stratejik uyumlandırmanın Hedef yeterliliğinin EDM04.01
ve yatırımı ve iç ve dışa dayanan varlık kullanımını değerlendirilmesi sağlanmasındaki APO13.02
optimize etmek amacıyla varlıkların (hizmetleri eksiklikler ve gerekli olan BAI03.11
destekleyen yetkinlikler) iş sonuçlarıyla uyumunu değişiklikler
göz önünde bulundur. Strateji idaresini desteklemek
amacıyla kritik başarı faktörlerini göz önünde bulundur. APO04.06 Yenilikçi yaklaşım Hedef ortamına yönelik BAI03.11
kullanımına dair değer fayda bildirimi
değerlendirmeler
APO05.02 Yatırım geri dönüşü
beklentileri
BAI01.05 Program hedef başarısı
izleme sonuçları
BAI01.13 Uygulama sonrası gözden
Faaliyetler
1. Hedef ortamının gerçekleştirilmesindeki tüm eksiklikler ve gerekli olan değişiklikleri belirle.
2. Tüm eksikliklerin yüksek seviyedeki etkilerini göz önünde bulundur. İş ve BT yetkinlikleri, BT hizmetleri ve kurum mimarisinde potansiyel değişikliklere
dair değerin ve hiçbir değişiklik gerçekleştirilmediğindeki etkileri göz önünde bulundur.
3. İş ve BT çalışma modelleri, BT araştırma ve geliştirme yetkinlikleri ve BT yatırım programlarında potansiyel değişikliklere dair etkiyi değerlendir.
4. Hedef ortam tanımını geliştir ve hedef ortam faydalarını içeren bir değer bildirisini hazırla.
62
Bölüm 5

APO02.05 Stratejik plan ve yol haritasını tanımla Kaynak Açıklama Açıklama Hedef
İlgili paydaşlarla işbirliği içinde, BT-Bağlantılı hedeflerin EDM04.01 Onaylanmış kaynak planı Stratejik insiyatiflerin APO05.01
kurum stratejik hedeflerine nasıl katkıda bulunacağını tanımı
tanımlayan stratejik bir plan oluştur. BT’nin, BT etkin
yatırım programları, iş süreçleri, BT hizmetleri ve BT EDM04.03 • Kaynak ve yetkinliklerin Risk değerlendirme APO05.01
varlıklarını nasıl destekleyeceğini dahil et. Eksikliklerin tahsisi ve etkinliği APO12.01
giderilmesi için gerekecek insiyatifler, kaynak oluşturma konusunda geri bildirim
stratejisi ve hedeflerin başarısını izlemek amacıyla • Kaynak yönetim
kullanılacak ölçümlerin tanımlanması amacıyla BT’yi sapmalarına yönelik
yönlendir ve insiyatifleri önceliklendir ve yüksek seviyeli iyileştirici aksiyonlar
yol haritasında birleştir. APO03.01 • Tanımlı mimari kapsam Stratejik yol haritası EDM02.01
• Mimari konsept iş APO01.03

gerekçesi ve değer APO03.01
önerisi APO05.01
APO03.02 Bilgi mimari modeli APO08.01
APO03.03 • Geçiş mimarileri

• Yüksek seviyede
uygulama ve yer
değiştirme stratejisi
APO05.01 Strateji ve hedefler
konusunda geri bildirim
APO05.02 Kaynak yaratma
seçenekleri
APO06.02 Bütçe tahsisleri
APO06.03 • BT bütçe ve planı
• Bütçe bildirimleri
APO13.02 Bilgi güvenliği iş gerekçesi
BAI09.05 Lisans numaraları ve

tahsislerin ayarlanmasına
dair eylem planı
DSS04.02 Onaylanmış stratejik
seçenekler
Faaliyetler
1. Eksikliklerin tamamlanması için gereken insiyatifleri tanımla ve yatırım/operasyon bütçesi, finansman sağlama kaynakları, kaynak stratejisi ve tedarik
stratejisi dahil güncel ortamdan hedef ortama geç.
2. Planlama süreci içinde risk, maliyetler ve organizasyon değişikliklerinin etkileri, teknoloji evrimi, yönetmelik şartları, iş süreç tekrar düzenlemesi, kadro
oluşturma, iç kaynak kullanım ve dış kaynak kullanım fırsatları ve benzerlerini belirle ve yeterince ele al.
3. İnsiyatifler arasındaki bağımlılıklar, kesişimler, sinerjiler ve etkileri tanımla ve insiyatifleri önceliklendir.
4. Her insiyatife yönelik olarak kaynak gereksinimleri, faaliyet planı ve yatırım/operasyon bütçelerini belirle.
5. İnsiyatiflerin karşılaştırmalı planları ve birbirine bağımlılıklarını gösteren bir yol haritasını oluştur.
6. Amaçları, kurum faydalarına ilişkin olabilen ölçütlerle (ne) ve hedeflerle (ne ölçüde) ifade edilen sonuç ölçütlerine dönüştür.
7. Paydaşlardan resmi olarak destek al ve plan onayını al.
63

APO02.06 BT strateji ve doğrultusunun bildirilmesi. Kaynak Açıklama Açıklama Hedef
İş ve BT amaçları ve doğrultusuna dair, BT stratejisinde EDM04.02 Kaynak oluşturma İletişim planı İçsel
dikkat çekilen farkındalık ve analyışı, uygun paydaşlara stratejilerinin bildirilmesi
ve kurum içindeki kullanıcılara bildirerek oluştur. İletişim paketi Tüm APO Tüm
BAI Tüm DSS
Tüm MEA
Faaliyetler
1. BT stratejisini onaylama, destekleme ve sağlamaya yönelik bir ağ oluştur ve sürdür.
2. Gerekli mesajlar, hedef kitleler, iletişim mekanizmaları/kanalları ve programlarını kapsayan bir iletişim planını oluştur.
3. Planı, uygun ortam ve teknolojiler kullanılarak etkili şekilde gerçekleştiren bir iletişim paketini hazırla.
4. Gerektiğinde geri bildirim ve iletişim planı ve gerçekleştirilmesine dair güncelleme yap.

ISO/IEC 20000 • 4.0 Hizmet yönetimi planlama ve uygulama
• 5.0 Yeni veya değiştirilmiş hizmetleri planlama ve uygulama
ITIL V3 2011 Hizmet Stratejisi, 4.1 BT Hizmetleri Strateji Yönetimi
64
Bölüm 5
Alan: Yönetim
APO03 Kurum Mimarisini Yönet Etki alanı: Hizala, Planla ve Organize Et
Referans değerler ve hedef mimarileri açıklayan ana modeller ve uygulamaların oluşturulmasıyla, kurum ve BT stratejilerini etkili ve verimli şekilde
gerçekleştirmek amacıyla iş süreci, bilgi, veri, uygulama ve teknoloji mimari katmanlarını içeren bir ortak mimariyi oluştur. Taksonomi, standartlar,
rehberler, prosedürler, şablonlar ve araçlara yönelik gereksinimleri tanımla ve bu bileşenler arasında bir bağlantı sağla. Uyumluluk seviyesini iyileştir,
çevikliği arttır, bilgi kalitesini arttır ve yapı taşı bileşenlerinin tekrar kullanımı gibi insiyatifler aracılığıyla potansiyel maliyet tasarruflarını oluştur.
Operasyonel ve stratejik amaçların standart, yanıt veren ve etkili olarak gerçekleştirilmesini sağlayan, kurumu oluşturan farklı yapı taşları ve bunların
birbiriyle ilişkisinin yanı sıra zaman içinde tasarım ve evrimlerini yönlendiren prensipleri yansıt.

memnuniyet seviyesi
• BT-Bağlantılı maliyetler ve yetkinlikler konusunda iş idarecileri
1. Mimari ve standartlar, kurumun desteklenmesinde etkilidir. • Uygulanan ve onaylanmış mimari standartlar ve referans
değerlere yönelik istisnaların sayısı
• Mimari müşteri geri bildirim seviyesi
• Mimarinin dahil edilmesinden kaynaklanabilen
gerçekleştirilmiş proje faydaları (ör., tekrar kullanım sayesinde
maliyeti azaltma).
2. Kurum mimari hizmetleri portföyü, atik kurum değişikliğini destekler. • Kurum mimari hizmetleri kullanılan projelerin yüzdesi
• Mimari müşteri geri bildirim seviyesi
3. Güvenilir mimari bilgiler sağlayan uygun ve güncel etki alanı ve/veya birleşik • Etki alanı ve/veya birleşik mimarilere yapılan son güncelleme
mimariler mevcuttur. tarihi
• Kurum, bilgi, veri, uygulama ve teknoloji mimari etki alanları
modellerinde belirlenmiş eksikliklerin sayısı
• Sağlanan bilgi kalitesi hakkında mimari müşteri geri bildirim
seviyesi
4. Kurum içinde verimliliklerin tekrar kullanımını sağlamak amacıyla, bir ortak kurum • Tanımlı bileşenleri tekrar kullanmak amacıyla çerçeve ve
mimari çerçeve ve metodolojisinin yanı sıra bir entegre mimari havuz kullanılır. metodolojinin kullanıldığı projelerin yüzdesi.
• Metodoloji ve araç takımında eğitilmiş insan sayısı
• Uygulanan ve onaylanmış mimari standartlar ve referans
değerlere yönelik istisnaların sayısı
65
APO03 SMDB Tablosu




Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
APO03.01
Kurum mimari vizyonunu geliştir M D D S D S D S D D D D S S D D D D
APO03.02
Referans mimariyi tanımla D D D S D S D M D D D D S S D D D D
APO03.03
Fırsatlar ve çözümleri seç M D D S D S D S D D D D S S D D D D
APO03.04
Mimari uygulamayı tanımla M D S D D S D S D D D D S S D D D D
APO03.05
Kurum mimari hizmetlerini sağla M D S D D S D S D D D D S S D D D D

APO03.01 Kurum mimari vizyonunu geliştir Kaynak Açıklama Açıklama Hedef
Mimari vizyon, iş, bilgi, veri, uygulama ve teknoloji EDM04.01 Kurum mimarisi için rehber Tanımlı mimari kapsam APO02.05
etki alanlarını kapsayan referans değerler ve hedef prensipler
mimarilere dair yüksek seviyeli, birinci versiyon bir
açıklama sağlar. Mimari vizyon, önerilen yetkinlik APO02.05 Stratejik yol haritası Mimari prensipler BAI02.01
faydalarını kurum içindeki paydaşlara satmak için BAI03.01
destekçisine önemli bir araç sağlar. Mimari vizyon, yeni BAI03.02
yetkinliklerin kurum hedefleri ve stratejik amaçları nasıl COBIT dışında Kurum stratejisi Mimari konsept iş APO02.05
karşılayacağını ve uygulandığında paydaş girişimlerinin gerekçesi ve değer önerisi APO05.03
nasıl ele alınacağını açıklar.
66
Bölüm 5

1. Ana paydaşlar ve girişimleri/amaçlarını belirle ve ele alınacak ana kurum gereksinimlerinin yanı sıra çeşitli paydaş gereksinimlerini karşılamak
amacıyla geliştirilecek mimari görüşleri tanımla.
2. Kurum hedefleri ve kurum stratejik faktörlerini belirle ve kurum çapındaki kısıtlamalar ve projeye özgü kısıtlamalar (zaman, program, kaynaklar vb.)
dahil ele alınması gereken kısıtlamaları tanımla.
3. Mimari amaçları, stratejik program öncelikleriyle hizala.
4. İş yetkinlikleri ve eğilimlerini kavra, ardından bu yetkinliklerin gerçekleştirilmesine yönelik seçenekleri belirle.
5. Kurumun değişikliğe hazır olma seviyesini değerlendir.
6. Referans değeri mimarisi ve hedef mimari çalışma kapsamı içinde ve dışında olanları tanımla, referans değeri ve hedefin aynı detay seviyesinde
açıklanmasının gerekli olmadığını kavra.

7. Kurum prensipleri dahil mimari prensipleri onayla ve detaylandır. Her türlü mevcut tanımın güncel olduğundan emin ol ve her türlü muğlak alanı
açıklığa kavuştur.
8. Güncel kurum stratejik hedefleri ve amaçlarını kavra ve BT-Bağlantılı kurum mimari fırsatlarının, stratejik plan geliştirilirken güçlendirilmesini sağlamak
amacıyla stratejik planlama süreciyle birlikte çalış.
9. Paydaş girişimleri, iş yetkinlik gereksinimleri, kapsam, kısıtlamalar ve prensipler baz alınarak, referans değerler ve hedef mimarilere ait yüksek seviyeli
bir görünüm olan mimari vizyonu oluştur.
10. Hedef mimari değer önerileri, hedefler ve ölçütleri tanımla.
11. Mimari görüş ile ilişkili kurum değişiklik riskini belirle, birinci risk seviyesini (ör., kritik, marjinal veya ihmal edilebilir) değerlendir ve önemli her risk
için bir geçiş stratejisini geliştir.
12. Bir kurum mimari konsepti iş gerekçesi, taslak planlar ve mimari çalışma bildirisini geliştir ve kurum stratejisiyle uyumlu ve entegre bir projeyi
başlatma onayını al.
APO03.02 Referans mimarisini tanımla Kaynak Açıklama Açıklama Hedef
Referans mimari iş, bilgi, veri, uygulama ve teknoloji etki APO01.01 • Kurum operasyon Referans değeri etki alanı APO13.02
alanlarına dair güncel ve hedef mimarileri açıklar. rehberleri açıklamaları ve mimari BAI02.01
• Organizasyon yapısı ve tanım BAI03.01
fonksiyonlarının tanımı BAI03.02
APO01.05 • Tanımlanmış BT Süreç mimari modeli APO01.01
fonksiyonu operasyonel
yerleştirmesi
•BT organizasyon
seçeneklerinin
değerlendirilmesi
APO01.06 Veri sınıflandırma kuralları Bilgi mimari modeli APO02.05
COBIT dışında Kurum stratejisi BAI02.01
BAI03.02
DSS05.03
DSS05.04
DSS05.06
67

1. Standartlar, tekrar kullanılabilen bileşenler, modelleme ürünleri, ilişkiler, bağımlılıklar ve mimari organizasyon ve bakım tekdüzeliğini sağlayan
görünüşleri içeren bir mimari havuzu sürdür.
2. Mimarın, paydaş girişimlerinin mimari içinde nasıl ele alınacağını göstermesini sağlayan mimari havuzun referans bakış açılarını seç.
3. Her bakış açısı için, gerekli olan özel görünüşü desteklemek amacıyla, seçilen araçlar veya usuller ve uygun alt gruplara ayırma seviyeleri kullanılarak
gereken modelleri seç.
4. Hedef mimariyi desteklemek için gerekli olan kapsam ve detay seviyesinin kullanılması ve mümkün olduğu kadarıyla ilgili mimari yapı taşlarının
belirlenmesiyle, mimari havuzdan referans değer mimari etki alanı açıklamalarını geliştir.
5. Referans değer ve hedef etki alanı açıklamalarının bir parçası olarak bir süreç mimari modelini sürdür. Süreç açıklamaları ve belgelemeyi standartlaştır.
Süreç karar vericileri, süreç sahibi, süreç kullanıcıları, süreç takımı ve dahil olması gereken herhangi başka süreç paydaşına ait görevler ve
sorumlulukları tanımla.
6. Referans değer ve hedef etki alanı açıklamalarının bir parçası olarak, karar almada optimum bilgi kullanımını sağlamak amacıyla kurum stratejisiyle
tutarlı olan bir bilgi mimari modelini sürdür. Bir ortak anlayışı destekleyen bir kurum veri sözlüğü ve veri sahipliği, uygun güvenlik seviyelerinin tanımı
ve veri saklama ve yok etme gereksinimleri hakkındaki detayları içeren bir sınıflandırma şemasını sürdür.
7. Kendi içinde tutarlılık ve doğruluk için mimari modelleri doğrula ve referans değer ve hedef arasında bir boşluk analizini gerçekleştir. Eksikliklerin
önceliklendirilmesi ve hedef mimari için geliştirilmesi gereken yeni veya modifiye edilmiş bileşenleri tanımla. Uyuşmazlıklar, tutarsızlıklar veya ihtilaflar
gibi potansiyel etkileri öngörülen mimari içinde çözümle.
8. Önerilen mimariyi, mimari proje başlangıç motivasyonu ve mimari çalışma bildirisiyle karşılaştırarak bir resmi paydaş incelemesi yürüt.
9. İş, bilgi, veri, uygulamalar ve teknoloji etki alanı mimarilerine son şeklini ver ve bir mimari tanım belgesini oluştur.
APO03.03 Fırsatlar ve çözümleri seç Kaynak Açıklama Açıklama Hedef
Referans değerler ve hedef mimarileri arasındaki APO02.03 Önerilen kurum mimari Yüksek seviyede uygulama APO02.05
eksiklikleri, hem iş ve hem de teknik perspektiflerden değişiklikleri ve yer değiştirme stratejisi
rasyonelize et ve bunları proje çalışma paketleri
halinde mantıksal olarak gruplandır. Projenin, COBIT dışında • Kurum stratejileri Geçiş mimarileri APO02.05
mimari insiyatiflerin hizalanması ve bu insiyatiflerin • Kurum faktörleri
genel kurum değişikliğinin bir parçası olarak
gerçekleştirilmesini sağlamak amacıyla, her türlü ilgili
BT etkin yatırım programıyla entegre et. Bunu, kurumun
dönüşüme hazır olma seviyesini değerlendirmek
amacıyla iş ve BT’den ana kurum paydaşlarıyla bir
işbirliği haline getir ve fırsatlar, çözümler ve tüm
uygulama kısıtlamalarını belirle.
Faaliyetler
1. Kurum kültürü ve bunun kurum mimari uygulamasının yanı sıra kurum geçiş yetkinliklerini nasıl etkileyeceği dahil olmak üzere ana kurum değişiklik
niteliklerini tanımla ve onayla.
2. Kurum incelemesi ve iş kolu, strateji ve iş planları ve güncel kurum mimari olgunluk değerlendirmesi dahil, uygulama dizisini kısıtlayacak her türlü
kurum faktörünü belirle.
3. Referans değerler ve hedef mimariler arasındaki boşluk analizi sonuçlarını gözden geçir ve birleştir ve potansiyel çözümler/fırsatlar, birbirine
bağımlılıkları ve güncel BT etkin programlarla uyumları açısından etkilerini değerlendir.
4. Çalışma paketlerine entegrasyonu halinde hedef mimarinin daha etkili ve verimli uygulanmasını sağlayacak fonksiyonel gereksinimlerin minimum
grubunu belirlemek amacıyla gereksinimler, eksiklikler, çözümler ve faktörleri değerlendir.
5. Birleştirilen gereksinimleri potansiyel çözümlerle uzlaştır.
6. Uygulama ve geçiş planlarındaki her türlü kısıtlamanın belirlenmesini sağlayarak, başlangıçtaki bağımlılıkları tasfiye et ve bir bağımlılık analiz raporu
halinde birleştir.
7. Kurumun, kurum dönüşümü için hazır olma seviyesi ve bununla ilişki riski onayla.
8. Hedef mimari uygulamasına yönlendirecek ve geçiş mimarilerini kurum stratejik amaçları ve zaman cetvelleri ile uyumlu olarak yapılandıracak yüksek
seviyeli uygulama ve geçiş stratejisini formüle et.
9. Kurum stratejik uygulama doğrultusu ve yaklaşımına ilişkin önemli çalışma paketlerini belirle ve tutarlı program ve proje grupları halinde gruplandır.
10. Hedef mimarisini gerçekleştirmek için gereken değişiklik kapsamı bir artımlı yaklaşımı gerektirdiği takdirde bir dizi geçiş mimarisini geliştir.
68
Bölüm 5

APO03.04 Mimari uygulamayı tanımla Kaynak Açıklama Açıklama Hedef
Program ve proje portföyleriyle uyumlu olarak Kaynak gereksinimleri BAI01.02
uygulanabilen bir uygulama ve geçiş planını oluştur.
Planın, değerin yaratılmasını ve gereken işi tamamlamak Uygulama fazı açıklamaları BAI01.01
için gerekli kaynakların kullanılmasını sağlayacak BAI01.02
şekilde dikkatle düzenlendiğinden emin ol. Mimari yönetişim BAI01.01
gereksinimleri
Faaliyetler
1. Uygulama ve geçiş planının, program ve proje planlamasının bir parçası olarak neyi içermesi gerektiğini sapta ve uygun karar alıcıların
gereksinimleriyle uyumlu olmasını sağla.

2. Geçiş mimari artışları ve fazlarını onayla ve mimari tanım belgesini güncelle.
3. Mimari uygulama yönetişim gereksinimlerini tanımla.
APO03.05 Kurum mimari hizmetlerini sağla Kaynak Açıklama Açıklama Hedef
Kurum mimari hizmetlerinin, kurum içinde sağlanması, Çözüm geliştirme rehberi BAI02.01
uygulama projelerinin yönlendirilmesi ve izlenmesi, BAI02.02
mimari anlaşmalar aracılığıyla çalışma şekillerinin BAI03.02
resmileştirilmesi ve mimari katma değer ve uyum
izlemlerinin ölçülmesi ve bildirilmesini içerir.
Faaliyetler
1. Kapsam ve öncelikleri onayla ve çözüm geliştirme ve uygulanmasına yönelik rehberlik sağla.
2. Stratejik amaçlar ve çözüm geliştirilmesiyle uyumun sağlanması için kurum mimari hizmetleri portföyünü yönet.
3. Kurum mimari gereksinimlerini yönet ve mimari prensipler, modeller ve yapı taşlarıyla destekle.
4. Kurum mimari önceliklerini belirle ve değer faktörleriyle hizala. Değer ölçütlerini tanımla ve topla ve kurum mimari değerini ölç ve bildir.
5. Mimari kılavuzlar, projelere dair tavsiyeler ve teknoloji seçiminde rehberlik sağlamak amacıyla bir teknoloji forumunu oluştur. Dış şartlara ve bunların
işle bağlantısına uyum dahil bu standartlar ve kılavuzlarla uyumu ölç.

TOGAF 9 TOGAF’ın merkezinde, COBIT 5 mimari vizyon geliştirme (ADM Faz A), referans mimarileri tanımlama (ADM
Faz B, C,D), fırsatlar ve çözümlerin seçme (ADM Faz E) ve mimari uygulamayı tanımlama (ADM Faz F,G)
uygulamalarıyla eşleşen Mimari Geliştirme Usulü (ADM) yer alır. Birkaç TOGAF bileşeni, COBIT 5 kurum
mimari hizmetlerini sağlama uygulamasıyla eşleşir. Bunlara ADM Gereksinim Yönetimi, Mimari Prensipler,
Paydaş Yönetimi, İş Dönüşümüne Hazır Olma Değerlendirmesi, Risk Yönetimi, Planlama Bazlı Yetkinlik,
Mimari Uyum ve Mimari Sözleşmeler dahildir.
69

70
Bölüm 5
Alan: Yönetim
APO04 Yeniliği Yönet Etki alanı: Hizala, Planla ve Organize Et
Bilgi teknolojisi ve ilgili hizmet eğilimlerine dair farkındalığı sürdür, yenilik fırsatlarını belirle ve iş ihtiyaçları açısından yenilikten nasıl faydalanılacağını
planla. Hangi iş yenilik veya gelişmesinin, yeni teknolojiler, hizmetler veya BT etkin iş yeniliklerinin yanı sıra mevcut kurulu teknolojilerle ve iş ve BT süreç
yenilikleriyle nasıl oluşturulacağını analiz et. Stratejik planlama ve kurum mimari kararları üzerinde etki oluştur.
Bilgi teknolojisi gelişmelerinden yararlanılarak rekabet üstünlüğü, iş yeniliği ve iyileştirilmiş operasyon etkinliği ve verimini gerçekleştir.

08 Uygulama, bilgi ve teknoloji çözümlerinin yeterli kullanımı • Destekleyici BT ürün ve hizmetlerinden memnun iş süreç
sahiplerinin yüzdesi
•İş kullanıcılarının, teknolojik çözümlerin kendilerine ait süreçleri
nasıl desteklediğini kavrama seviyesi
•Eğitim ve kullanıcı rehberleri konusunda iş kullanıcılarının
memnuniyet derecesi
•Teknolojik çözümlerin kalite ve kullanışlılığı konusunda ticari
memnuniyeti gösteren net bugünkü değer (NPV)
• BT-Bağlantılı maliyetler ve imkanlar konusunda iş idarecileri
kavrama seviyesi
1. Kurum değeri, teknolojideki en uygun öneriler ve yenilikler, BT usulleri ve • Yenilikler sayesinde pazar payı veya rekabet yeteneğinin
çözümlerinin kalifikasyonu ve yürütülmesiyle oluşturulur. arttırılması
• BT yeniliklerine dair kurum paydaş algısı ve geri bildirimi
2. Kurum amaçları, yenilikçi çözümlerin belirlenmesi ve uygulanması sonucunda • Öngörülen faydaları gerçekleştiren uygulanmış insiyatiflerin
iyileştirilmiş kalite faydaları ve/veya düşük maliyetle gerçekleştirilir. yüzdesi
• Bir kurum amacına belirgin bağı olan uygulanmış insiyatiflerin
yüzdesi
3. Yenilik, teşvik edilir ve gerçekleştirilir ve kurum kültürünün bir parçasını oluşturur. • İlgili çalışana ait performans hedeflerinde yenilik veya yeni
teknolojiyle ilgili amaçların dahil edilme seviyesi
• Paydaş geri bildirimi ve araştırmalar
71
APO04 SMDB Tablosu




Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
APO04.01
Yenilik için olanak sağlayan bir M S S S S S S S S S S
ortamı oluştur
APO04.02
Kurum ortamı anlayışını sürdür M S S D S S S S
APO04.03
Teknoloji ortamını izle ve tara M S S S S S
APO04.04
Yeni teknolojiler ve yenilikçi
fikirlere dair potansiyeli B B D D D D M S S S S S
değerlendir
APO04.05
Diğer uygun insiyatifleri öner B S S M D S S S S S S
APO04.06
Yenilik uygulama ve kullanımını D D M D S D D D D D
izle
APO04 Yeniliği Yönet

APO04.01 Yenilik için olanak sağlayan bir ortamı Kaynak Açıklama Açıklama Hedef
oluştur Yenilik planı İçsel
Kültür, ödül, işbirliği, teknoloji forumları gibi konular ve
çalışan fikirlerinin teşvik edilmesi ve alınmasına dair Takdir ve ödül programı APO07.04
mekanizmaları göz önünde bulundurarak, yenilik için
olanak sağlayan bir ortamı oluştur.
Faaliyetler
1. Risk iştahı, yenilik insiyatiflerine harcanacak planlanmış bütçe ve yenilik amaçlarını içeren bir yenilik planını oluştur.
2. Coğrafik yerler ve bölümler arasındaki işi geliştiren işbirliği araçları gibi bir yenilik sağlayıcısı olabilen alt-yapıyı sağla.
3. Yenilik takdiri ve ödül programları, uygun iş rotasyonu ve deneyimleme için boş zaman gibi ilgili insan kaynakları insiyatiflerini sürdürerek yenilik için
olanak sağlayan bir ortamı oluştur.
4. Yenilik fikirlerinin sunulması ve bu fikirleri değerlendirmek ve ilerletmek için uygun bir karar alma yapısını oluşturmak amacıyla bir program
gerçekleştirme kadrosunu sürdür.
5. Müşteri, tedarikçi ve iş ortaklarından gelen yenilik fikirlerini teşvik et.
72
Bölüm 5
APO04 Yeniliği Yönet (devamı)

APO04.02 Kurum ortamı anlayışını sürdür Kaynak Açıklama Açıklama Hedef
Yaşadıkları zorlukları anlamak amacıyla ilgili COBIT dışında Kurum stratejisi ve kurum İş faktörlerine bağlı yenilik APO02.01
paydaşlarla çalış. Yeni teknolojilerle sağlanan fırsatların SWOT analizi fırsatları
belirlenebilmesi amacıyla, kurum stratejisi ve rekabet
ortamı veya diğer kısıtlamalara dair uygun bir anlayışı
sürdür.
Faaliyetler
1. Teknolojiler veya BT yeniliklerine ait potansiyel katma değerin belirlenebilmesi amacıyla, iş faktörleri, kurum stratejisi, endüstri faktörleri, kurum
operasyonları ve diğer konulara dair bir anlayışı sürdür.
2. Yeni teknolojiler veya BT yeniliklerinin fırsatlar yaratabileceği, güncel iş problemleri, süreç tıkanıklıkları veya diğer kısıtlamaları kavramak amacıyla iş
birimleri, bölümleri ve/veya diğer paydaş kuruluşlarıyla düzenli aralıklarla toplantılar yürüt.

3. Uygun stratejilerin geliştirilebilmesi için, yenilik ve yeni teknolojilere dair kurum yatırım parametrelerini kavra.
APO04.03 Teknoloji ortamını izle ve tara Kaynak Açıklama Açıklama Hedef
Değer yaratımı (ör., kurum stratejisinin COBIT dışında Yeni teknolojiler Yenilik imkanları araştırma BAI03.01
gerçekleştirilmesi, maliyetlerin optimizasyonu, değer analizleri
kaybının önlenmesi ve kurum ve BT süreçlerinin daha
iyi gerçekleştirilmesiyle) açısından potansiyeli olan yeni
teknolojileri belirlemek amacıyla, kurum dışı ortamı
sistematik olarak izle ve tara. Kurum bağlamında yeni
teknolojiler veya yenilikçi fikirleri analiz etmek amacıyla
piyasa, rekabet ortamı görünümü, endüstri sektörleri ve
yasa ve yönetmeliğe dair eğilimleri izle.
Faaliyetler
1. Yeni teknolojik yenilikleri benimseme açısından kurum ilgisi ve potansiyelini kavra ve farkındalık çalışmalarını en yüksek fırsata sahip teknolojik
yeniliklere odaklandır.
2. Yeni teknolojilerin belirlenmesi için, dış ortamı uygun web siteleri, dergiler ve konferanslar dahil araştır ve tara.
3. Yeni teknolojilere dair araştırma bulguları veya bir bilgi kaynağını teyit etmek amacıyla gerektiğinde üçüncü şahıs uzmanlara danış.
4. Kadro elemanlarına ait BT yenilik fikirlerini al ve bunları potansiyel uygulanmaları bakımından analiz et.
APO04.04 Yeni teknolojiler ve yenilikçi fikirlere dair Kaynak Açıklama Açıklama Hedef
potansiyeli değerlendir Yenilikçi fikir BAI03.01
Belirlenmiş yeni teknolojiler ve/veya diğer BT yenilik değerlendirmeleri
tavsiyelerini analiz et. Yeni teknolojiler ve yenilik
potansiyeline dair tahminleri doğrulamak amacıyla Kavram kanıtlama APO05.03
paydaşlarla birlikte çalış. kapsamı ve özet iş APO06.02
gerekçesi
Kavram kanıtlama İçsel
insiyatiflerinden gelen test
sonuçları
Faaliyetler
1. Olgunluğa erişme süresi, yeni teknolojilere ait doğal risk (potansiyel yasal çıkarımlar), kurum mimarisine uyum ve katma değer sağlama potansiyeli
gibi yönler göz önünde bulundurularak belirlenmiş teknolojileri değerlendir.
2. Kavram kanıtlama insiyatifi aracılığıyla çözülmesi veya ispatlanması gerekebilecek sorunları belirle.
3. İstenilen sonuçlar, gereken bütçe, zaman aralıkları ve sorumluluklar dahil olmak üzere kavram kanıtlama insiyatifi kapsamını belirle.
4. Kavram kanıtlama insiyatifine dair onay al.
5. Yeni teknolojiler veya diğer yenilikçi fikirleri test etmek, her türlü sorunu belirlemek ve fizibilite ve potansiyel yatırım getirisi esasında ileri uygulama
veya bilgilendirmenin dikkate alıp alınmamasını belirlemek amacıyla kavram kanıtlama insiyatiflerini yürüt.
73
APO04 Yenilik Yönetimi (devamı)

APO04.05 Diğer uygun insiyatifleri öner Kaynak Açıklama Açıklama Hedef
Kavram kanıtlama insiyatiflerini değerlendir ve izle Kavram kanıtlama APO02.03
ve olumlu olduğu takdirde, diğer insiyatiflere yönelik insiyatiflerinden gelen BAI03.09
öneriler oluştur ve paydaş desteğini al. sonuçlar ve öneriler
Reddedilen insiyatiflerin APO02.03
analizi BAI03.08
Faaliyetler
1. Eğilimler ve yenilik programlarına dair rehberlik ve öneriler dahil olmak üzere kavram kanıtlama sonuçlarını belgelendir.
2. BT stratejisi ve kurum mimari süreçlerinde uygulanabilir yenilik fırsatlarını bildir.
3. Kavram kanıtlama insiyatiflerini, fiili yatırımda ne derece desteklendiğini ölçmek amacıyla izle.
4. Reddedilen kavram kanıtlama insiyatiflerini analiz et ve nedenlerini bildir.
APO04.06 Yenilik uygulama ve kullanımını izle Kaynak Açıklama Açıklama Hedef
Entegrasyon, benimseme sırasında ve tam ekonomik Yenilikçi yaklaşım APO02.04
yaşam döngüsü boyunca, söz verilen faydaların kullanımına dair BAI03.02
gerçekleşmesini sağlamak ve öğrenilen dersleri değerlendirmeler
belirlemek amacıyla, yeni teknolojiler ve yenilikleri
uygula ve kullanımını izle. Yenilik fayda APO05.04
değerlendirmesi
Düzeltilmiş yenilik planları İçsel
Faaliyetler
1. BT stratejisi ve kurum mimari gelişmelerinin bir kısmı olarak benimsenen yeni teknolojiler veya BT yeniliklerine ait uygulama ve insiyatif program
yönetimi sırasındaki gerçekleştirilme derecelerini değerlendir.
2. İyileştirmeye yönelik öğrenilen dersler ve fırsatları elde et.
3. Gerektiği takdirde yenilik planını ayarla.
4. Yenilik kullanımından gerçekleştirilebilecek potansiyel değeri belirle ve değerlendir.

Yok
74
Bölüm 5
Alan: Yönetim
APO05 Portföyü Yönet Etki alanı: Hizala, Planla ve Organize Et
Yatırımlara ait stratejik istikamet ayarını kurum mimari vizyonu ve istenilen yatırım ve ilgili hizmet portföylerinin özellikleriyle uyumlu olarak gerçekleştir
ve farklı yatırım kategorileri ve kaynaklar ve fon kısıtlamalarını dikkate al. Programlar ve hizmetler, kaynak içindeki yönetim talebi ve fon kısıtlamalarını
stratejik amaçlar, kurum değeri ve risk ile uyumları esasında değerlendir, önceliklendir ve dengele. Seçilen programları, icra edilmek üzere aktif
hizmetler portföyüne taşı. Hizmet ve programların genel portföy performansını izle, program ve hizmet performansı veya değişen kurum önceliklerine
göre gerekli olduğunda ayarlamalar sağla.
Programların genel portföy performansını, program ve hizmet performansına ve değişen kurum öncelikleri ve taleplere göre optimize et.

memnuniyet seviyesi
13 Fayda sağlayan programların zamanında, bütçe dahilinde, gereksinimleri Zamanında ve bütçesi dahilinde olan programların/projelerin
karşılayacak şekilde ve kalite standartlarına uygun olarak sunulması sayısı
Program/proje kalitesi konusunda memnun paydaşların yüzdesi
Kalite kusurları yüzünden önemli tekrar çalışma gerektiren
programların sayısı
Uygulamanın sürdürülme maliyetine karşı genel BT maliyeti
1. Uygun bir karma yatırım tanımlanır ve kurum stratejisi ile hizalanır. • Kurum stratetejisini izleyen BT yatırımlarının yüzdesi
• Kurum yönetiminin, BT’nin kurum stratejisine katkısından
memnun olma derecesi
2. Yatırım fonu kaynakları belirlenir ve kullanıma hazır hale getirilir. • Tahsis edilen fonlar ve kullanılan fonlar arasındaki oran
• Kullanıma hazır fonlar ve tahsis edilen fonlar arasındaki oran
3. Program iş gerekçeleri, fonlar tahsis edilmeden önce değerlendirilir ve Değerlendirme ve önceliklendirme sürecine dahil olan iş
önceliklendirilir. birimlerinin yüzdesi
4. Yatırım portföyü performansının bir kapsamlı ve doğru incelemesi mevcuttur. • Portföy izleme raporları konusunda memnuniyet seviyesi.
5. Yatırım programı değişiklikleri, ilgili BT hizmet, varlık ve kaynak portföylerinde • İlgili BT portföylerinde yansıtılan yatırım programı
yansıtılır. değişikliklerinin yüzdesi.
6. Fayda izleme sayesinde faydalar gerçekleştirilir. • Gerçekleştirilen faydaların ölçüldüğü ve iş gerekçesiyle
karşılaştırıldığı yatırımların yüzdesi.
75
APO05 SMDB Tablosu




Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
APO05.01
Hedef karma yatırımını oluştur M S S D B D D D D D D
APO05.02
Fon kaynakları ve D M S D S
kullanılabilirliğini belirle
APO05.03
Kaynak yaratma programlarını D M S S S S S D
değerlendir ve seç
APO05.04
Yatırım portföy performansını
izle, optimize et ve rapor et. B D D D D D S M D D D D D
APO05.05
Portföyleri sürdür B B S D M S S D D D
APO05.06
Fayda kazanımlarını yönet. D D D M S B S B D D S D D

APO05.01 Hedef karma yatırımını oluştur Kaynak Açıklama Açıklama Hedef
Kurum ve BT stratejileri ve güncel hizmetleri gözden EDM02.02 Yatırım tipleri ve kriterleri Tanımlı karma yatırım İçsel
geçir ve net olduklarından emin ol. Maliyet, strateji ile
uyum ve tam ekonomik yaşam döngüsü içinde maliyet APO02.05 • Stratejik yol haritası Stratejiyi desteklemek İçsel
ve beklenen yatırım getirisi, risk derecesi ve portföydeki • Risk değerlendirme için gereken belirlenmiş
programlara fayda tipi gibi finansal ölçütler bazında insiyatifleri kaynak ve yetkinlikler
uygun bir karma yatırımı tanımla. Gerekli olduğunda, • Stratejik insiyatiflerin
kurum ve BT stratejilerini ayarla. tanımı
APO06.02 BT insiyatiflerinin Strateji ve hedefler APO02.05
önceliklendirilmesi ve konusunda geri bildirim
sıralanması
APO09.01 Standart hizmetlerin
tanımları
BAI03.11 Hizmet tanımları
Faaliyetler
1. BT etkin yatırımlar ve güncel BT hizmetlerinin kurum vizyonu, kurum prensipleri, stratejik hedefler ve amaçlar, kurum mimari vizyonu ve öncelikleri ile
uyumlu olduğunu doğrula.
2. BT ve diğer iş fonksiyonları arasında, kurum stratejisini yürütmek ve desteklemek için potansiyel BT fırsatları konusunda bir ortak anlayış elde et.
3. Kısa- ve uzun-vadeli getiriler, finsansal ve finansal olmayan faydalar ve yüksek ve düşük riskli yatırımların uygun bir dengesi dahil olmak üzere birkaç
boyut arasında doğru dengeyi sağlayan bir karma yatırımı oluştur.
4. Kurum stratejisini desteklemek için gerekli olan bilgi sistemleri, aplikasyonlar, veriler, BT hizmetleri, altyapı, BT varlıkları, kaynakları, becerileri,
uygulamaları, kontrolleri ve ilişkilerinden oluşan geniş kategorileri belirle.
5. Kurum stratejisi ve BT hizmetleri, varlıkları ve diğer kaynakların birbirleriyle bağlantısını hesaba katarak BT strateji ve hedefleri üzerinde anlaş.
Gerçekleştirilebilecek sinerjileri belirle ve destekle.
76
Bölüm 5
APO05Süreç Uygulamaları, Girdiler/Çıktılar ve Faaliyetler (devamı)

APO05.02 Fon kaynakları ve kullanılabilirliğini Kaynak Açıklama Açıklama Hedef
belirle. Kaynak yaratma APO02.05
Potansiyel fon kaynakları, farklı kaynak yaratma seçenekleri
seçenekleri ve fon kaynaklarının yatırım geri dönüş
beklentileri üzerindeki etkilerini belirle. Yatırım geri dönüşü EDM02.01
beklentileri APO02.04
APO06.02
BAI01.06
Faaliyetler
1. Fonların güncel kullanılabilirliği ve borç yükümlülüğü, güncel onaylanmış harcama ve güncel tarihe kadar harcanan fiili miktarı anla.
2. BT etkin yatırımlar için iç ve dış kaynaklardan ek fonların alınması amacıyla seçenekleri belirle.

3. Fon kaynağının, yatırım geri dönüş beklentileri üzerindeki etkilerini belirle.
APO05.03 Kaynak yaratma programlarını Kaynak Açıklama Açıklama Hedef
değerlendir ve seç EDM02.01 • Yatırım ve hizmet Program iş gerekçesi APO06.02
Genel karma yatırım portföyü gereksinimleri bazında, portföylerinin BAI01.02
program iş gerekçesini değerlendir ve önceliklendir değerlendirilmesi
ve yatırım tekliflerine karar ver. Fonları tahsis et ve • Stratejik
programları başlat. uyumlandırmanın
değerlendirilmesi
EDM02.02 Yatırım tipleri ve kriterleri İş gerekçesi APO06.02
değerlendirmeleri BAI01.06
APO03.01 Mimari konsept iş Yatırım geri dönüşü EDM02.01
gerekçesi ve değer önerisi yapı taşları olan seçilen BAI01.04
APO04.04 Kavram kanıtlama programlar
kapsamı ve özet iş
gerekçesi
APO06.03 • Bütçe bildirimleri
• BT bütçe ve planı
APO09.01 BT hizmetlerinde işlere
yönelik belirlenmiş
eksiklikler
APO09.03 Hizmet seviyesi
anlaşmaları (SLA’lar)
BAI01.02 • Program fayda
gerçekleştirme planı
• Program yetki ve
talimatlar
• Program konsepti iş
gerekçesi
Faaliyetler
1. Yatırım fırsatlarının farkına var ve yatırım portföy kategorileriyle uyumlu olarak sınıflandır. Beklenen kurum sonuçları, beklenen sonuçları elde etmek
için gereken tüm insiyatifler, maliyetler, bağımlılıklar ve riski ve hepsinin nasıl ölçüleceğini belirle.
2. Tüm program iş gerekçeleri, değerlendirme stratejik uyumu, kurum faydaları, risk ve kaynak kullanılabilirliklerine dair detaylı değerlendirmeler
gerçekleştir.
3. Diğer programlara gerekebilecek her türlü değişiklik dahil olmak üzere aday programların eklenmesinin, genel yatırım portföyü üzerindeki etkisini
değerlendir.
4. Hangi aday programın aktif yatırım portföyüne taşınacağına karar ver. Reddedilen programların, gelecekte dikkate almak üzere tutulması veya
iş gerekçesinin iyileştirilip iyileştirilmeyeceği veya atılıp atılmayacağını belirlemek amacıyla bir miktar tohum aşamasında kaynağın sağlanıp
sağlanmayacağına karar ver.
5. Seçilen her programın tam ekonomik yaşam döngüsü için gerekli kilometre taşlarını belirle. Her kilometre taşına ait toplam program fonunu tahsis ve
rezerve et. Programı, aktif yatırım portföyüne taşı.
6. Bu portföylerin maliyet, fayda ve riskle ilişkili yönlerinin bütçe önceliklendirmesi, maliyet yönetimi ve fayda yönetim süreçlerine bildirilmesine yönelik
prosedürleri oluştur.
77

Yönetim Uygulaması Girdiler Çıktıla r
APO05.04 Yatırım portföy performansını izle, Kaynak Açıklama Açıklama Hedef
optimize et ve rapor et. EDM02.01 Yatırım ve hizmet Yatırım portföyü EDM02.03
Yatırım portföyü ve her bir program performansını tüm portföylerinin performans raporları APO09.04
yatırım yaşam döngüsü boyunca düzenli aralıklarla izle değerlendirilmesi BAI01.06
ve optimize et. MEA01.03
EDM02.03 • Değer yaratımını arttıran
eylemler
•Portföy ve program
performansına dair geri
bildirim
APO04.06 Yenilik fayda
değerlendirmesi

Faaliyetler
1. Sinerjileri belirlemek ve yararlanmak, programlar arasındaki çift tekrarı ortadan kaldırmak ve riski belirlemek ve azaltmak amacıyla portföyü düzenli
aralıklarla gözden geçir.
2. Değişiklikler meydana geldiğinde, portföyü, iş stratejilerle uyumlu olduğundan ve hedef karma yatırımların sürdürüldüğünden, böylece portföyün bütün
değerinin optimize edildiğinden emin olmak amacıyla tekrar değerlendir ve tekrar önceliklendir. Bu, programların değiştirilmesini, ertelenmesini veya
sonlandırılmasını ve yeni programların başlatılmasını gerektirebilir.
3. Aktif yatırım portföyündeki programlarla oluşan harcamaları ve gerçekleştirilen kurum faydalarını yansıtmak amacıyla kurum hedefleri, tahminleri,
bütçeleri ve gerekli olduğu takdirde izleme derecesini ayarla. Program harcamalarını, geri ödeme mekanizmaları bünyesine al.
4. Yatırım portföyü performansının doğru bir incelemesini tüm paydaşlara sağla.
5. Daha ne kadar harcanması ve hangi zaman aralıkları içinde gerçekleştirilmesi gerektiğini gösteren belirlenmiş hedeflere doğru kurum ilerlemesi üst
yönetim gözden geçirmelerine dair yönetim raporlarını sağla.
6. Planlanmış amaçları gerçekleştirme, riski azaltma, yetkinlikleri oluşturma, çıktıları elde etme ve performans hedeflerine ulaşma seviyesine dair düzenli
performans izleme bilgilerini dahil et.
7. Aşağıdakiler için sapmaları belirle:
• Fiili ve bütçe arasında bütçe kontrolü
• Aşağıdakilere dair fayda yönetimi:
- Muhtemelen yatırım geri dönüşü (ROI), net bugünkü değer (NPV) veya iç getiri oranı (IRR) cinsinden ifade edilen çözümlere yönelik yatırımlara dair
fiili durum ve hedeflerin karşılaştırılması.
- Hizmet tedariği verimlilik iyileştirmelerine dair hizmet portföy maliyetinin fiili eğilimi.
8. Kuruma BT katkısının ölçülmesi için ölçütler geliştir ve gereken BT ve kurum yetkinlik hedeflerini yansıtan uygun performans hedeflerini oluştur.
Ölçütleri oluşturmak için kurum dışı uzmanlar ve karşılaştırmalı değerlendirme verilerinden elde edilen rehberlikten faydalan.
APO05.05 Portföyleri sürdür Kaynak Açıklama Açıklama Hedef
Yatırım programları ve projeleri, BT hizmetleri ve BT BAI01.14 Program sonlandırma Programlar, hizmetler ve APO09.02
varlıkları portföylerini sürdür. ve devam eden varlıkların güncellenmiş BAI01.01
yükümlülüklerin portföyleri
bildirilmesi
BAI03.11 Güncellenmiş hizmet
portföyü
Faaliyetler
1. Güncel BT bütçesine esas oluşturan ve BT taktik ve stratejik planlarını destekleyen BT etkin programlar, BT hizmetleri ve BT varlıkları portföylerini
oluştur ve sürdür.
2. Hizmet portföylerini sürdürmek amacıyla hizmet tedarik yöneticileri ve varlık portföylerini sürdürmek amacıyla mimarlarla birlikte çalış. Yatırım
kararlarını desteklemek amacıyla portföyleri önceliklendir.
3. İstenilen kurum faydaları gerçekleştirildiğinde veya programa ait değer kriterleri grubundaki faydaların gerçekleştirilemeyeceği aşikar olduğunda,
programı aktif yatırım portföyünden çıkar.
78
Bölüm 5

APO05.06 Fayda kazanımlarını yönet Kaynak Açıklama Açıklama Hedef
Üzerinde anlaşılmış olan iş gerekçeleri ve güncel BAI01.04 Program bütçesi ve katma Fayda sonuçları ve ilgili EDM02.01
iş gerekçeleri esasında, uygun BT hizmetleri ve değer kaydı iletişimler APO09.04
yetkinliklerini sağla ve sürdürülmesine ait faydaları izle. BAI01.06
BAI01.05 Fayda gerçekleştirme Fayda gerçekleştirilmesini APO09.04
izlemlerinin sonuçları iyileştirmeye yönelik BAI01.06
düzeltici aksiyonlar
Faaliyetler
1. Üzerinde anlaşılmış olan ölçütleri kullan ve faydaların nasıl gerçekleştirildiği, programlar ve projelerin yaşam döngüsü boyunca nasıl evrimleştiği, BT
hizmetlerinden nasıl tedarik edildikleri ve kurum içi ve endüstri karşılaştırmalı incelemelerinde nasıl karşılaştırıldıklarını izle. Sonuçları paydaşlara

bildir.
2. Gerçekleştirilen faydalar, beklenen faydalardan büyük ölçüde sapma gösterdiğinde düzeltici aksiyonlar uygula. Yeni insiyatiflere yönelik iş
gerekçelerini güncelle ve gerektiğinde iş süreç ve hizmet iyileştirmelerini uygula.
3. Ölçütleri ve hedefleri test etmek ve iyileştirmek amacıyla, kurum dışı uzmanlar, endüstri liderleri ve karşılaştırmalı inceleme verilerinden rehberlik
alınmasını göz önünde bulundur.

ISO/IEC 20000 • 3.1 Yönetim sorumluluğu
• 4.0 Hizmet yönetimi planlama ve uygulama
• 5.0 Yeni veya değiştirilmiş hizmetleri planlama ve uygulama
ITIL V3 2011 Hizmet Stratejisi, 4.2 Hizmet Portföy Yönetimi
Bilgi Çağı Beceri Çerçevesi (SFIA)
79

80
Bölüm 5
Alan: Yönetim
APO06 Bütçe ve Maliyeti Yönet
Etki alanı: Hizala, Planla ve Organize Et
Bütçe, maliyet ve fayda yönetimi ve resmi bütçe uygulamaları ve maliyetlerin kuruma tahsisinde kurallara uygun ve adil bir sistemin kullanımıyla
harcamaların önceliklendirmesini kapsayan hem iş ve hem de BT fonksiyonlarında BT-Bağlantılı finansal faaliyetleri yönet. BT stratejik ve taktik planları
bağlamında toplam maliyet ve faydaları belirle ve kontrol et ve gerekli olduğu yerde düzeltici aksiyonların başlatılması amacıyla paydaşlara danış.
Etkili ve verimli BT Bağlantılı kaynak kullanımını gerçekleştirmek ve maliyete ve çözümler ve hizmetlerin iş değerine dair şeffaflık ve yükümlülük
sağlamak amacıyla BT ve kurum paydaşları arasında ortaklığı teşvik et. Kurumun, BT çözümleri ve hizmetlerinin kullanımıyla ilgili bilgilendirilmiş
kararları almasını sağla.

05 BT etkin yatırım ve hizmet portföylerinden gerçekleştirilen faydalar • Fayda gerçekleşmesinin tam ekonomik yaşam döngüsü boyunca
izlendiği BT etkin yatırımların yüzdesi
06 BT maliyet, fayda ve riskinde şeffaflık • Açıkça tanımlanmış ve onaylanmış beklenen BT etkin maliyet ve
faydaları olan ticari yatırım durumlarının yüzdesi
• Açıkça tanımlanmış ve onaylanmış işletme maliyetleri ve beklenen
faydaları olan BT hizmetlerinin yüzdesi
• BT finansal bilgilerinde şeffaflık, mutabakat ve doğruluk seviyesi
ile ilgili ana paydaşların memnuniyet araştırması
1. Planlanmış harcamaları doğru olarak yansıtan şeffaf ve eksiksiz bir BT bütçesi. • Unutma ve hatalar nedeniyle yapılan bütçe değişikliklerinin sayısı.
• Beklenen ve fiili bütçe kategorileri arasındaki sapmaların sayısı
2. BT insiyatiflerine yönelik BT kaynaklarının tahsisi, kurum ihtiyaçları bazında • BT kaynaklarının yüksek öncelikli insiyatiflerle uyum yüzdesi
önceliklendirilir. • Üst bildirimi yapılan kaynak tahsis sorunlarının sayısı
3. Hizmet maliyetleri, adil bir şekilde tahsis edilir. • Üzerinde anlaşılmış olan maliyet modellerine uygun olarak tahsis
edilen toplam BT maliyetlerinin yüzdesi
4. Bütçeler, fiili maliyetlerle doğru olarak karşılaştırılabilir. • Bütçeler, tahminler ve fiili maliyetler arasındaki sapma yüzdesi
APO06 SMDB Tablosu





Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
APO06.01
Finans ve muhasebeyi yönet M D D D S D D S
APO06.02
Kaynak tahsisini önceliklendir B S D D D B D D B M B D D S D D
APO06.03
Bütçeleri oluştur ve sürdür B M D D D D D D S D D D S D D D
APO06.04
Maliyetleri modelle ve tahsis et D D D D D D D M D D D S D D
APO06.05
Maliyeti yönet S D D D D D D M D D D S D D
81

APO06.01 Finans ve muhasebeyi yönet Kaynak Açıklama Açıklama Hedef
Yatırımlar ve BT maliyetlerini yönetmek için tüm BAI09.01 Varlık kaydı Muhasebe süreçleri İçsel
BT-Bağlantılı maliyetler, yatırımlar ve amortismanların
hesabını yapmak amacıyla kurum finans sistemleri ve BT maliyetleri sınıflandırma İçsel
hesap cetvellerinin entegre bir parçası olarak bir yöntem şeması
oluştur ve sürdür. Fiili maliyetleri elde et ve tahsis et, Finsansal planlama İçsel
tahminler ve fiili maliyetler arasındaki sapmaları analiz uygulamaları
et ve kurum finansal ölçüm sistemlerini kullanarak
rapor et.
Faaliyetler
1. Kurum bütçe ve maliyet muhasebesi politikaları ve BT bütçelendirme ve maliyetlendirmeyi sistematik olarak yürütme, BT etkin iş programları
portföyüne girdi olarak kurallara uygun, şeffaf, tekrarlanabilen ve karşılaştırılabilir BT maliyet ve fayda tahminleri sağlama ve bütçeler ve maliyetlerin
BT varlık ve hizmet portföylerinde sürdürülmesini sağlama yaklaşımlarıyla uyumlu olarak süreçler, girdiler ve çıktılar ve sorumlulukları tanımla.
2. Tüm BT Bağlantılı maliyet elemanlarını, bütçeler ve hizmetlerde nasıl tahsis edildiklerini ve nasıl elde edildiklerini belirlemek amacıyla bir sınıflandırma
şeması tanımla.
3. BT varlıkları ve hizmetlerindeki yeni yatırımlara yönelik iş gerekçelerine girdiler sağlamak amacıyla finansal ve portföy bilgilerini kullan.
4. Bütçe kontrol ve fayda yönetim süreçlerinin nasıl analiz edileceği, raporlanacağı (kime ve nasıl) ve kullanılacağını tanımla.
5. Finansal planlama, yatırım yönetimi ve karar almaya ve kuruma en az harcamayla maksimum değeri sağlamak için tekrarlayan operasyon
maliyetlerinin optimizasyonuna yönelik uygulamaları oluştur ve sürdür.
APO06.02 Kaynak tahsisini önceliklendir Kaynak Açıklama Açıklama Hedef
İsteğe bağlı yatırım kuralları ve kaynak tahsisini EDM02.01 Yatırım ve hizmet BT insiyatiflerinin APO05.01
önceliklendirmek amacıyla her iş birimine bir karar alma portföylerinin önceliklendirilmesi ve
süreci uygulat. Kurum dışı hizmet sağlayıcıların olası değerlendirilmesi sıralanması
kullanımına yer ver ve satın alma, geliştirme ve kiralama
seçeneklerini dikkate al. EDM02.03 Değer yaratımını arttıran Bütçe tahsisleri APO02.05
eylemler APO05.03
APO04.04 Kavram kanıtlama APO07.05
kapsamı ve özet iş BAI03.11
gerekçesi
APO05.02 Yatırım geri dönüşü
beklentileri
APO05.03 • İş gerekçesi
değerlendirmeleri
• Program iş gerekçesi
Faaliyetler
1. Stratejik ve taktik planlarla oluşturulan BT etkin programlar, BT hizmetleri ve BT varlıklarına yönelik yüksek seviyeli bütçe tahsislerinde, kurum dışı
hizmet sağlayıcıların kullanımı dahil iş ve BT kaynaklarının önceliklendirilmesine yönelik bir karar alma organı oluştur. Sermayelendirilmiş varlıklar ve
hizmetlere kıyasla kullan-öde esasında kurum dışından kullanılan varlıklar ve hizmetleri satın alma veya geliştirme seçeneklerini dikkate al.
2. İş gerekçeleri ve stratejik ve taktik planlar bazında tüm BT insiyatiflerini sırala ve bütçe tahsisleri ve kesintilerini belirlemek amacıyla prosedürler
oluştur. Bütçe kararlarını bildirmek ve bunları gözden geçirmek amacıyla iş birimi bütçe hamilleriyle birlikte bir prosedür oluştur.
3. Bütçe kararlarının iş gerekçeleri, portföyler ve strateji planları (ör., bütçelerin, değişen kurum şartları nedeniyle, stratejik amaçları veya iş gerekçesi
amaçlarını desteklemek için yetersiz olduklarında, gözden geçirilmesi gerektirdiğinde) üzerindeki önemli etkileri belirle, bildir ve çöz.
4. Kuruluşun stratejik veya taktik planlarını olumsuz yönde etkileyen tüm BT bütçe değişiklikleri için yönetici kadro onayı al ve bu etkilerin çözülmesine
yönelik öneri eylemler teklif et.
82
Bölüm 5

APO06.03 Bütçeleri oluştur ve sürdür Kaynak Açıklama Açıklama Hedef
BT etkin programlar ve BT hizmetleri portföyü bazında BT bütçe ve planı APO02.05
stratejik amaçları destekleyen yatırım önceliklerini APO05.03
yansıtan bir bütçe hazırla. APO07.01
BAI03.11
Bütçe bildirimleri APO02.05
APO05.03
APO07.01
BAI03.11
Faaliyetler

1. Strateji, programlar ve portföylerle yönetilen BT etkin programlar, BT hizmetleri ve BT varlıklarının tüm beklenen BT maliyetleri dahil olmak üzere bir
resmi BT bütçesini uygula.
2. Bütçe oluşturulurken, aşağıdaki bileşenler dikkate almalıdır:
• İşe uyum
• Kaynak yaratma stratejisine uyum
• İzin verilmiş fon kaynakları
• Personel, bilgi varlıkları ve borçları dahil iç kaynak maliyetleri
• Dış kaynak kullanım sözleşmeleri, danışmanlar ve hizmet sağlayıcılar dahil üçüncü şahıs maliyetleri
• Sermaye ve operasyon harcamaları
• İş yüküne bağlı olan maliyet elemanları
3. Beklenmedik durumlara yönelik gerekçeleri belgele ve düzenli aralıklarla gözden geçir.
4. Süreç, hizmet ve program sahiplerinin yanı sıra proje ve varlık yöneticilerine bütçelerini planlamak amacıyla talimat ver.
5. Bütçe planlarını gözden geçir ve bütçe tahsisleri hakkında karar al. Değişen kurum ihtiyaçları ve finansal hususlar bazında bütçeyi derle ve ayarla.
6. BT etkin yatırım portföylerinde kayıtlı BT projeleri ve varlık ve hizmet portföylerinin operasyon ve sürdürülmesi dikkate aldığında taahhüt edilmiş
harcamalar ve güncel harcamalar dahil güncel BT bütçesini kaydet, sürdür ve bildir.
7. Bütçelemeye ait farklı yönlerin etkinliğini izle ve sonuçları, gelecekteki bütçelerin daha doğru, güvenilir ve düşük maliyetli olmasını sağlamak için
iyileştirmeleri uygulamak amacıyla kullan.
APO06.04 Maliyetleri modelle ve tahsis et Kaynak Açıklama Açıklama Hedef
Hizmet sağlayıcılar tarafından sağlananlar dahil olmak Kategorilendirilmiş BT İçsel
üzere kaynakların sorumlu kullanımını teşvik etmek maliyetleri
amacıyla, hizmet maliyet tahsislerinin belirlenebilir,
ölçülebilir ve tahmin edilebilir olmasını sağlayarak, Maliyet tahsis modeli İçsel
hizmet tanımı bazında bir BT maliyet modelini oluştur Maliyet tahsis bildirimleri İçsel
ve kullan.
Gelişmekte olan iş ve BT faaliyetleriyle ilişkisi ve Operasyon prosedürleri İçsel
uygunluğunu sürdürmek amacıyla maliyet/geri ödeme
modelinin uygunluğunu düzenli aralıklarla gözden geçir
ve karşılaştırmalı olarak değerlendir.
Faaliyetler
1. Hizmet sağlayıcılarla ilişkili olanlar dahil olmak üzere tüm BT maliyetlerini kurum yönetimi muhasebe çerçevesine göre uygun şekilde kategorize et.
2. Kullanıcı geri ödemesine tabi olan hizmetler ve ortak hizmetler olanları belirlemek amacıyla hizmet tanımı listelerini incele.
3. Bir model tanımla ve üzerinde anlaş, öyle ki model:
• Hizmet başına geri ödeme oranları hesaplamasını desteklemeli
• BT maliyetlerinin nasıl hesaplanacağı/ücretlendirileceğini tanımlamalı
• Uygun olduğu yerde ve uygun olduğu zamanda değiştirilmeli
• BT bütçesi ile uyumlu olmalıdır.
4. Kullanıcıların kendi fiili kullanım ve ücretlerini belirlemelerine ve BT maliyetlerinin daha iyi tahminin sağlanmasına ve BT kaynaklarının etkili ve verimli
kullanımına imkan verecek kadar şeffaf olan bir maliyet modelini tasarla.
5. Kullanıcı bölümleriyle gözden geçirme sonrasında, BT maliyet modeli girdileri ve çıktılarına dair kullanıcı bölümleri yönetiminden onay al ve bildir.
6. Maliyet/geri ödeme modelindeki değişiklikleri kurum süreç sahiplerine bildir.
83

APO06.05 Maliyetleri yönet Kaynak Açıklama Açıklama Hedef
Fiili maliyetleri bütçeyle kıyaslayarak bir maliyet yönetim EDM02.03 Portföy ve program Maliyet verileri toplama İçsel
sürecini uygula. Maliyetler izlenmeli ve rapor edilmeli ve performansına dair geri usulü
sapma olması durumunda zamanında belirlenmeli ve bildirim
bunların kurum süreçleri ve hizmetler üzerindeki etkileri
değerlendirilmelidir. BAI01.02 Program fayda Maliyet birleştirme usulü İçsel
gerçekleştirme planı
BAI01.04 Program bütçesi ve katma Maliyet optimizasyon APO02.02
değer kaydı fırsatları
BAI01.05 Fayda gerçekleştirme
izlemlerinin sonuçları
Faaliyetler
1. BT bütçe hamilleri ve finansal bilgileri elde eden, analiz eden ve rapor eden kişiler arasında uygun yetki ve bağımsızlıkları sağla.
2. Bütçe ve muhasebe gereksinimleriyle uyumlu olarak, maliyet yönetim süreci operasyonuna dair zaman cetvellerini oluştur.
3. Aşağıdakilerde olan sapmaları belirlemek amacıyla ilgili verilerin toplanmasına dair bir yöntem tanımla:
• Fiili ve bütçe arasında bütçe kontrolü
• Aşağıdakilere dair fayda yönetimi:
- Muhtemelen yatırım geri dönüşü (ROI), net bugünkü değer (NPV) veya iç getiri oranı (IRR) cinsinden ifade edilen çözümlere yönelik yatırımlara dair
fiili durum ve hedeflerin karşılaştırılması.
- Hizmetlerin maliyet optimizasyonu için hizmet maliyetinin fiili eğilimi (ör., kullanıcı başına düşen maliyet olarak tanımlanır)
- Çözümlerin sağlanması için tepki verme yeteneği ve öngörülebilirlikteki iyileştirmelere dair fiili durum ve bütçenin karşılaştırılması
• Doğrudan ve dolaylı (mahsup edilmiş veya mahsup edilmemiş) maliyetler arasındaki maliyet dağılımı
4. Maliyetlerin, kurum içindeki uygun seviyeler için nasıl birleştirilecekleri ve paydaşlara nasıl sunulacaklarını tanımla. Raporlar, gerekli düzeltici
aksiyonların zamanında belirlenmesini gerçekleştirmek amacıyla bilgiler sağlar.
5. Maliyet yönetimi için verileri elde etmek, toplamak ve birleştirmek ve verileri uygun bütçe sahiplerine rapor etmekten sorumlu olanlara talimat ver.
Bütçe analistleri ve sahipleri, sapmaları ortaklaşa analiz eder ve performansı kurum içinde ve karşılaştırmalı değerlendirmelerle karşılaştırır. Analiz
sonucu, önemli sapmalara dair bir açıklama ve düzeltici aksiyon önerileri sağlar.
6. Yönetimin uygun seviyelerinin, analiz sonuçlarını gözden geçirdiğinden ve düzeltici aksiyon önerilerini onayladığından emin ol.
7. BT bütçeleri ve hizmetlerini BT altyapısı, kurum süreçleri ve bunları kullanan sahiplerine hizala.
8. Maliyet yapıları ve kurum ihtiyaçlarındaki değişiklikleri belirle ve bütçeler ve tahminlerin gerektiği takdirde gözden geçirildiğinden emin ol.
9. Düzenli aralıklarla ve özellikle bütçeler finansal kısıtlamalar nedeniyle kesintiye uğradığında, maliyetleri optimize etme yollarını belirle ve hizmetleri
riske atmaksızın verimlilikleri ortaya çıkar.

ISO/IEC 20000 6.4 BT hizmetleri bütçe ve muhasebesi
ITIL V3 2011 Hizmet Stratejisi, 4.3 BT Hizmetleri Finansal Yönetimi
84
Bölüm 5
Alan: Yönetim
APO07 İnsan Kaynaklarını Yönet Etki alanı: Hizala, Planla ve Organize Et
İnsan kaynaklarında optimum yapılanma, yerleştirme, karar hakları ve becerileri elde etmek amacıyla yapılandırılmış bir yaklaşım sağla. Bu, yetkin ve
motivasyonlu insanlarla desteklenen tanımlanmış görevler ve sorumluluklar, öğrenme ve gelişim planları ve performans beklentilerinin bildirilmesini
içerir.
Kurum amaçlarını gerçekleştirmek amacıyla insan kaynaklarını optimize et.
01 BT ve iş stratejisinin hizalanması • BT stratejik hedefleri tarafından desteklenen gereksinimlerin ve kurum
stratejik hedeflerinin yüzdesi

memnuniyet seviyesi
11 BT varlık, kaynak ve yetkinliklerinin optimizasyonu • Yetkinlik olgunluğu ve maliyet optimizasyon değerlendirmelerinin sıklığı
• BT-Bağlantılı maliyetler ve imkanlar konusunda iş idarecileri ve BT
13 Fayda sağlayan programların zamanında, bütçe dahilinde, gereksinimleri • Zamanında ve bütçesi dahilinde olan programların/projelerin sayısı
karşılayacak şekilde ve kalite standartlarına uygun olarak sunulması • Program/proje kalitesi konusunda memnun paydaşların yüzdesi
• Kalite kusurları yüzünden önemli tekrar çalışma gerektiren
• Uygulamanın sürdürülme maliyetine karşı genel BT maliyeti
16 Yetkin ve istekli iş ve BT personeli • Makamı için gereken yetkinliğe yönelik BT-Bağlantılı becerileri yeterli
olan kadro yüzdesi
• Her bir çalışan başına düşen sürekli öğrenme/eğitim saati sayısı
17 İşte yenilik için bilgi birikimi, uzmanlık ve girişimcilik • BT yenilik olanaklarına dair iş idarecisinin farkında olma ve kavrama
seviyesi
• BT yeniliğine dair uzmanlık ve fikirlerin seviyesi konusunda paydaş
memnuniyeti seviyesi
1. BT organizasyon yapısı ve ilişkiler esnek ve yanıt verici özelliktedir. • Hizmet tanımları ve hizmet listelerinin sayısı
• Yönetimin karar alması konusunda yönetim kadrosunun memnuniyet
derecesi
• Yönetim yapıları içinde çözülemeyecek ve yönetişim yapılarına üst
bildirimi yapılan kararların sayısı
2. İnsan kaynakları etkili ve verimli şekilde yönetilir. • Personel değişim yüzdesi
• Ortalama kadro açık kalma süresi
• Boş kalan BT görevlerinin yüzdesi
85
APO07 SMDB Tablosu




Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
APO07.01
Yeterli ve uygun istihdamı sürdür S B S M S S S S S S S
APO07.02
Önemli BT personelini belirle S S M S S S S S S S
APO07.03
Personel becerileri ve S S M S S S S S S S
yetkinliklerinin devamını sağla
APO07.04
Çalışan iş performansını S S M S S S S S S S
değerlendir
APO07.05
BT ve iş insan kaynakları S D M S S B S S S S S S S S
kullanımını planla ve izle
APO07.06
Sözleşmeli personelleri yönet S S M S S S S S S S

APO07.01 Yeterli ve uygun istihdamı Kaynak Açıklama Açıklama Hedef
sürdür EDM04.01 • Onaylanmış kaynak planı İstihdam gereksinim İçsel
Kurumun, kurum hedefleri ve amaçlarını • Kaynak ve yetkinliklerin tahsisi değerlendirmeleri
desteklemek için yeterli insan kaynaklarına için rehber prensipler
sahip olmasını sağlamak amacıyla, düzenli
aralıklarla veya kurum ya da operasyon EDM04.03 Kaynak yönetim sapmalarına Yetkinlik ve kariyer gelişim İçsel
ya da BT ortamındaki büyük değişiklikler yönelik iyileştirici aksiyonlar planları
üzerine istihdam gereksinimlerini APO01.02 Denetim uygulamalarının tanımı Personel kaynak yaratma İçsel
değerlendir. İstihdam hem iç ve hem de dış planları
kaynakları içerir. APO06.03 • Bütçe bildirimleri
COBIT dışında • Kurum hedefleri ve amaçları
• Kurum insan kaynakları
politikaları ve prosedürleri
Faaliyetler
1. Aşağıdakiler sağlanacak şekilde, düzenli aralıklarla veya büyük değişiklikler üzerine istihdam gereksinimlerini değerlendir:
• BT fonksiyonunun yeterli kaynaklara sahip olması ve uygun şekilde kurum hedefleri ve amaçlarını desteklemesi.
• Kurumun, iş süreçleri ve kontrolleri ve BT etkin insiyatifleri yeterli ve uygun şekilde desteklemek amacıyla yeterli kaynaklara sahip olması.
2. İş ve BT personel işe alma ve elde tutma süreçlerini genel kurum personel politikaları ve prosedürleriyle uyumlu olarak sürdür.
3. Çalışanlar, taşeronlar ve satıcıların BT işe alma süreçlerinde özgeçmiş kontrollerine yer ver. Bu kontrollerin kapsamı ve sıklığı, fonksiyonun hassasiyeti
ve/veya önemine bağlıdır.
4. Transferler, dış kaynaklı taşeronlar ve üçüncü şahıs hizmet sözleşmeleri gibi değişen iş ihtiyaçlarını desteklemek amacıyla esnek kaynak düzenlemeleri
oluştur.
5. Birden fazla eğitimin gerçekleşmesi ve tek kişiye bağımlılığı azaltmak amacıyla önemli personel yedeklemesi sağla.
86
Bölüm 5

APO07.02 Önemli BT personelini belirle Kaynak Açıklama Açıklama Hedef
Bilgi birikiminin tutulması (belgeleme), bilgi birikiminin
paylaşılması, haleflik planlaması ve personel
yedekleme sayesinde önemli bir iş fonksiyonunun
gerçekleştirilmesinde tek bir kişiye güvenilmesini en aza
indirerek önemli BT personelini belirle.
Faaliyetler
1. Bilgi birikiminin tutulması (belgeleme), bilgi birikiminin paylaşılması, haleflik planlaması, personel yedekleme, birden fazla alanda eğitim ve iş rotasyon
insiyatifleri sayesinde önemli bir iş fonksiyonunun gerçekleştirilmesinde tek bir kişiye güvenilmesini en aza indir.
2. Güvenlik önlemi olarak, önemli kişiler tarafından alınacak en kısa süreli yıllık tatillerde rehberlikler sağla.

3. İş değişiklikleri, özellikle iş sonlandırmalarıyla ilgili uygun tedbirler al.
4. Personel yedekleme planlarını düzenli olarak test et.
APO07.03 Personel becerileri ve yetkinliklerinin Kaynak Açıklama Açıklama Hedef
devamını sağla EDM01.02 Ödül sistemi yaklaşımı Beceriler ve yetkinlikler APO01.02
Gerekli personel becerileri ve yetkinliklerini tanımla matrisi BAI01.02
ve yönet. Personelin öğrenimleri, eğitimleri ve/ BAI01.04
veya deneyimleri bazında görevlerini yerine getirme
yetkinliklerine sahip olduğunu düzenli aralıklarla EDM04.03 Kaynak yönetim Beceri geliştirme planları EDM04.01
doğrula ve bu yetkinliklerin sürdürüldüğünü, uygun sapmalarına yönelik APO01.02
olacak şekilde kalifikasyon ve sertifikasyon programları iyileştirici aksiyonlar
kullanarak doğrula. Çalışanlara, sürekli öğrenme ve bilgi BAI08.03 Yayınlanmış bilgi havuzları Gözden geçirme raporları İçsel
birikimi, beceriler ve yetkinliklerini kurum hedeflerini
gerçekleştirmek için yeterli olan bir seviyede sürdürme BAI08.04 Bilgi birikimi farkındalığı ve
imkanları sağla. eğitim şemaları
DSS04.06 Beceriler ve yetkinliklere
ait sonuçların izlenmesi
• Eğitim gereksinimleri
COBIT dışında Kurum hedefleri ve
amaçları
Faaliyetler
1. Kurum, BT ve süreç hedeflerini gerçekleştirmek amacıyla iç ve dış kaynaklara ait gerekli olan ve kullanılabilir güncel beceriler ve yetkinlikleri tanımla.
2. Yetkinlik gelişimi, kişisel gelişim fırsatları ve önemli kişilere düşük bağımlılığı teşvik etmek amacıyla resmi kariyer planlama ve profesyonel gelişim
sağla.
3. Beceriler ve yetkinlikleri desteklemek amacıyla bilgi havuzlarına erişim sağla.
4. Gerekli olan ve kullanılabilir beceriler arasındaki eksiklikleri belirle ve bunların, eğitim (teknik ve davranış becerileri), işe alma, yeniden düzenleme ve
değiştirilmiş kaynak oluşturma stratejileri gibi kişisel ve müşterek esasta üzerine eğilmek için eylem planları geliştir.
5. Kurum bilgi birikimi, iç kontrol, ahlaki kurallar ve güvenlik dahil organizasyon ve süreç gereksinimleri bazında eğitim programları geliştir ve sağla.
6. İç ve dış kaynaklara ait beceriler ve yetkinliklerin evrimini değerlendirmek amacıyla düzenli aralıklarla incelemeler yürüt. Haleflik planlamasını gözden
geçir.
7. Değişen kurum gereksinimleri ve gerekli bilgi birikimi, beceriler ve kabiliyetler üzerindeki etkileri açısından yeterliliğin sağlanması amacıyla düzenli
aralıklarla eğitim malzemeleri ve programları gözden geçir.
87

APO07.04 Çalışan iş performansını değerlendir Kaynak Açıklama Açıklama Hedef
Kurum hedefleri, yerleşik standartlar, özel iş EDM01.02 Ödül sistemi yaklaşımı Personel hedefleri İçsel
sorumlulukları ve beceriler ve yetkinlik çerçevesinden
oluşan kişisel amaçlara yönelik performans APO04.01 Takdir ve ödül programı Performans İçsel
değerlendirmelerini düzenli aralıklarla zamanında değerlendirmeleri
gerçekleştir. Uygun olduğunda, çalışanlar performans ve BAI05.04 Uyumlu insan kaynakları İyileştirme planları İçsel
yürütme konusunda rehberlik almalıdır. performans amaçları
BAI05.06 İnsan kaynakları
performans gözden
DSS06.03 Tahsis edilmiş erişim
hakları
COBIT dışında Kurum hedefleri ve
amaçları
Faaliyetler
1. Kişisel hedefleri oluşturma bağlamında fonksiyonel/kurum hedeflerini dikkate al.
2. BT ve kurum hedeflerine net bir katkı olacak şekilde ilgili süreç hedefleri ile uyumlu kişisel hedefler oluştur. Hedefleri temel yetkinlikler, kurum
değerleri ve görevler için gerekli olan becerileri yansıtan SMART amaçlara (özgün, ölçülebilir, erişilebilir, konuyla ilgili ve güncel) dayandır.
3. 360 derecelik performans değerlendirme sonuçlarını derle.
4. Bir disiplin süreci uygula ve bildir.
5. Değerlendirme sürecinde kişisel bilgilerin kullanımı ve saklanmasına yönelik, geçerli personel verileri ve çalışma mevzuatıyla uyumlu olarak özel
talimatlar sağla.
6. Kişisel hedeflere doğru performansa yönelik geri bildirimi zamanında sağla.
7. Performans hedeflerine yönelik tam bağlılık, yetkinlik gelişimi ve başarıyla ulaşmanın ödüllendirildiği bir hakkediş/takdir sürecini uygula. Sürecin tutarlı
şekilde uygulandığından ve organizasyon politikalarıyla uyumlu olduğundan emin ol.
8. Değerlendirme süreci ve belirlenmiş eğitim ve beceri geliştirme gereksinimlerinin sonuçları bazında performans iyileştirme planlarını oluştur.
APO07.05 BT ve iş insan kaynakları kullanımını Kaynak Açıklama Açıklama Hedef
planla ve izle EDM04.02 Kaynak oluşturma İş ve BT insan kaynakları BAI01.04
İş ve BT insan kaynaklarına yönelik şimdiki ve stratejilerinin bildirilmesi envanteri
gelecekteki talebi kurum BT sorumluluklarıyla kavra ve
izle. Kaynak oluşturma planları, kurum ve BT işe alma EDM04.03 Kaynak ve yetkinliklerin Kaynak oluşturma BAI01.06
süreçleri kaynak oluşturma planları ve iş ve BT işe alma tahsisi ve etkinliği sermaye eksikliği analizleri
süreçlerine dair sermaye eksikliklerini belirle ve girdileri konusunda geri bildirim
sağla. APO06.02 Bütçe tahsisleri Kaynak kullanım kayıtları BAI01.06
BAI01.04 Kaynak gereksinimleri ve
görevleri
BAI01.12 Proje kaynak
gereksinimleri
Kurum Şimdiki ve gelecekteki
organizasyonu portföyler
COBIT dışında Kurum organizasyon yapısı
Faaliyetler
1. İş ve BT insan kaynakları envanterini oluştur ve sürdür.
2. BT amaçlarının gerçekleştirilmesini desteklemek ve şimdiki BT-Bağlantılı insiyatifler portföyü, gelecekteki yatırım portföyü ve günlük operasyon
ihtiyaçları bazında, hizmetleri ve çözümleri tedarik etmek amacıyla insan kaynaklarının şimdiki ve gelecekteki taleplerini kavra.
3. Sermaye eksikliklerini belirle ve kaynak oluşturma planlarının yanı sıra kurum ve BT işe alma süreçlerine girdiler sağla. Fiili kullanımı izleyerek,
istihdam planını oluştur ve gözden geçir.
4. Farklı görevler, atamalar, hizmetler veya projelerde harcanan zaman konusunda yeterli bilgi akışını sürdür.
88
Bölüm 5

APO07.06 Sözleşmeli personelleri yönet Kaynak Açıklama Açıklama Hedef
BT becerileriyle kuruma destek veren danışmanlar ve BAI01.04 Kaynak gereksinimleri ve Sözleşmeli personel İçsel
sözleşmeli personelin, organizasyon politikalarını bildiği görevleri politikaları
ve uyduğundan ve üzerinde anlaşılmış olan sözleşme
şartlarını yerine getirdiğinden emin ol. BAI01.12 Proje kaynak Sözleşme anlaşmaları İçsel
gereksinimleri
BAI01.14 Program sonlandırma Sözleşme anlaşmaları İçsel
ve devam eden gözden geçirmeleri
yükümlülüklerin
bildirilmesi
Faaliyetler

1. Danışmanlar ve/veya taşeronlar tarafından ne zaman, nasıl ve ne tür bir işin gerçekleştirilebileceğini açıklayan, organizasyonun kurum çapındaki BT
satın alma politikası ve BT kontrol çerçevesine uygun politikalar ve prosedürleri uygula.
2. Güvenlik izni, fiziksel ve mantıksal erişim kontrol politikaları, tesislerin kullanımı, bilgi gizliliği şartları ve ticari sırları açıklamama anlaşmaları gibi kurum
BT kontrol çerçevesine uymalarını gerekli kılan sözleşmenin başlangıcında taşeronlardan resmi bir anlaşma temin et.
3. Yönetimin e-posta, sesli haberleşmeler ve tüm programlar ve veri dosyaları dahil tüm BT kaynakları kullanımını izleme ve denetleme hakkının saklı
olduğuna dair taşeronları bilgilendir.
4. Taşeronlara yaptıkları işleri, üzerinde anlaşılmış olan standartlar ve formatlarda belgelemelerine yönelik açık şartlar dahil olmak üzere sözleşmelerinin
bir parçası olarak görev ve sorumluluklarına dair açık bir tanım sağla.
5. Taşeronların yaptıkları işleri gözden geçir ve ödeme onaylarını bu sonuçlara göre ver.
6. Kurum dışı şahıslar tarafından gerçekleştirilen tüm işi resmi ve sarih sözleşmelerle tanımla.
7. Sözleşmeli personelin gerekli olan tüm anlaşmaları imzaladığından ve onayladığından emin olmak amacıyla düzenli aralıklarla gözden geçirmeler
yürüt.
8. Taşeronların görevleri ve erişim haklarının anlaşmalara uygun ve uyumlu olmasını sağlamak amacıyla düzenli aralıklarla gözden geçirmeler yürüt.

ISO/IEC 27002 8. İnsan Kaynakları Güvenliği
SFIA Beceri referansı
89

90
Bölüm 5
Alan: Yönetim
APO08 İlişkileri Yönet Etki alanı: Hizala, Planla ve Organize Et
İş ve BT arasındaki ilişkiyi, stratejik hedeflerin desteklenmesinde ve bütçeler ve risk toleransı kısıtlamaları dahilinde, başarılı kurum çıktılarına dair bir
ortak ve paylaşılan hedefin gerçekleştirilmesine odaklanılmasını sağlayan resmi ve şeffaf bir şekilde yönet. İlişkiyi, açık ve anlaşılır şartlar ve ortak bir dil
kullanılarak karşılıklı güven ve önemli kararlarda sahiplik ve yükümlülük alma isteğine dayandır.
BT’de iyileştirilmiş çıktılar, arttırılmış güven, itimat ve kaynakların etkili kullanımını sağla.

memnuniyet seviyesi
yüzdesi
12 Uygulamalar ve teknolojinin iş süreçlerine entegre edilmesiyle iş süreçlerinin • Teknolojik entegrasyon hatalarının yol açtığı iş süreç olaylarının
gerçekleştirilmesi ve desteklenmesi sayısı
• Teknolojik entegrasyon sorunları yüzünden ertelenmesi veya
tekrar çalışılması gereken iş süreç değişikliklerinin sayısı
• Teknolojik entegrasyon sorunları yüzünden ertelenen veya
ilave maliyetler oluşturan BT etkin iş programlarının sayısı
• Bilgi sistemi olmadan çalışan ve entegrasyonu yapılmamış
uygulamalar veya kritik altyapıların sayısı
kavrama seviyesi
1. İş stratejileri, planları ve gereksinimleri iyi anlaşılır, belgelendirilir ve onaylanır. • BT hizmetlerinin kurum iş gereksinimleriyle uyumlu olma
yüzdesi
2. Kurum ve BT arasında iyi ilişkiler vardır. • Kullanıcı ve BT personel memnuniyet araştırmalarının
derecelendirmeleri
3. İş paydaşları teknoloji etkin imkanların farkındadır. • İş paydaşlarının teknoloji seviyesi farkındalığı araştırması
• Teknoloji imkanlarının yatırım tekliflerine dahil edilme oranı
91
APO08 SMDB Tablosu




Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
APO08.01
İş beklentilerini kavra D D D D S D D D D D M D S S D S S S
APO08.02
İşi geliştirmek amacıyla BT’ye
yönelik imkanlar, risk ve B B B S S D B D D M S S S S
kısıtlamaları belirle
APO08.03
İş ilişkilerini yönet D D D S S B M S S S
APO08.04
Koordinasyon ve iletişimi sağla S B S S S B M S S S
APO08.05
Sürekli hizmet iyileştirmesine D B D S B D D D M D S S S D D
girdiler sağla

APO08.01 İş beklentilerini kavra Kaynak Açıklama Açıklama Hedef
Güncel iş sorunları ve amaçları ve BT’ye yönelik iş APO02.05 Stratejik yol haritası Belirginleştirilmiş ve İçsel
beklentilerini kavra. Şartların kavrandığı, yönetildiği ve üzerinde anlaşılmış iş
bildirildiğinden ve durumları üzerinde anlaşıldığından ve beklentileri
onaylandığından emin ol.
Faaliyetler
1. İş paydaşları, bunların ilgi ve sorumluluk alanlarını belirle.
2. Güncel kurum doğrultusu, sorunlar, stratejik amaçlar ve kurum mimarisiyle uyumu gözden geçir.
3. İş süreçleri ve ilişkili faaliyetlere dair bir farkındalığı sürdür ve hizmet hacimleri ve kullanımla ilişkili talep düzenlerini kavra.
4. BT etkin hizmetler ve çözümlere dair iş beklentilerini belirginleştir ve gereksinimlerin ilişkili iş kabul kriterleri ve ölçütleriyle tanımlandığından emin ol.
5. BT’nin ilgili tüm bölümlerine dair iş beklentileri, kabul kriterleri ve ölçütlerinin tüm paydaşlar tarafından kabul edildiğini teyit et.
6. İş birimlerinin öncelikleri, bağımlılıkları, finansal kısıtlamaları ve program talepleri ihtiyacını kavramasını sağlayarak beklentileri yönet.
7. Güncel iş ortamı, süreç kısıtlamaları veya sorunları, coğrafik genişleme veya küçülme ve endüstri/yasal faktörleri kavra.
92
Bölüm 5

APO08.02 İşi geliştirmek amacıyla BT’ye yönelik Kaynak Açıklama Açıklama Hedef
imkanlar, risk ve kısıtlamaları belirle APO09.01 BT hizmetlerinde işlere Üzerinde anlaşılmış olan İçsel
Arttırılmış kurum performansının bir sağlayıcısı olarak yönelik belirlenmiş bir sonraki aşama ve
BT’ye yönelik potansiyel imkanları belirle. eksiklikler eylem planları
APO09.04 • İyileştirme eylem planları
ve iyileştirmeler
• Hizmet seviyesi
performans raporları
APO11.05 Kalite tedarik
başarısızlıklarına dair kök
nedenler

Faaliyetler
1. Teknoloji eğilimleri ve yeni teknolojileri ve bunların iş süreç performansını arttırmak amacıyla yenilikçi şekilde nasıl uygulanabileceğini kavra.
2. Fırsatlar, risk ve kısıtlamaları belirle ve ana paydaşlara bildirilmesi konusunda proaktif bir rol üstlen. Bu, güncel ve yeni teknolojiler, hizmetler ve iş
süreç modellerini içerir.
3. İş gerekçesinin geliştirilmesi dahil portföy yönetimi ile beraber çalışarak, önemli yeni insiyatiflerin bir sonraki aşamaları üzerinde anlaşmak üzere iş
birliği yap.
4. İş ve BT’nin, stratejik amaçları ve kurum mimari vizyonunu anladığından ve kavradığından emin ol.
5. Kurum mimarisi ile entegrasyon ve uyumu sağlamak amacıyla yeni BT insiyatiflerinin planlanmasında koordinasyon sağla.
APO08.03 İş ilişkilerini yönet Kaynak Açıklama Açıklama Hedef
Müşterilerle (iş temsilcileri) ilişkiyi yönet. İlişkiye ait DSS02.02 Sınıflandırılmış ve Üzerinde anlaşılmış olan İçsel
görevler ve sorumlulukların tanımlandığı ve atandığından önceliklendirilmiş olaylar önemli kararlar
ve iletişime olanak sağlandığından emin ol. ve hizmet talepleri
DSS02.06 • Memnuniyet verici talep Şikayet ve üst bildirim İçsel
karşılama veya çözüm durumu
konusunda kullanıcı
onayı
• Kapatılmış hizmet
talepleri ve olayları
DSS02.07 • Talep karşılama durumu
ve eğilim raporu
• Olay durumu ve eğilim
raporu
Faaliyetler
1. Önemli her iş birimine, tek temas noktası olarak bir ilişki yöneticisi ata. İş organizasyonunda tek bir mevkidaşın belirlendiğinden ve mevkidaşın iş
anlayışı, yeterli teknoloji farkındalığı ve uygun yetki seviyesine sahip olduğundan emin ol.
2. İlişkiyi, stratejik hedeflerin desteklenmesi ve bütçe ve risk toleransı kısıtlamaları dahilinde, ortak ve herkes tarafından paylaşılan başarılı kurum çıktıları
hedefinin gerçekleştirilmesine odaklanmayı sağlayacak şekilde resmi ve şeffaf bir biçimde yönet.
3. Her türlü ilişki sorunlarını çözmek amacıyla bir şikayet ve üst bildirim prosedürünü tanımla ve bildir.
4. Karşılıklı olarak üzerinde anlaşılmış olan amaçlar ve ortak dil (hizmet ve performans gözden geçirme toplantıları, yeni stratejiler veya planları gözden
geçirme vb.) bazında özel etkileşim ve programları planla.
5. İlgili mesul paydaşlarca önemli kararlar üzerinde anlaşıldığı ve onaylandığından emin ol.
93

APO08.04 Koordinasyon ve iletişimi sağla Kaynak Açıklama Açıklama Hedef
İşe sağlanan BT hizmetleri ve çözümlerinin her noktaya APO09.03 Hizmet seviyesi İletişim planı İçsel
sağlanmasına yönelik paydaşlarla birlikte çalış ve anlaşmaları (SLA’lar)
koordinasyon sağla.
APO12.06 Risk etki bildirimleri İletişim paketleri İçsel
BAI05.05 Operasyon ve kullanım Müşteri tepkileri İçsel
planı
BAI07.07 Ek destek planı
BAI09.02 Planlanmış bakım
nedeniyle çalışmama
süresi bildirimleri
DSS03.04 Öğrenilen bilgilere dair

bildirimler
Faaliyetler
1. Proje veya değişiklik planları, programlar, yayım politikaları, yayıma dair bilinen hatalar ve eğitim farkındalığı gibi değişiklikler ve geçiş faaliyetlerinin
koordinasyonunu yap ve bildir.
2. Talep tipi tanımları, hiyerarşik üst bildirim, önemli kesintiler (planlı ve plansız) ve hizmet raporlarının içerikleri ve sıklığı dahil operasyon faaliyetleri,
görevler ve sorumlulukların koordinasyonunu yap ve bildir.
3. İş ile ilişkiyi etkileyebilecek önemli olaylarda işe müdahaleyi üstlen. Gerekli olduğu takdirde doğrudan destek ver.
4. Yaratılan değer ve belirlenen her türlü risk durumu dahil, hizmet tedarik bilgilerinin içerik, sıklık ve alıcılarını tanımlayan noktadan noktaya iletişim
planını sürdür.
APO08.05 Sürekli hizmet iyileştirmesine girdiler Kaynak Açıklama Açıklama Hedef
sağla APO09.02 Hizmet listeleri Memnuniyet analizleri APO09.04
Değişen kurum ve teknoloji gereksinimleriyle hizalamak
amacıyla BT etkin hizmetleri ve kuruma hizmet tedariğini APO11.03 • Müşteri geri bildirimi Potansiyel iyileştirme APO02.02
sürekli olarak iyileştir ve evrimleştir. dahil hizmet kalitesi projelerinin tanımı BAI03.11
sonuçları
• Kalite yönetimine dair
müşteri gereksinimleri
APO11.04 Kalite gözden geçirmeleri
ve denetim sonuçları
APO11.05 Çözüm ve hizmet tedariği
kalite izleme sonuçları
BAI03.10 Bakım planı
BAI05.05 Başarı ölçümleri ve
sonuçlar
BAI07.07 Ek destek planı
Faaliyetler
1. Müşteri ve tedarikçi memnuniyet analizi gerçekleştir. Sorunlara yönelik hareket geçilmesini sağla ve sonuçlar ve durumu rapor et.
2. İyileştirme insiyatiflerini belirle, bildir ve uygulanması için birlikte çalış.
3. BT etkin hizmetler ve hizmet yönetim süreçlerinin sürekli iyileştirilmesini ve her türlü sorunun kök nedenlerinin belirlenmesi ve çözülmesini sağlamak
amacıyla hizmet yönetimi ve süreç sahipleriyle birlikte çalış.

ISO/IEC 20000 7.2 İş ilişkisi yönetimi
ITIL V3 2011 • Hizmet Stratejisi, 4.4 Talep Yönetimi
• Hizmet Stratejisi, 4.5 İş ilişkisi Yönetimi
94
Bölüm 5
Alan: Yönetim
APO09 Hizmet Anlaşmalarını Yönet Etki alanı: Hizala, Planla ve Organize Et
BT etkin hizmetler ve hizmet seviyelerini BT hizmetleri, hizmet seviyeleri ve performans göstergelerinin belirlenmesi, ayrıntılarıyla tanımlanması,
tasarlanması, yayınlanması, üzerinde anlaşılması ve izlenmesi dahil kurum ihtiyaçları ve beklentileriyle hizala.
BT hizmetleri ve hizmet seviyelerinin şimdiki ve gelecekteki kurum ihtiyaçlarını karşılamasını sağla.

yüzdesi
14 Karar alma için güvenilir ve yararlı bilgilerin kullanılabilirliği • Yönetim bilgilerinin kalitesi ve zamanlaması (veya
kullanılabilirliği) konusunda iş kullanıcısı memnuniyetinin
seviyesi
•Bilgilerin kullanılamamasından kaynaklanan iş süreç olaylarının
sayısı
•Hatalı veya kullanılamayan bilgilerin ana faktör olduğu hatalı
ticari kararların oranı ve kapsamı
1. Kurum, bir liste halinde tanımlanan BT hizmetlerini etkili şekilde kullanır. •Tanımlanmamış hizmet anlaşmaları olan iş süreçlerinin sayısı
2. Hizmet anlaşmaları, kurum ihtiyaçlarını ve BT yetkinliklerini yansıtır. • Hizmet anlaşmalarıyla kapsanan aktif BT hizmetlerinin yüzdesi
• Hizmet tedariğinin üzerinde anlaşılmış hizmet seviyelerini
karşılamasından memnun müşterilerin yüzdesi
3. BT hizmetleri, hizmet anlaşmalarında öngörüldüğü üzere gerçekleşir. • Hizmet ihlallerinin sayısı ve ciddiyeti
• Hizmet seviyelerine kadar izlenecek olan hizmetlerin yüzdesi
• Gerçekleştirilen hizmet hedeflerinin yüzdesi
APO09 SMDB Tablosu





Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
APO09.01
BT hizmetlerini belirle D S S S D B B B S B D D D M B B
APO09.02
BT etkin hizmetleri listele B B B B B S B D D D M B B
APO09.03
Hizmet anlaşmalarını tanımla ve S D D D D D S D S S M D D
hazırla
APO09.04
Hizmet seviyelerini izle ve rapor et B B B S D B B B B M
APO09.05
Hizmet anlaşmaları ve M D D D D D S D S S S D D B
sözleşmelerini gözden geçir
95

APO09.01 BT hizmetlerini belirle Kaynak Açıklama Açıklama Hedef
İş gereksinimleri ve BT etkin hizmetler ve hizmet BT hizmetlerinde işlere APO02.02
seviyelerinin iş süreçlerini destekleme şeklini analiz et. yönelik belirlenmiş APO05.03
İşle ilgili potansiyel hizmetler ve hizmet seviyelerini ele eksiklikler APO08.02
al ve üzerinde anlaş ve yeni veya değiştirilmiş hizmetler
veya hizmet seviyesi seçeneklerini belirlemek amacıyla Standart hizmetlerin APO05.01
bunları güncel hizmet portföyü ile karşılaştır. tanımları
Faaliyetler
1. Mevcut hizmetler ve bunların desteklediği iş faaliyetleri arasındaki eksiklikleri belirlemek amacıyla, güncel BT hizmetleri ve hizmet seviyelerini
değerlendir. Mevcut hizmetler ve hizmet seviyesi seçeneklerinin iyileştirilecek alanlarını belirle.
2. Gelecekteki talepleri analiz et, üzerinde çalış ve tahminde bulun ve mevcut BT etkin hizmetlere ait kapasiteyi teyit et.
3. Yeni veya yeniden tasarlanmış BT hizmetlerine olan ihtiyacı belirlemek amacıyla iş süreç faaliyetlerini analiz et.
4. Belirlenen gereksinimleri portföyde mevcut olan hizmet bileşenleriyle karşılaştır. Mümkün olduğu takdirde, belirlenmiş iş gereksinimlerini karşılamak
amacıyla mevcut hizmet bileşenlerini (BT hizmetleri, hizmet seviyesi seçenekleri ve hizmet paketleri) yeni hizmet paketleri halinde paketle.
5. Mümkün olduğu yerde, talepleri hizmet paketlerine eşleştir ve tam verim elde etmek amacıyla standart hizmetleri oluştur.
6. Kullanılmayan hizmetleri belirlemek amacıyla, portföy yönetimi ve iş ilişkisi yönetimi olan BT hizmetlerini düzenli aralıklarla gözden geçir. Sonlandırma
ve değişiklik teklifi üzerinde karar al.
APO09.02 BT etkin hizmetleri listele Kaynak Açıklama Açıklama Hedef
İlgili hedef gruplarına yönelik bir veya daha fazla hizmet EDM04.01 Onaylanmış kaynak planı Hizmet listeleri APO08.05
listesini tanımla ve sürdür. Hizmet listelerindeki aktif BT
etkin hizmetleri yayınla ve sürdür. EDM04.02 Kaynak oluşturma
stratejilerinin bildirilmesi
APO05.05 Programlar, hizmetler ve
varlıkların güncellenmiş
portföyleri
Faaliyetler
1. Portföydeki ilgili aktif BT etkin hizmetler, hizmet paketleri ve hizmet seviyesi seçeneklerini listeler halinde yayınla.
2. Portföydeki hizmet bileşenleri ve ilgili hizmet listelerinin sürekli şekilde tam ve güncel olmasını sağla.
3. Hizmet listelerine yapılan her türlü güncellemeyi iş ilişkisi yönetimine bildir.
APO09.03 Hizmet anlaşmalarını tanımla ve hazırla Kaynak Açıklama Açıklama Hedef
Hizmet listelerindeki seçenekler bazında hizmet APO11.03 Kalite yönetimine dair Hizmet seviyesi APO05.03
anlaşmalarını tanımla ve hazırla. İç operasyon müşteri gereksinimleri anlaşmaları (SLA’lar) APO08.04
anlaşmalarına yer ver. DSS01.02
DSS02.01
DSS02.02
DSS04.01
DSS05.02
DSS05.03
Operasyon seviyesi DSS01.02
anlaşmaları (OLA’lar) DSS02.07
DSS04.03
DSS05.03
Faaliyetler
1. Gereksinimlerin karşılanmasını sağlamak amacıyla, iş ilişkisi yönetiminden alınan yeni ve değiştirilmiş hizmet anlaşmalarına dair gereksinimleri analiz
et. Hizmet süreleri, elverişlilik, performans, kapasite, güvenlik, süreklilik, uyum ve yasal konular, kullanılabilirlik ve talep kısıtlamaları gibi yönleri
dikkate al.
2. Müşteri hizmet anlaşmalarını ilgili hizmet listelerindeki hizmetler, hizmet paketleri ve hizmet seviyesi seçenekleri bazında planla.
3. Uygun olduğu takdirde, müşteri hizmet anlaşmasına zemin oluşturmak amacıyla iç operasyon anlaşmalarını belirle, üzerinde anlaş ve belgele.
4. Uygun olduğu takdirde, kurum dışı hizmet sağlayıcılarla olan uygun ticari sözleşmelerin müşteri hizmet anlaşmalarına zemin oluşturmasını sağlamak
amacıyla tedarikçi yönetimi ile birlikte harekete geç.
5. Müşteri hizmet anlaşmalarını, iş ilişkisi yönetimiyle sonlandır.
96
Bölüm 5

APO09.04 Hizmet seviyelerini izle ve rapor et Kaynak Açıklama Açıklama Hedef
Hizmet seviyelerini izle, başarıları rapor et ve eğilimleri EDM04.03 Kaynak yönetim Hizmet seviyesi APO08.02
belirle. Performans yönetimine yardımcı olmak amacıyla sapmalarına yönelik performans raporları MEA01.03
uygun yönetim bilgilerini sağla. iyileştirici aksiyonlar
APO05.04 Yatırım portföyü İyileştirme aksiyon planları APO02.02
performans raporları ve iyileştirmeler APO08.02
APO05.06 • Fayda
gerçekleştirilmesini
iyileştirmeye yönelik
• Fayda sonuçları ve ilgili

iletişimler
APO08.05 Memnuniyet analizleri
APO11.05 • Kalite tedarik
başarısızlıklarına dair kök
nedenler
• Çözüm ve hizmet
tedariği kalite izleme
sonuçları
DSS02.02 Sınıflandırılmış ve
önceliklendirilmiş olaylar
ve hizmet talepleri
DSS02.06 Kapatılmış hizmet talepleri
ve olayları
ve eğilim raporu
raporu
Faaliyetler
1. Hizmet seviyesi verilerini izlemek ve toplamak amacıyla ölçümler oluştur ve sürdür.
2. Performansı değerlendir ve üzerinde anlaşılan değerlerden sapmalar dahil olmak üzere hizmet anlaşması performansına dair düzenli ve resmi
raporlama sağla. Bu raporu iş ilişkisi yönetimine dağıt.
3. Hizmet seviyesi performansındaki eğilimleri tahmin etmek ve belirlemek amacıyla düzenli gözden geçirmeler gerçekleştir.
4. Performans yönetimine yardımcı olmak amacıyla uygun yönetim bilgilerini sağla.
5. Her türlü performans sorunları veya olumsuz eğilimlere yönelik eylem planları ve iyileştirmeler üzerinde anlaş.
APO09.05 Hizmet anlaşmaları ve sözleşmelerini Kaynak Açıklama Açıklama Hedef
gözden geçir EDM04.03 Kaynak ve yetkinliklerin Güncellenmiş hizmet İçsel
Hizmet anlaşmalarının düzenli aralıklarla gözden tahsisi ve etkinliği seviyesi anlaşmaları
geçirmelerini yap ve gerekli olduğu takdirde düzelt. konusunda geri bildirim (SLA’lar)
APO11.03 Müşteri geri bildirimi dahil
hizmet kalitesi sonuçları
BAI04.01 Hizmet seviyesi
anlaşmaları (SLA’lar) göre
değerlendirmeler
Faaliyetler
1. Hizmet anlaşmalarının, etkili ve güncel olmalarını ve gereksinimler, BT etkin hizmetler, hizmet paketleri veya hizmet seviyesi seçeneklerindeki
değişikliklerin uygun olduğu takdirde dikkate almasını sağlamak amacıyla üzerinde anlaşılmış olan şartlara uygunluğunu düzenli aralıklarla gözden
geçir.
97

ISO/IEC 20000 • 5.0 Yeni veya değiştirilmiş hizmetleri planlama ve uygulama
• 6.1 Hizmet seviyesi yönetimi
ITIL V3 2011 • Hizmet Stratejisi, 4.4 Talep Yönetimi
• Hizmet Stratejisi, 4.2 Hizmet Portföy Yönetimi
• Hizmet Tasarımı, 4.2 Hizmet Listesi Yönetimi
• Hizmet Tasarımı, 4.3 Hizmet Seviyesi Yönetimi
98
Bölüm 5
Alan: Yönetim
APO10 Tedarikçileri Yönet Etki alanı: Hizala, Planla ve Organize Et
Kurum gereksinimlerini karşılamak amacıyla, tedarikçilerin seçimi, ilişkilerin yönetimi, anlaşmaların yönetimi ve etkinlik ve uyum açısından tedarikçi
performansının gözden geçirilmesi ve izlenmesi dahil her türlü tedarikçi tarafından sağlanan BT-Bağlantılı hizmetleri yönet.
Çalışmayan tedarikçilerle ilişkili riskin en aza indir ve rekabetçi fiyatlandırma sağla.
04 Yönetilen BT-Bağlantılı iş riski • Risk değerlendirmesinin kapsadığı kritik iş süreçleri, BT hizmetleri ve BT etkin iş
programlarının yüzdesi
• Risk değerlendirmesinde belirlenmemiş olan önemli BT-Bağlantılı olayların sayısı

07 BT hizmetlerinin iş gereksinimlerine uyumlu olarak • BT hizmet olayları nedeniyle oluşan iş kesintilerinin sayısı
sağlanması • BT hizmet tedariğinin üzerinde anlaşılmış hizmet seviyelerini karşılamasından memnun iş
paydaşlarının yüzdesi
09 BT çevikliği • BT’nin yeni şartlara tepki verme yeteneğine dair iş idarecileri memnuniyetinin seviyesi
• Güncel altyapı ve uygulamalarla desteklenen kritik iş süreçlerinin sayısı
• Stratejik BT amaçlarının, üzerinde anlaşılmış ve onaylanmış bir girişime döndürülmesi için
geçen ortalama süre
1. Tedarikçiler anlaşıldığı üzere uygulama yapar. • Üzerinde anlaşılmış olan şartları yerine getiren tedarikçilerin yüzdesi
• BT-Bağlantılı hizmetlerde tedarikçilerden kaynaklanan hizmet ihlallerinin sayısı
2. Tedarikçi riski değerlendirilir ve uygun şekilde ele alınır. • Olumsuz hizmet olaylarına yol açan riskle ilişkili olayların sayısı
• Tedarikçi ile yapılan risk yönetimi oturumlarının sıklığı
• Makul şekilde (zaman ve maliyet) çözülen riskle ilişkili olayların yüzdesi
3. Tedarikçi ilişkileri etkili şekilde yürüyor. • Tedarikçi gözden geçirme toplantılarının sayısı
• Tedarikçilerle resmi anlaşmazlıkların sayısı
• Makul bir zaman içinde barışçıl yollarla çözülen anlaşmazlıkların yüzdesi
APO010 SMDB Tablosu





Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
APO10.01
Tedarikçi ilişkileri ve anlaşmaları D D D D D M D D D S D D D
belirle ve değerlendir
APO10.02
Tedarikçileri seç. D D D D D M D D D S D D D
APO10.03
Tedarikçi ilişkileri ve anlaşmaları B D D D M D S S S D D D
yönet
APO10.04
Tedarikçi riskini yönet D S D D D M D S S D D D D
APO10.05
Tedarikçi performans ve B D D D D D M D S S D D D D
uyumunu izle
99

APO10.01 Tedarikçi ilişkileri ve anlaşmaları belirle Kaynak Açıklama Açıklama Hedef
ve değerlendir COBIT dışında Tedarikçi anlaşmaları Tedarikçi önemi ve İçsel
Tedarikçiler ve ilişkili anlaşmaları belirle ve tür, önem değerlendirme kriterleri
ve önceliğine göre gruplandır. Tedarikçi ve anlaşma
değerlendirme kriterlerini oluştur ve mevcut ve Tedarikçi listesi BAI02.02
alternatif tedarikçiler ve anlaşmalara ait genel portföyü Tedarikçi anlaşmalarına İçsel
değerlendir. dair potansiyel düzeltmeler
Faaliyetler
1. Öncelikli ve önemli tedarikçilere odaklanmayı sağlayacak şekilde, tedarikçiler ve tedarikçi anlaşmalarının türü, önemi ve önceliğiyle ilişkili kriterleri
2. Tedarikçi bilgilerini tutarlı bir şekilde genel olarak gözden geçirilmesi ve karşılaştırılmasını sağlamak amacıyla tedarikçi ve anlaşma değerlendirme
kriterlerini oluştur ve sürdür.
3. Mevcut tedarikçi ve anlaşmaları, dikkatli şekilde yönetilmesi gereken öncelikli tedarikçilerin detaylı bir kaydını sürdürmek amacıyla tanımlı kriterlere
göre belirle, kaydet ve sınıflandır.
4. Fırsatları veya güncel tedarikçi anlaşmalarının tekrar gözden geçirilmesini gerektiren bir mecburiyeti belirlemek amacıyla mevcut ve alternatif
tedarikçilerin performansını düzenli aralıklarla değerlendir ve karşılaştır.
APO10.02 Tedarikçileri seç. Kaynak Açıklama Açıklama Hedef
Tedarikçileri, belirlenmiş gereksinimler bazında BAI02.02 Yüksek seviyede tedarik/ Tedarikçi bilgi talepleri BAI02.01
uygulanabilir en iyiyi elde etmek amacıyla bir makul ve geliştirme planı (RFI’lar) ve teklif talepleri BAI02.02
resmi uygulamaya göre seç. Gereksinimler potansiyel (RFP’ler)
tedarikçilerden gelen girdilerle optimize edilmelidir.
Tedarikçi bilgi talepleri BAI02.02
(RFI’lar) ve teklif
taleplerine (RFP’ler) ait
değerlendirmeler
Tedarikçi değerlendirme EDM04.01
kararlarının sonuçları BAI02.02
Faaliyetler
1. Tüm tedarikçi bilgi talepleri (RFI’lar) ve teklif taleplerini (RFP’ler), aşağıdakileri içerdiğinden emin olacak şekilde gözden geçir:
• Gereksinimlerin açıkça tanımlanması
• Gereksinimlere açıklık getirmek amacıyla bir prosedürün bulunması.
• Tekliflerini hazırlaması için satıcılara yeterli sürenin sağlanması.
• Ödül kriterleri ve karar sürecinin açıkça tanımlanması.
2. Onaylanmış değerlendirme süreci/kriterlerine göre tedarikçi bilgi talepleri (RFI’lar) ve teklif taleplerini (RFP’ler) değerlendir ve değerlendirmelere ait
belgeye dayalı kanıtı sürdür. Aday satıcıların referanslarını doğrula.
3. Teklif taleplerine (RFP’ler) en uygun olan tedarikçiyi seç. Kararı belgelendir ve bildir ve anlaşma imzala.
4. Yazılım tedariği özel durumunda, anlaşma şartlarına tüm tarafların hak ve yükümlülüklerini dahil et ve yasal olarak uygula. Bu hak ve yükümlülüklere,
fikri mülkiyet sahiplik ve izinleri, bakım, garantiler, tahkim prosedürleri, iyileştirme şartları ve güvenlik, emanet ve erişim hakları dahil amaca
uygunluklar dahildir.
5. Geliştirme kaynakları tedariği özel durumunda, anlaşma şartlarına tüm tarafların hak ve yükümlülüklerini dahil et ve yasal olarak uygula. Bu hak ve
yükümlülüklere fikri mülkiyet sahiplik ve izinleri, geliştirme metodolojisi dahil amaca uygunluklar, test, gerekli performans kriterleri dahil kalite yönetim
süreçleri, performans gözden geçirmeleri, ödeme esası, garantiler, tahkim prosedürleri, insan kaynakları yömnetimi ve kurum politikalarına uyum
dahildir.
6. Fikri mülkiyet sahiplik ve izinleriyle ilişkili kaynak geliştirme tedarik anlaşmaları konusunda yasal danışmanlık al.
7. Altyapı, hizmet araçları ve ilişkili hizmetlerin tedariği özel durumunda, anlaşma şartlarına tüm tarafların hak ve yükümlülüklerini dahil et ve yasal olarak
uygula. Bu hak ve yükümlülüklere hizmet seviyeleri, bakım, prosedürler, erişim kontrolleri, güvenlik, performans gözden geçirmeleri, ödeme esası ve
tahkim prosedürleri dahildir.
100
Bölüm 5

APO10.03 Tedarikçi ilişkileri ve anlaşmaları yönet Kaynak Açıklama Açıklama Hedef
Her tedarikçiye yönelik tedarikçi ilişkisini resmileştir ve BAI03.04 Onaylanmış tedarik Tedarikçi görev ve İçsel
yönet. Anlaşmalar ve hizmet tedariğini yönet, sürdür ve planları sorumlulukları
izle. Yeni ve değiştirilmiş anlaşmaların kurum standartları
ve yasa ve yönetmelik şartlarına uymasını sağla. İletişim ve gözden geçirme İçsel
Anlaşmaya dair uyuşmazlıkları gider. süreci
Sonuçlar ve tavsiye edilen Internal
iyileştirmeler
Faaliyetler
1. Tüm tedarikçilere yönelik ilişki sahiplerini ata ve sağlanan hizmetlerin kalitesinden mesul olmalarını sağla.

2. Tedarikçi etkileşimleri ve programları dahil bir resmi iletişim ve gözden geçirme sürecini belirle.
3. Tedarikçilerle resmi anlaşmalar üzerinde anlaş, yönet, sürdür ve yenile. Anlaşmaların kurum standartları ve yasa ve yönetmelik şartlarına uymasını
sağla.
4. Önemli hizmet sağlayıcılarla yapılan anlaşmalarda, tedarikçi iş sahası ve iç uygulamalarının incelenmesi ve yönetim veya bağımsız üçüncü şahıslar
tarafından kontrol edilmesine dair hükümlere yer ver.
5. İlişkinin etkinliğini değerlendir ve gerekli iyileştirmeleri belirle.
6. İlişkiye gerekli iyileştirmelerin uygulanmasına yönelik yolları belirle, bildir ve üzerinde anlaş.
7. Anlaşma uyuşmazlıklarının giderilmesinde, hizmet problemlerini çözmek için mümkün olan her yerde ilk olarak etkili ilişki ve iletişim kullanmak üzere,
yerleşik prosedürleri kullan.
8. Her hizmet tedarikçisine yönelik görev ve sorumlulukları tanımla ve resmileştir. Bir hizmetin sunulmasında birden fazla tedarikçi bir araya geldiğinde,
tedarikçilerden birine tüm anlaşmanın sorumluluğunu alacak şekilde öncü taşeron görevinin tahsis edilmesini göz önünde bulundur.
APO10.04 Tedarikçi riskini yönet Kaynak Açıklama Açıklama Hedef
Tedarikçinin güvenli, etkili ve verimli hizmet tedariğini APO12.04 • Üçüncü şahıs risk Belirlenmiş tedarikçi iş APO12.01
sürekli olarak sağlama kabiliyeti ile ilişkili riski belirle ve değerlendirmelerinin teslimi riski APO12.03
yönet. sonuçları BAI01.01
• Paydaşlara ait risk analizi Riski en aza indiren İçsel
ve risk profil raporları belirlenmiş anlaşma
şartları
Faaliyetler
1. Tedarikçinin verimli, etkili, güvenli, güvenilir ve sürekli şekilde hizmet tedariğini sağlama kabiliyeti ile ilişkili riski belirle, izle ve uygun olduğu yerde
yönet.
2. Anlaşma tanımlanırken, olası tedarikçi başarısızlığını azaltmak amacıyla yazılım yediemin anlaşmaları, alternatif tedarikçiler veya destekleme
anlaşmaları dahil hizmet şartları, fikri mülkiyetin (IP) güvenlik ve korunması ve her türlü yasa ve yönetmelik şartlarını açıkça tanımlayarak potansiyel
hizmet riskini öngör.
APO10.05 Tedarikçi performans ve uyumunu izle Kaynak Açıklama Açıklama Hedef
Tedarikçilerin genel performansı, anlaşma şartlarına Tedarikçi uyum izleme İçsel
uyumu ve para değerini düzenli aralıklarla gözden geçir kriterleri
ve belirlenen sorunları çöz.
Tedarikçi uyum izleme MEA01.03
Faaliyetler
1. Tedarikçi performansının hizmet seviyesi anlaşmalarıyla uyumunu izlemek amacıyla kriterleri tanımla ve belgelendir ve tedarikçinin üzerinde anlaşılan
kriterler konusunda düzenli aralıklarla ve şeffaf olarak rapor vermesini sağla.
2. Tedarikçinin uygun bir hizmet kalitesi sağladığından, şartlara uyduğundan ve anlaşma koşullarına uyduğundan emin olmak amacıyla hizmet tedariğini
izle ve gözden geçir.
3. Alternatif tedarikçiler ve piyasa koşullarıyla karşılaştırıldıklarında güvenilir ve rekabetçi olduklarından emin olmak amacıyla tedarikçi performansı ve
para değerini gözden geçir.
4. Gerekli olduğu takdirde, tedarikçi iç uygulamaları ve kontrollerine dair bağımsız gözden geçirmeler talep et.
5. Gözden geçirme sonuçlarını düzenli aralıklarla kaydet ve değerlendir ve iyileştirmeye yönelik olarak ihtiyaçlar ve fırsatları belirlemek amacıyla
tedarikçiyle görüş.
6. Tedarikçiyle ilgili dış kaynaklardan elde edilebilecek bilgileri izle ve değerlendir.
101

ISO/IEC 20000 7.3 Tedarikçi yönetimi
ITIL V3 2011 Hizmet Tasarımı, 4.8 Tedarikçi Yönetimi
Proje Yönetimi Bilgi Tabanı (PMBOK) PMBOK satın alma süreçleri
102
Bölüm 5
Alan: Yönetim
APO11 Kaliteyi Yönet Etki alanı: Hizala, Planla ve Organize Et
Sürekli iyileştirme ve verimlilik çalışmalarındaki kontroller, devam eden izlemeler ve kanıtlanmış uygulamalar ve standartların kullanımı dahil tüm
süreçler, prosedürler ve ilişkili kurum çıktılarındaki kalite gereksinimlerini tanımla ve bildir.
Kurum kalite gereksinimlerini karşıla ve paydaş ihtiyaçlarının giderilmesi amacıyla çözümler ve hizmetlerin tutarlı tedariğini sağla.

yüzdesi
13 Fayda sağlayan programların zamanında, bütçe dahilinde, gereksinimleri • Zamanında ve bütçesi dahilinde olan programların/projelerin
• Program/proje kalitesi konusunda memnun paydaşların
yüzdesi
1. Paydaşlar, çözümler ve hizmetlerin kalitesinden memnundur. • Çözümler ve hizmetler konusunda ortalama paydaş
memnuniyeti derecelendirmesi.
• BT kalitesi konusunda memnun paydaşların yüzdesi
• Resmi kalite yönetim planı olan hizmetlerin sayısı
2. Proje ve hizmet tedarik sonuçları öngörülebilir. • Hedef kalite hedefleri ve amaçlarını gerçekleştiren gözden
geçirilmiş projelerin yüzdesi
• Resmi sertifikasyonu olan tedariği yapılmış çözüm ve
hizmetlerin yüzdesi
• Üretim öncesinde kapatılmayan eksikliklerin sayısı
3. Kalite gereksinimleri tüm süreçlerde uygulanır. • Tanımlı kalite gereksinimi olan süreçlerin sayısı
• Resmi kalite değerlendirme raporu olan süreçlerin sayısı
• Kalite onay kriterleri içeren hizmet seviyesi anlaşmaları
(SLA’lar)
103
APO11 SMDB Tablosu




Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
APO11.01
Kalite yönetim sistemini (QMS) D M D B D B B D D D S D D B S S B B B
oluştur
APO11.02
Kalite standartları, uygulamaları
ve prosedürlerini tanımla ve D D S D S D D D M S S S S S S S S
yönet
APO11.03
Müşteriler konusunda kalite M S D B D D S B B B B S B B
yönetimine odaklan
APO11.04
Kalite izleme, kontrol ve gözden D D S D S D S D D M D D D D S D D D
geçirmelerini gerçekleştir
APO11.05
Geliştirme ve hizmet tedariği
için kalite yönetimini çözümlere D D B M D S S S
entegre et
APO11.06
Sürekli iyileştirmeyi sürdür D S D S D D M S S S S S S S

APO11.01 Kalite yönetim sistemini (QMS) oluştur Kaynak Açıklama Açıklama Hedef
İş gereksinimleri ve kurum kalite yönetimiyle uyumlu COBIT dışında Kurum çapında Kalite yönetim sistemi (QMS) APO01.02
teknoloji ve iş süreçlerini gerçekleştirecek şekilde, kalite sistemi görevleri, sorumlulukları ve karar DSS06.03
bilgilerin kalite yönetimine standart, resmi ve sürekli bir hakları
yaklaşım sağlayan bir kalite yönetim sistemini (QMS)
oluştur ve sürdür. Kalite yönetim planları BAI01.09
Kalite yönetim sistemi (QMS) BAI03.06
etkinlik incelemesi sonuçları
Faaliyetler
1. BT kontrol çerçevesi ve iş ve BT süreçlerinde, kalite yönetimine kurum gereksinimleriyle uyumlu standart, resmi ve sürekli bir yaklaşıma yer
verilmesini sağla. BT kontrol çerçevesi ve iş ve BT süreçlerinde, kalite gereksinimleri ve kriterlerini (ör., yasal şartlar ve müşterilerin gereksinimleri
bazında) belirle.
2. Organizasyon yapısında kalite yönetimindeki görevler, işler, karar hakları ve sorumlulukları tanımla.
3. Önemli süreçler, projeler veya amaçlara yönelik olarak kurum kalite yönetim kriterleri ve politikalarıyla uyumlu kalite yönetim planlarını tanımla. Kalite
verilerini kaydet.
4. Kalite yönetimi verimliliği ve benimsenmesini izle ve ölç ve gerekli olduğu takdirde iyileştir.
5. Standartlaştırılmış ve sürekli olan bir kalite yaklaşımını teşvik etmek amacıyla BT kalite yönetimini kurum çapındaki kalite sistemiyle hizala.
6. Kalite gereksinimleri ve kalite yönetim kriterlerinin tanımı konusunda yönetimden ve kurum dışı ve içindeki paydaşlardan girdiler elde et.
7. Yaklaşımı etkili şekilde bildir (ör., düzenli, resmi kalite eğitim programları aracılığıyla).
8. Belirli kalite yönetim süreçlerinin sürekli geçerlilik, verimlilik ve etkinliğini düzenli aralıklarla gözden geçir. Kalite amaçlarının gerçekleştirilme oranını
izle.
104
Bölüm 5

APO11.02 Kalite standartları, uygulamaları ve Kaynak Açıklama Açıklama Hedef
prosedürlerini tanımla ve yönet BAI02.04 Onaylanmış kalite gözden Kalite yönetim standartları Tüm APO Tüm
Kurumu üzerinde anlaşılmış olan kalite kontrol sistemi geçirmeleri BAI Tüm DSS
(QMS) amacını yerine getirmek üzere yönlendirmek Tüm MEA
için önemli süreçlere yönelik gereksinimler, standartlar, COBIT dışında • Endüstri iyi uygulamaları
prosedürler ve uygulamaları belirle ve sürdür. Bu, BT • Kullanılabilir kalite
kontrol çerçevesi gereksinimleriyle uyumlu olmalıdır. sertifikasyonları
Önemli süreçler, organizasyon birimleri, ürünler veya
hizmetlerine yönelik sertifikasyonu dikkate al.
Faaliyetler
1. BT kontrol çerçevesi gereksinimleriyle uyumlu kalite yönetim standartları, uygulamaları ve prosedürlerini tanımla. Kurum kalite uygulamalarını

iyileştirirken ve uygun hale getirirken endüstri iyi uygulamalarını kullan.
2. Kalite sertifikasyonlarının fayda ve maliyetlerini dikkate al.
APO11.03 Müşteriler konusunda kalite yönetimine Kaynak Açıklama Açıklama Hedef
odaklan COBIT dışında İş ve müşteri kalite Kalite yönetimine dair APO08.05
Müşteri gereksinimlerini belirleyerek ve kalite yönetim gereksinimleri müşteri gereksinimleri APO09.03
uygulamalarıyla uyumlu olduklarından emin olarak BAI01.09
müşteriler konusunda kalite yönetimine odaklan.
Kabul kriterleri BAI02.01
BAI02.02
Müşteri geri bildirimi dahil APO08.05
hizmet kalitesi sonuçları APO09.05
incelemesi BAI05.01
BAI07.07
Faaliyetler
1. İç ve dış müşteri gereksinimlerini belirleyerek ve BT standartları ve uygulamalarıyla uyumlu olduklarından emin olarak müşteriler konusunda kalite
yönetimine odaklan. Kullanıcı/müşteri ve BT organizasyonu arasındaki çatışmanın çözümü ile ilgili görev ve sorumlulukları tanımla ve bildir.
2. Her iş süreci, BT operasyon hizmeti ve yeni çözümlere yönelik iş ihtiyaçları ve beklentilerini yönet ve bunların kalite kabul kriterlerini sürdür. Hizmet
seviyesi anlaşmalarına (SLA’lar) dahil edilecek kalite kabul kriterlerini elde et.
3. İş ve BT organizasyonu içinde müşteri gereksinimleri ve beklentilerini bildir.
4. BT standartları ve uygulamalar üzerindeki etkisini belirlemek ve müşteri beklentilerinin karşılandığından ve bunlara yönelik hareket edildiğinden emin
olmak amacıyla iş süreci ve hizmet tedariği ve BT çözüm tedariği konusunda müşteri görüşlerini düzenli aralıklarla al.
5. Kalite yönetim sistemini (QMS), üzerinde anlaşılmış olan kabul kriterleriyle karşılaştırmalı olarak düzenli aralıklarla izle ve gözden geçir. Müşteriler,
kullanıcılar ve yönetimden geri bildirimleri dahil et. Kalite yönetim sistemini (QMS) sürekli olarak iyileştirmek amacıyla gözden geçirme sonuçlarındaki
uyumsuzluklara tepki göster.
6. Hizmet seviyesi anlaşmalarına (SLA’lar) dahil edilecek kalite kabul kriterlerini elde et.
105

APO11.04 Kalite izleme, kontrol ve gözden Kaynak Açıklama Açıklama Hedef
geçirmelerini gerçekleştir BAI03.06 • Kalite gözden geçirme Kalite gözden geçirmeleri APO08.05
Kalite yönetim sistemi (QMS) tarafından tanımlandığı sonuçları, beklentileri ve ve denetim sonuçları APO09.04
üzere süregelen bir esasta süreçler ve hizmetlerin düzeltmeleri APO09.05
kalitesini izle. Kalite yönetim sistemi (QMS) kalitesinin • Kalite güvence planı BAI07.08
yanı sıra sağladığı değer konusundaki müşteri
memnuniyetini izlemek amacıyla ölçümler tanımla, DSS02.07 • Talep karşılama durumu Hizmet hedeflerinin süreç Tüm APO
planla ve uygula. Toplanan bilgiler süreç sahibi ve eğilim raporu kalitesi ve ölçütler Tüm BAI
tarafından kaliteyi iyileştirmek amacıyla kullanılmalıdır. • Olay durumu ve eğilim Tüm DSS
raporu Tüm MEA
Faaliyetler
1. Süreçleri açıklayarak, ölçerek, analiz ederek, iyileştirerek/planlayıp düzenleyerek ve kontrol ederek süregelen ve sistematik bir esasta süreçler ve
hizmetlerin kalitesini izle.
2. Kalite gözden geçirmeleri hazırla ve yürüt.
3. Gözden geçirme sonuçlarını rapor et ve uygun olduğunda iyileştirmeleri başlat.
4. Süreç kalitesinin yanı sıra sağladıkları değer kalitesini de izle. Uygun düzeltici ve önleyici eylemleri alması için bilgi ölçümü, izlemi ve kaydının süreç
sahibi tarafından kullanıldığından emin ol.
5. Kişisel proje ve hizmetlerin kalitesini kapsayan genel kalite amaçlarıyla uyumlu hedefe yönelik kalite ölçütlerini izle.
6. Yönetim ve süreç sahiplerinin, kalite yönetim performansını tanımlı kalite ölçütlerine göre düzenli aralıklarla gözden geçirdiğinden emin ol.
7. Genel kalite yönetim performans sonuçlarını analiz et.
APO11.05 Geliştirme ve hizmet tedariği için kalite Kaynak Açıklama Açıklama Hedef
yönetimini çözümlere entegre et Çözüm ve hizmet tedariği APO08.05
İlgili kalite yönetim uygulamalarını, çözüm geliştirme kalite izleme sonuçları APO09.04
ve hizmet tekliflerinin tanım, izleme, raporlama ve BAI07.08
süregelen yönetimine dahil et.
Kalite tedarik APO08.02
başarısızlıklarına dair kök APO09.04
nedenler BAI07.08
MEA02.04
MEA02.07
MEA02.08
Faaliyetler
1. Kalite yönetim uygulamalarını çözüm geliştirme süreçleri ve uygulamalarına entegre et.
2. Hizmet seviyelerini sürekli olarak izle ve kalite yönetim uygulamalarını hizmet tedariği süreçleri ve uygulamalarına dahil et.
3. Uyumsuzluk kök nedenlerini belirle ve belgele ve iyileştirici aksiyonların yapılmasını sağlamak amacıyla tespitleri BT yönetimine ve diğer paydaşlara
zamanında bildir. Uygun olduğunda, sonraki gözden geçirmeleri gerçekleştir.
106
Bölüm 5

APO11.06 Sürekli iyileştirmeyi sürdür Kaynak Açıklama Açıklama Hedef
Sürekli iyileştirmeyi teşvik etmek amacıyla gelen kalite Sürekli iyileşme ve Tüm APO
planını sürdür ve düzenli aralıklarla bildir. Bu, sürekli iyi uygulamalara dair Tüm BAI
iyileştirme ihtiyacı ve faydalarını içermelidir. Kalite bildirimler Tüm DSS
yönetim sistemi (QMS) hakkındaki verileri topla ve analiz Tüm MEA
et ve etkinliğini iyileştir. Tekrar olmasını engellemek
amacıyla uyumsuzlukları düzelt. Bir kalite ve sürekli Paylaşılacak olan iyi Tüm APO
iyileştirme kültürünü teşvik et. uygulama örnekleri Tüm BAI
Tüm DSS
Tüm MEA
Karşılaştırmalı kalite Tüm APO
değerlendirme sonuçları Tüm BAI

Tüm DSS Tüm
MEA
Faaliyetler
1. Sürekli iyileştirme ihtiyacı ve faydalarını sürdür ve düzenli aralıklarla bildir.
2. İyi uygulamaları paylaşmak ve eksiklikler ve hatalar hakkında bilgileri, bunlardan ders çıkarmak üzere elde etmek için bir platform oluştur.
3. Kalite eksikliklerinin tekrarlayan örneklerini belirle, bunların kök nedenlerini ortaya çıkar, etki ve sonuçlarını değerlendir ve hizmet ve proje tedarik
takımlarıyla iyileştirme eylemleri üzerinde anlaş.
4. Diğer hizmetler veya projelere fayda sağlayabilecek mükemmel kalite tedarik süreçleri örneklerini belirle ve bunları iyileştirmeyi teşvik etmek amacıyla
hizmet ve proje tedarik takımlarıyla paylaş.
5. Bir kalite ve sürekli iyileştirme kültürünü teşvik et.
6. Kalite yönetimi ve problem yönetimi arasında bir geri bildirim döngüsü oluştur.
7. Çalışanlara sürekli iyileştirme yöntemleri ve araçlarına dair eğitim ver.
8. Kalite gözden geçirme sonuçlarını kurum içi tarihsel veriler, endüstri rehberleri, standartlar ve benzer tipteki kurumlardan gelen verilerle karşılaştır.

ISO/IEC 9001:2008
107

108
Bölüm 5
Alan: Yönetim
APO12 Riski Yönet Etki alanı: Hizala, Planla ve Organize Et
Kurum yönetim kadarosu tarafından ayarlanan tolerans seviyeleri içinde BT-Bağlantılı riski sürekli olarak belirle, değerlendir ve azalt.
BT-Bağlantılı kurum riski yönetimini genel ERM ile entegre et ve BT-Bağlantılı kurum riskinin yönetim maliyetleri ve faydalarını dengele.
02 İşin ait olunan ülke dışındaki ülkelere ait kanunlar ve yönetmeliklere uygunluğu • Ödemeler ve para cezaları ve itibar kaybı etkisi dahil BT›ye

04 Yönetilen BT-Bağlantılı iş riski • Risk değerlendirmesinin kapsadığı kritik iş süreçleri, BT

hizmetleri ve BT etkin iş programlarının yüzdesi
• Risk değerlendirmesinde belirlenmemiş olan önemli BT-
Bağlantılı olayların sayısı
• BT-Bağlantılı risk dahil olmak üzere kurum risk
değerlendirmelerinin yüzdesi
Kabul edilebilir risk seviyesini güncelleme sıklığı
10 Bilgi, süreç altyapısı ve uygulamaların güvenliği • Finansal kayıp, iş kesintisi veya toplum önünde küçük
düşmeye yol açan güvenlik olaylarının sayısı
• Güvenlik şartları yerine getirilmemiş olan BT hizmetlerinin
sayısı
• Üzerinde anlaşılmış hizmet seviyeleriyle karşılaştırıldığında
erişim ayrıcalıklarının verilme, değiştirilme ve kaldırılma süresi
• Güncel standartlar ve yönetmelikler bazında güvenlik
değerlendirme sıklığı
yüzdesi
1. BT-Bağlantılı risk belirlenir, analiz edilir, yönetilir ve rapor edilir. • Mevcut ortamda görüş netliği ve farkındalık derecesi
• Havuzlarda yakalanan önemli özelliklere sahip kayıp
olaylarının sayısı
• Havuzlarda yakalanan denetimler, olaylar ve eğilimlerin
yüzdesi
2. Bir güncel ve tam risk profili mevcuttur. • Risk profiline dahil edilen önemli iş süreçlerinin yüzdesi
• Risk profilindeki nitelik ve değerlerin tamlığı
3. Tüm önemli risk yönetim eylemleri yönetilir ve kontrol altındadır. • Diğer ilişkili riskin dikkate almaması nedeniyle reddedilen risk
yönetim tekliflerinin yüzdesi
• Risk yönetim portföyünde belirlenmeyen ve yer almayan
önemli olayların sayısı
4. Risk yönetim eylemleri etkili şekilde uygulanır. • Tasarlandığı gibi yürütülen BT riski eylem planlarının yüzdesi
• Kalıntı riski azaltmayan önlemlerin sayısı
109
APO12 SMDB Tablosu




Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
APO12.01
Verileri topla B S S S S B D D M S S S S S S S S
APO12.02
Riski analiz et B S D S D B S S M D D D D D D D D
APO12.03
Bir risk profilini sürdür B S D M D B S S S D D D D D D D D
APO12.04
Riski ifade et B S D S D B D D M D D D D D D D D
APO12.05
Bir risk yönetim eylemi B S D M D B D D S D D D D D D D D
portföyünü tanımla
APO12.06
Riske yanıt ver B S S S S B D D M S S S S S S S S

APO12.01 Verileri topla Kaynak Açıklama Açıklama Hedef
Etkili BT-Bağlantılı risk belirleme, analiz ve raporlaması EDM03.01 Risk yönetim faaliyetlerinin Riskle ilgili çalışma İçsel
sağlamak amacıyla ilgili verileri belirle ve topla. değerlendirmesi ortamına dair veriler
EDM03.02 • Risk yönetimini ölçmek Risk olayları ve neden olan İçsel
için onaylanmış süreç faktörlere dair veriler
• Risk yönetimi için
izlenecek ana amaçlar
• Risk yönetim politikaları
APO02.02 Güncel yetkinliklere ilişkin Ortaya çıkmakta olan risk EDM03.01
eksiklikler ve risk sorunları ve faktörleri APO01.03
APO02.05 Risk değerlendirme APO02.02
APO10.04 Belirlenmiş tedarikçi iş

teslimi riski
DSS02.07 Olay durumu ve eğilim
raporu
110
Bölüm 5

1. BT riskiyle Bağlantılı verilerin toplanması, sınıflandırılması ve analizi için, çeşitli tipteki olayları, çeşitli kategorilerdeki BT riskini ve çeşitli risk
faktörlerine yer veren bir yöntem oluştur ve sürdür.
2. BT risk yönetiminde önemli bir rol oynayabilecek kurum iç ve dış çalışma ortamına dair ilgili verileri kaydet.
3. Genel olay açıklaması için endüstri bazlı olay kronolojik kayıtları, veri tabanları ve endüstri anlaşmaları aracılığıyla dış kaynaklı veriler ve eğilimler,
endüstri eş-görevlilerinden etilen BT risk verileri ve kayıp deneyimini araştır ve analiz et.
4. BT fayda/değer sağlama, BT program ve proje tedariği ve/veya BT operasyonları ve hizmet tedariği üzerinde etkilere neden olmuş veya olabilecek risk
olaylarına dair verileri kaydet. İlgili verileri ilgili sorunlar, olaylar, problemler ve araştırmalardan elde et.
5. Benzer sınıftaki olaylar için, toplanan verileri organize et ve neden olan faktörlerin altını çiz. Çeşitli olaylara neden oluşturan ortak faktörleri belirle.
6. Risk olayları meydana geldiğinde mevcut olan veya olmayan özel koşulları ve koşulların olay sıklığı ve kayıp büyüklüğünü etkileme şeklini belirle.

7. Yeni veya gelişmekte olan risk sorunlarını belirlemek ve ilişkili iç ve dış risk faktörlerine yönelik bir anlayış kazanmak amacıyla düzenli aralıklarla olay
ve risk faktörü analizi gerçekleştir.
APO12.02 Riski analiz et Kaynak Açıklama Açıklama Hedef
Risk faktörlerinin iş ilişkisini hesaba katan risk DSS04.02 İş etki analizleri Risk analiz çalışmalarınca İçsel
kararlarını desteklemek amacıyla faydalı bilgiler geliştir. kapsamı
DSS05.01 Potansiyel tehdit BT risk senaryoları İçsel
değerlendirmeleri
COBIT dışında Tehdit istişaresi Risk analizi sonuçları EDM03.03
APO01.03
APO02.02
BAI01.10
Faaliyetler
1. Tüm risk faktörleri ve varlıkların iş öncelikliği dikkate alarak risk analiz çalışmalarının uygun genişlik ve derinliğini tanımla. Bir maliyet-fayda analizi
gerçekleştirdikten sonra risk analiz kapsamını ayarla.
2. Ardışık ve/veya tesadüf tehdit tiplerinin karma senaryoları dahil olmak üzere BT risk senaryoları oluştur ve düzenli aralıklarla güncelle ve özel kontrol
faaliyetleri, tespit etme yetkinlikleri ve diğer tepki önlemlerine yönelik tahminler geliştir.
3. BT risk senaryolarıyla ilişkili kayıp veya kazancın sıklık ve büyüklüğünü tahmin et. Uygulanabilen tüm risk faktörlerini dikkate al, bilinen operasyon
kontrollerini değerlendir ve kalıntı risk seviyelerini tahmin et.
4. Kalıntı riski kabul edilebilir risk toleransıyla karşılaştır ve bir risk önlemi gerektirebilen maruz kalma durumlarını belirle.
5. Ortadan kaldırma, azaltma/hafifletme, transfer/paylaşma ve kabullenme ve çıkar sağlama/benimseme gibi potansiyel riske tepki seçeneklerinin
maliyet-fayda analizini yap. Optimum risk tepkisini tasarla.
6. Seçilmiş risk tepkilerini uygulayacak proje veya programlara dair yüksek seviyedeki gereksinimleri belirle. Risk azaltma tepkileri için uygun ana
kontrollere yönelik gereksinim ve beklentileri belirle.
7. Risk analizi sonuçlarını, karar alma sırasında kullanmadan önce, analizin kurum gereksinimleri ile uyumlu olduğunu teyit ederek ve tahminlerin tam
olarak kalibre edildiği ve yanlılık açısından iyice irdelenmiş olduğunu doğrulatarak onayla.
111

APO12.03 Bir risk profilini sürdür Kaynak Açıklama Açıklama Hedef
Bilinen risk ve risk özellikleri (beklenen sıklık, potansiyel EDM03.01 • Onaylanmış risk tolerans İş kolu ve fonksiyona İçsel
etki ve tekiler dahil) ve ilgili kaynaklar, yetkinlikler ve seviyeleri göre belgelendirilmiş risk
güncel kontrol faaliyetlerinin bir envanterini sürdür. • Risk iştah rehberi senaryoları
APO10.04 Belirlenmiş tedarikçi iş Risk yönetim aksiyonlarının EDM03.02
teslimi riski durumu dahil olmak üzere APO02.02
DSS05.01 Potansiyel tehdit toplam risk profili
değerlendirmeleri
Faaliyetler
1. Yardımcı personel, uygulamalar, altyapı, tesisler, elle yapılan kritik kayıtlar, satıcılar, tedarikçiler ve taşeronları destekleyen iş süreçlerinin envanterini
çıkar ve BT hizmet yönetim süreçleri ve BT altyapı kaynaklarına bağımlılığı belgele.

2. Hangi BT hizmetleri ve BT altyapı kaynaklarının, iş süreçleri operasyonunun sürdürülmesinde temel teşkil ettiğini belirle. Bağımlılıkları analiz et ve zayıf
bağlantıları belirle.
3. Kategori, iş kolu ve fonksiyonel alana göre güncel risk senaryolarını bir araya getir.
4. Düzenli aralıklarla, tüm risk profili bilgilerini elde et ve bir araya getirilmiş risk profili halinde birleştir.
5. Risk profili verilerinin tamamına dayanan, güncel risk ve risk eğilimlerinin hızlı belirlenmesi ve izlenmesini sağlayan bir grup risk göstergesini tanımla.
6. Kurumsal BT risk profiline dahil etmek amacıyla, BT risk olaylarına dair gerçekleşmiş bilgileri elde et.
7. Kurumsal BT risk profiline dahil etmek amacıyla, risk eylem planının durumuna dair bilgileri elde et.
APO12.02 Riski ifade et Kaynak Açıklama Açıklama Hedef
BT-Bağlantılı maruz kalma durumları ve fırsatların Paydaşlara ait risk analizi EDM03.03
güncel durumuna dair bilgileri uygun tepkiyi verebilmek ve risk profil raporları EDM05.02
amacıyla gerekli paydaşlara zamanında sağla. APO10.04
MEA02.08
Üçüncü şahıs risk EDM03.03
değerlendirmelerinin APO10.04
sonuçları MEA02.01
Daha büyük risk EDM03.03
alınmasının getirdiği
fırsatlar
Faaliyetler
1. Risk analizi sonuçlarını kurum kararlarını desteklemek için faydalı olan şartlar ve formatlarda etkilenen tüm paydaşlara rapor et. Mümkün olduğunda,
olasılıklar ve kayıp veya kazanç aralıklarının yanı sıra yönetimin risk-getiri dengesini kurmasını sağlayan güven seviyelerini dahil et.
2. Karar alıcıların, en kötü durum ve en olası senaryoları, dikkat gerektiren maruz kalma durumları ve önem teşkil eden itibar, yasa veya yönetmeliğe dair
hususları anlamasını sağla.
3. Risk yönetim süreci etkinliği, kontrol etkinliği, eksiklikler, tutarsızlıklar, mükerrerlikler, iyileştirme durumu ve risk profili üzerindeki etkileri dahil olmak
üzere güncel risk profilini tüm paydaşlara rapor et.
4. Tarafsız üçüncü şahıs değerlendirmeleri, iç denetim ve kalite güvence incelemeleri sonuçlarını gözden geçir ve risk profiliyle eşleştir. Ek risk analizi
ihtiyacını belirlemek amacıyla belirlenen eksiklikleri ve maruz kalma durumlarını gözden geçir.
5. Nispi risk ve risk kapasitesi değişim oranları olan alanlarda, daha büyük risk alınması ve artan büyüme ve getiriye imkan tanıyan BT-Bağlantılı fırsatları
düzenli aralıklarla belirle.
APO12.05 Bir risk yönetim eylemi portföyünü Kaynak Açıklama Açıklama Hedef
tanımla Riskin azaltılmasına APO02.02
Riski kabul edilebilir bir seviyeye indirmek amacıyla yönelik proje teklifleri APO13.02
fırsatları bir portföy halinde yönet.
Faaliyetler
1. Riski yönetmek için uygun olan ve riskin, risk iştahı ve toleransıyla uyumlu olarak alınmasını sağlayan kontrol faaliyetlerinin bir envanterini sürdür.
Kontrol faaliyetlerini sınıflandır ve özel BT risk ifadeleri ve BT risk kümesine eşleştir.
2. Organizasyonun her bölümünün riski izleyip izlemediğini ve kendine ait olan ve portföy tolerans seviyeleri dahilinde çalışmaya yönelik yükümlülükleri
üstlenip üstlenmediğini belirle.
3. Stratejik kurum fırsatları sağlayan, maliyet/fayda, güncel risk profili üzerinde etkisi ve yönetmelikler dikkate alarak risk ve/veya projeleri azaltacak
şekilde tasarlanan dengeli bir proje önerileri grubunu tanımla.
112
Bölüm 5

APO12.06 Riske yanıt ver Kaynak Açıklama Açıklama Hedef
BT-Bağlantılı olayların neden olduğu kaybın büyüklüğünü EDM03.03 Risk yönetim sapmalarına Riskle Bağlantılı olaya DSS02.05
sınırlandırmak amacıyla etkili tedbirlerle zamanında yönelik iyileştirici yanıt planları
yanıt ver. aksiyonlar Risk etki bildirimleri APO01.04
APO08.04
DSS04.02
Riskle Bağlantılı kök DSS02.03
nedenler DSS03.01
DSS03.02
DSS04.02
MEA02.04

MEA02.07
MEA02.08
Faaliyetler
1. Bir risk olayı, ciddi iş etkisi olan önemli bir operasyon veya gelişme sorununa neden olduğunda, atılması gereken özel adımları belgeleyen planları
hazırla, sürdür ve test et. Planların kurum içinde üst bildirim yollarını içerdiğinden emin ol.
2. Olayları sınıflandır ve fiili maruz kalma seviyelerini risk toleransı eşik değerleriyle karşılaştır. İşe etkilerini, raporun bir parçası olarak karar alıcılara bildir
ve risk profilini güncelle.
3. Risk olayı meydana geldiğinde, etkiyi en aza indirmek amacıyla uygun yanıt planını uygula.
4. Geçmişteki kötü etkiler/kayıpları ve kaçırılan fırsatları incele ve kök nedenlerini belirle. Kök neden, ek risk yanıt şartları ve süreç iyileştirmelerini uygun
karar alıcılara bildir ve nedenler, yanıt şartları ve süreç iyileştirmesinin risk yönetişim süreçlerine dahil edildiğinden emin ol.

ISO/IEC 27001:2005 Bilgi güvenliği yönetim sistemleri – Şartlar, Bölüm 4
ISO/IEC 27002:2011
ISO/IEC 31000 6. Risk Yönetim Süreçleri
113

114
Bölüm 5
Alan: Yönetim
APO13 Güvenliği Yönet Etki alanı: Hizala, Planla ve Organize Et
Bilgi güvenliğini yönetmek için bir sistemi tanımla, çalıştır ve izle.
Bilgi güvenliği olaylarının etki ve meydana gelme sıklığını, kurumsal risk iştahı seviyeleri içinde tut.
02 İşin ait olunan ülke dışındaki ülkelere ait kanunlar ve yönetmeliklere uygunluğu • Ödemeler ve para cezaları ve itibar kaybı etkisi dahil BT’ye

hizmetleri ve BT etkin iş programlarının yüzdesi
sayısı
14 Karar alma için güvenilir ve yararlı bilgilerin kullanılabilirliği • Yönetim bilgilerinin kalitesi ve zamanlaması (veya
kullanılabilirliği) konusunda iş kullanıcısı memnuniyetinin
seviyesi
sayısı
•Hatalı veya kullanılamayan bilgilerin ana faktör olduğu hatalı
ticari kararların oranı ve kapsamı
1. Kurumsal bilgi güvenliği gereksinimlerini göz önünde bulunduran ve etkili şekilde • Açıkça tanımlanmış önemli güvenlik görevlerinin sayısı
ele alan bir sistem uygundur. • Güvenlikle Bağlantılı olayların sayısı
2. Kurum içinde bir güvenlik planı oluşturulmuş, onaylanmış ve bildirilmiştir. • Kurum içinde güvenlik planı konusunda paydaş memnuniyeti
seviyesi
• Plandan sapma gösteren güvenlik çözümleri sayısı
• Kurum mimarisinden sapma gösteren güvenlik çözümleri
sayısı
3. Bilgi güvenliği çözümleri, kurum içinde tutarlı bir şekilde uygulanır ve çalışır. • Güvenlik planına onaylanmış uyumu olan hizmetlerin sayısı
• Güvenlik planına uyumsuzluktak kaynaklanan güvenlik
• Güvenlik planına onaylanmış uyumu olan geliştirilmiş
çözümlerin sayısı
115
APO013 SMDB Tablosu




Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
APO13.01
Bir bilgi güvenliği yönetim D D D B D B B D M D D D D S B B B S B S D D
sistemini (ISMS) oluştur ve
sürdür.
APO13.02
Bir bilgi güvenliği risk iyileştirme
planını tanımla ve yönet D D D D D B B D M D D D D S D D D S D S D D
APO13.03
Bilgi güvenliği yönetim sistemini D S D S M D D S S S S S S S S S
(ISMS) izle ve gözden geçir

APO13.01 Bir bilgi güvenliği yönetim sistemini Kaynak Açıklama Açıklama Hedef
(ISMS) oluştur ve sürdür. COBIT dışında Kurum güvenlik yaklaşımı Bilgi güvenliği yönetim İçsel
İş gereksinimleri ve kurum güvenlik yönetimiyle uyumlu sistemi (ISMS) politikası
güvenli teknoloji ve iş süreçlerini gerçekleştirecek
şekilde, bilgilerin güvenlik yönetimine standart, resmi ve Bilgi güvenliği yönetim APO01.02
sürekli bir yaklaşım sağlayan bir bilgi güvenlik yönetim sistemi (ISMS) kapsam DSS06.03
sistemini (ISMS) oluştur ve sürdür. bildirisi
Faaliyetler
1. Kurum özelliği, organizasyon, konumu, varlıkları ve teknoloji konusunda bilgi güvenliği yönetim sistemi (ISMS) kapsam ve sınırlarını tanımla. Kapsam
dışında kalma detayları ve gerekçelerine yer ver.
2. Kurum politikasına uygun ve kurum, organizasyon, konumu, varlıkları ve teknolojiyle uyumlu olan bir bilgi güvenliği yönetim sistemini (ISMS) tanımla.
3. Bilgi güvenliği yönetim sistemini (ISMS), kurumun güvenlik yönetimine genel yaklaşımıyla hizala.
4. Bilgi güvenliği yönetim sistemini (ISMS) uygulamak ve çalıştırmak veya değiştirmek amacıyla yönetim yetkisi al.
5. Bilgi güvenliği yönetim sistemi (ISMS) kapsamını açıklayan uygulanabilirlik bildirisini hazırla ve sürdür.
6. Bilgi güvenliği yönetim görevleri ve sorumluluklarını tanımla ve bildir.
7. Bilgi güvenliği yönetim sistemi (ISMS) yaklaşımını bildir.
116
Bölüm 5

APO13.02 Bir bilgi güvenliği risk iyileştirme planını Kaynak Açıklama Açıklama Hedef
tanımla ve yönet. APO02.04 Hedef yeterliliğinin Bilgi güvenliği risk Tüm EDM
Bilgi güvenliği riskinin nasıl yönetileceği ve kurum sağlanmasındaki iyileştirme planı Tüm APO
stratejisi ve kurum mimarisi ile nasıl hizalanacağını eksiklikler ve gerekli olan Tüm BAI
açıklayan bir bilgi güvenliği planını sürdür. Güvenlik değişiklikler Tüm DSS
iyileştirmelerinin uygulanmasına yönelik önerilerin, Tüm MEA
onaylanmış iş gerekçelerine dayandığından ve hizmetler
ve çözüm geliştirmenin entegre bir parçası olarak, APO03.02 Referans değeri etki alanı Bilgi güvenliği iş gerekçesi APO02.05
dolayısıyla da iş operasyonunun entegre bir parçası açıklamaları ve mimari
olarak uygulandığından emin ol. tanım
APO12.05 Riskin azaltılmasına
yönelik proje teklifleri

Faaliyetler
1. Stratejik amaçlar ve kurum mimarisi ile uyumlu olan bir bilgi güvenliği risk iyileştirme planını formüle et ve sürdür. Planın, belirlenmiş bilgi güvenliği
riskini yönetmek amacıyla ilişkili kaynaklar, sorumluluklar ve öncelikleri olan uygun ve optimum yönetim uygulamaları ve güvenlik çözümlerini
belirlediğinden emin ol.
2. Kurum mimarisinin bir parçası olarak güvenlikle ilişkili riski yönetmek için uygun çözüm bileşenlerinin bir envanterini sürdür.
3. Bilgi güvenliği risk iyileştirme planını uygulamak amacıyla, uygun iş gerekçeleriyle desteklenen, kaynak yaratma ve görev ve sorumlulukların tahsisini
dikkate alan teklifler oluştur.
4. Bilgi güvenliği risk iyileştirme planından seçilen yönetim uygulamaları ve çözümlerinin tasarım ve geliştirilmesine yönelik girdiler sağla.
5. Seçilen yönetim uygulamaları etkinliğinin nasıl ölçüleceğini tanımla ve bu ölçümlerin, kıyaslanabilen ve tekrarlanabilen sonuçlar elde etme etkinliğini
değerlendirmek amacıyla nasıl kullanılacağını belirle.
6. Bilgi güvenliği eğitim ve farkındalık programlarını tavsiye et.
7. Bilgi güvenliği prosedürleri ve güvenlik olaylarının acilen önlenmesi, tespit edilmesi ve güvenlik olaylarına yanıt edilmesini sağlayabilen diğer
kontrollerin planlama, tasarım, uygulama ve izlenmesini entegre et.
APO13.03 Bilgi güvenliği yönetim sistemini (ISMS) Kaynak Açıklama Açıklama Hedef
izle ve gözden geçir DSS02.02 Sınıflandırılmış ve ISMS denetleme raporları MEA02.01
Sürekli bilgi güvenliği iyileştirme ihtiyacı ve faydalarını önceliklendirilmiş olaylar
sürdür ve düzenli aralıklarla bildir. Bilgi güvenliği ISMS’yi geliştirme önerileri İçsel
ve hizmet talepleri
yönetim sistemi (ISMS) hakkındaki verileri topla ve
analiz et ve ISMS etkinliğini iyileştir. Tekrar olmasını
engellemek amacıyla uyumsuzlukları düzelt. Bir güvenlik
ve sürekli iyileştirme kültürünü teşvik et.
Faaliyetler
1. ISMS politikası ve amaçlarının yerine getirilmesi ve güvenlik uygulamalarının gözden geçirilmesi dahil olmak üzere ISMS etkinliğinin düzenli olarak
incelenmesini üstlen. Güvenlik denetimleri, olayların sonuçları, etkinlik ölçümleri sonuçları, tavsiyeler ve ilgili tüm taraflardan gelen geri bildirimi
dikkate al.
2. Planlanmış aralıklarla ISMS iç denetimleri gerçekleştir.
3. Kapsamın yeterli kaldığından ve ISMS sürecindeki iyileştirmelerin belirlendiğinden emin olmak amacıyla düzenli aralıklarla ISMS yönetim gözden
geçirmesini üstlen.
4. İzleme ve gözden geçirme faaliyetleri tespitlerini hesaba katmak amacıyla, güvenlik planları bakımına yönelik girdiler sağla.
5. ISMS etkinliği veya performansı üzerinde bir etkiye sahip olabilecek eylem ve olayları kaydet.

ISO/IEC 27001:2005 Bilgi güvenliği yönetim sistemleri – Şartlar, Bölüm 4
ISO/IEC 27002:2011
Ulusal Standartlar ve Teknoloji Enstitüsü ABD Federal Bilgi Sistemleri Önerilen Güvenlik Kontrolleri
(NIST) SP800-53 Rev 1
ITIL V3 2011 Hizmet Tasarımı, 4.7 Bilgi Güvenliği Yönetimi
117

118
Bölüm 5
İNŞA ET, TEDARİK ET VE UYGULA

(BAI)
01 Program ve projeleri yönet
İnşa Et, Tedarik Et ve Uygula

02 Gereksinim tanımlarını yönet
03 Çözüm belirleme ve oluşturmayı yönet
04 Kullanılabilirlik ve kapasiteyi yönet
05 Organizasyon değişikliği gerçekleştirmeyi yönet
06 Değişiklikleri yönet
07 Değişiklik kabul ve dönüşümü yönet
08 Bilgi birikimini yönet
09 Varlıkları yönet
10 Konfigürasyonu yönet
119

120
Bölüm 5
Alan: Yönetim
BAI01 Program ve Projeleri Yönet Etki alanı: İnşa Et, Tedarik Et ve Uygula
Yatırım portföyündeki tüm program ve projeler kurum stratejisi ile hizalı ve koordineli bir şekilde yönet. Program ve projeleri başlat, planla, kontrol et,
yürüt ve uygulama sonrası gözden geçirerek kapat.
İletişimi iyileştirerek ve iş birimi ve son kullanıcıları dahil ederek, değer ve proje çıktılarının kalitesini sağlayarak ve bunların yatırım ve hizmet
portföylerine katkılarını maksimize ederek iş faydalarını gerçekleştir ve beklenmedik gecikmeler, maliyetler ve değer kaybı riskini azalt.
memnuniyet seviyesi
hizmetleri ve BT-etkin iş programlarının yüzdesi
05 BT-etkin yatırım ve hizmet portföylerinden sağlanan faydalar • Fayda gerçekleşmesinin tam ekonomik yaşam döngüsü
boyunca izlendiği BT-etkin yatırımların yüzdesi
• Talep edilen faydaların elde edildiği veya geçildiği BT-etkin

yüzdesi
• Kalite kusurları yüzünden önemli oranda tekrar çalışma
gerektiren programların sayısı
1. İlgili paydaşlar program ve projelere katılır. • Etkili şekilde katılan paydaşların yüzdesi
• Dahil olma konusunda paydaş memnuniyet seviyesi
2. Program ve projelerin kapsamı ve sonuçları uygulanabilir ve amaçlarla uyumludur. • Kurum ihtiyacı, kapsamı, planlanmış sonuç ve proje risk
seviyesini onaylayan paydaş yüzdesi
• Onaylanmış iş gerekçesi olmaksızın üstlenilen proje yüzdesi
3. Program ve proje planları beklenen sonuçları büyük olasılıkla gerçekleştirir. • Kapsam ve beklenen sonuçlarla uyumlu olan faaliyetlerin
yüzdesi
• Geçerli ve güncellenmiş program değer planları olmaksızın
üstlenilen aktif programların yüzdesi
4. Program ve proje faaliyetleri planlara göre uygulanır. • Durum gözden geçirme sıklığı
• Söz konusu plandan sapma yüzdesi
• Aktif programların aşama bitiş gözden geçirmelerini imzalayan
paydaşların yüzdesi
5. Faaliyetleri planlara göre gerçekleştirmek için yeterli program ve proje kaynağı • Kaynak sorunlarının sayısı (ör., beceriler, kapasite)
mevcuttur.
6. Kabul edilen ve başarılan program ve proje beklenen faydaları • Beklenilen fayda başarı yüzdesi
• İlk kez onaylanan sonuçların yüzdesi
• Proje kapanış gözden geçirmesinde ifade edilen paydaş
121
BAI01 SMDB Tablosu



Mimari Bölüm Başkanı
Mimari Yönetim Kurulu

Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
BAI01.01
Program ve proje yönetimi için
standart bir yaklaşımı sürdür. B M D D S S D D D D S
BAI01.02
Bir program başlat B S D D M S S S S D D D D D D D D
BAI01.03
Paydaş katılımını yönet M D S S S D S B B S D D D D D D D
BAI01.04
Program planı oluştur ve sürdür. D D M D S S S D D D D D D D D D D D
BAI01.05
Programı başlat ve yürüt. D D M S S S B D D D S S S S D D D D
BAI01.06
Program sonuçlarını izle, kontrol M D B S S S D D S S D D D

ve rapor et.
BAI01.07
Projeleri bir program dahilinde S S B M S D D S D D D D D
çalıştır ve başlat.
BAI01.08
Projeleri planla D B M S D D D D D D D D D
BAI01.09
Program ve proje kalitesini S S B M S D D D D D S D D D D D
yönet
BAI01.10
Program ve proje riskini yönet S S B M S D D D D D S D D D D D
BAI01.11
Projeleri izle ve kontrol et B S B M S D D S D D S D D D D D
BAI01.12
Proje kaynakları ve çalışma S B M S D D D D D S D D D D D
paketlerini yönet
BAI01.13
Bir proje veya fazı kapat. D D B M S D D D D D D D D D D D
BAI01.14
Bir programı kapat B D D D M S B S S S S D D D D D D D
122
Bölüm 5
BAI01 Süreç Uygulamaları, Girdiler/Çıktılar ve Faaliyetleri

BAI01.01 Program ve proje yönetimi için standart bir Kaynak Açıklama Açıklama Hedef
yaklaşımı sürdür. EDM02.02 Aşama bitiş gözden Güncellenmiş program ve İçsel
Tutarlı bir şekilde işe yönelik değer ve hedeflere geçirme şartları proje yönetimi yaklaşımları
(gereksinimler, risk, maliyetler, program, kalite)
ulaşmaya odaklanmış yönetişim ve yönetim gözden EDM02.03 Değer yaratımını arttıran
geçirme ve karar alma ve tedarik yönetimi faaliyetlerini eylemler
gerçekleştiren, program ve proje yönetimine dair APO03.04 • Mimari yönetişim
standart bir yaklaşımı sürdür. gereksinimleri
•Uygulama fazı
açıklamaları
APO05.05 Programlar, hizmetler ve

varlıkların güncellenmiş
portföyleri
APO10.04 Belirlenmiş tedarikçi iş

teslimi riski
Faaliyetler
1. Kurum özel ortamı ve iyi uygulamalarla uyumlu olan, tanımlanmış sürece ve uygun teknoloji kullanımına dayanan, program ve proje yönetimi için
standart bir yaklaşımı sürdür ve uygula. Yaklaşımın, tam yaşam döngüsünü ve kapsam, kaynaklar, risk, maliyet, kalite, zaman, iletişim, paydaş katılımı,
satın alma, değişiklik kontrol, entegrasyon ve fayda gerçekleştirme yönetimi dahil olmak üzere izlenecek disiplinleri kapsadığından emin ol.
2. Program ve proje yönetim yaklaşımını, kullanımından öğrenilen derslere göre güncelle.
BAI01.02 Bir programı başlat Kaynak Açıklama Açıklama Hedef

Beklenen faydaları tasdik eden bir programı başlat APO03.04 •Uygulama fazı • Program konsepti iş APO05.03
ve devam etmek amacıyla onay al. Bu, program açıklamaları gerekçesi
sponsorluğu üzerinde anlaşmayı, program yetkisinin • Kaynak gereksinimleri
konsept iş gerekçesi onayıyla tasdiklenmesini, program
yönetim kurulu veya kurul üyelerinin atanmasını, APO05.03 Program iş gerekçesi Program yetki ve APO05.03
program özetinin oluşturulmasını, iş gerekçesinin gözden talimatları
geçirilmesi ve güncellenmesini, fayda gerçekleştirme APO07.03 Beceriler ve yetkinlikler Program fayda APO05.03
planının oluşturulmasını ve devam etmek üzere matrisi gerçekleştirme planı APO06.05
sponsorlardan onay alınmasını içerir.
BAI05.02 Genel vizyon ve Hedefler
Faaliyetler
1. Program sponsorluğu üzerinde anlaş ve programda stratejik ilişkisi olan, yatırım karar almasında sorumluluğa sahip, programdan büyük ölçüde
etkilenecek ve değişiklik tedariği sağlamak için gerekli olan üyelerden oluşan bir program yönetim kurulu/komitesi ata.
2. Sponsorlar ve paydaşlarla program zorunluluklarını onayla. Programa dair stratejik amaçları, elde edilmesi beklenen tedarik, iyileştirme ve faydalara
dair potansiyel stratejileri ve programın diğer insiyatiflerle nasıl uyumlu olacağını ifade et.
3. Gerektiği takdirde, program için detaylı bir iş gerekçesi oluştur. Beklenen kurumsal sonuçlara, nasıl ölçüleceklerine, gerekli insiyatiflerin tam
kapsamına, ilişkili riske ve kurumun tüm boyutlarındaki etkisine dair tam bir anlayışı geliştirmek ve belgelemek amacıyla tüm ana paydaşları dahil et.
İstenilen kurumsal sonuçları elde etmek amacıyla alternatif davranış biçimlerini belirle ve değerlendir.
4. Planlanmış faydaların her zaman sahipleri olduğundan ve gerçekleştirildiğinden, sürdürüldüğünden ve optimize edildiğinden emin olmak amacıyla,
program boyunca yönetilecek bir fayda gerçekleştirme planını oluştur.
5. Amaç, iş amaçlarına yönelik katkı, tahmini oluşturulan değer, zaman periyodu ve benzerleriyle ilişkili temel karar alma bilgilerini sağlayan başlangıç
(konsept) program iş gerekçesinin prensipte onayını hazırla ve sun.
6. Programı etkili ve verimli bir şekilde yönetmek için uygun yetkinlikleri ve becerileri olan özel atanmış bir yöneticiyi programa tahsis et.
123
BAI01 Süreç Uygulamaları, Girdiler/Çıktılar ve Faaliyetleri (devamı)

BAI01.03 Paydaş katılımını yönet Kaynak Açıklama Açıklama Hedef
İlgili tüm paydaşlara ulaşan doğru, tutarlı ve zamanında Paydaş katılım planı İçsel
olan aktif bir bilgi alışverişini sağlamak amacıyla
paydaş katılımını yönet. Bu, paydaşların planlanması, Paydaş katılımı etkinlik İçsel
belirlenmesi ve katılımlarının sağlanması ve değerlendirmelerinin
beklentilerinin yönetilmesini içerir. sonuçları
Faaliyetler
1. Projelerin yaşam döngüsü boyunca, kurum içindeki ve dışındaki paydaşların nasıl belirleneceği, analiz edileceği, katılımının sağlanacağı ve
yönetileceğini planla.
2. Program/projeye dahil olmalarını sağlamak amacıyla, uygun seviyelerde koordinasyon, iletişim ve irtibat kurarak ve sürdürerek paydaşları belirle,
katılımlarını sağla ve yönet.
3. Paydaş katılımının etkinliğini ölç ve gerektiği takdirde iyileştirici aksiyonlar uygula.
4. Paydaş menfaatleri ve gereksinimlerini analiz et.
BAI01.04 Program planının oluştur ve sürdür. Kaynak Açıklama Açıklama Hedef
Gerçekleştirilecek çalışma kapsamının resmileştirilmesi APO05.03 Yatırım geri dönüşü Program planı İçsel
ve hedeflere ulaşacak ve değer yaratacak çıktıların kilometre taşları olan
belirlenmesiyle başlangıçtaki temel çalışmaları ortaya seçilen programlar
koyan ve başarılı şekilde yürütülmesi için konumlandıran
bir programı formüle et. Programın tüm ekonomik APO07.03 Beceriler ve yetkinlikler Program bütçesi ve katma APO05.06
yaşam döngüsü boyunca, stratejik amaçlarla uyumu matrisi değer kaydı APO06.05
sağlayan ve güncel durumu ve bugüne kadar elde edilen APO07.05 İş ve BT insan kaynakları Kaynak gereksinimleri ve APO07.05
güncellenmiş içgörüleri yansıtan program planını ve iş envanteri görevleri APO07.06
gerekçesini sürdür ve güncelle.
BAI05.02 Uygulama takımı ve

görevleri
BAI05.03 Vizyon iletişim planı
BAI05.04 Belirlenmiş hızlı
kazanımlar
BAI07.03 Onaylanmış kabul test
planı
BAI07.05 Üretime geçiş kabul onayı
Faaliyetler
1. Kuruma değişiklik yapmak için gerekli olanlar, kurumsal imaj, ürünler ve hizmetler, iş süreçleri, beşeri beceriler ve insan sayısı, paydaşlar, müşteriler,
tedarikçiler ve diğerleriyle ilişkiler, teknoloji ihtiyaçları ve programdan beklenen kurumsal sonuçları gerçekleştirmek için gereken organizasyon tekrar
yapılanması dahil olmak üzere tüm projeleri içeren program planını tanımla ve belgele.
2. Proje yöneticileri ve proje takımlarının yanı sıra iş kaynakları dahil olmak üzere projeyi yürütmek için gerekli olan kaynaklar ve becerileri belirle. Çeşitli
projelerin kaynak, maliyet, program ve birbirlerine bağımlılıklarını belirle. Projelere yetkin kadro elemanları ve/veya taşeronların tedariği ve atanma
esasını belirle. Tüm takım elemanları ve diğer ilgili şahıslara ait görev ve sorumlulukları tanımla.
3. Her proje için, faydaların gerçekleştirilmesi, maliyetlerin kontrol edilmesi, risk yönetimi ve proje faaliyetlerinin koordine edilmesi dahil olmak üzere
yükümlülükleri açık ve kesin bir şekilde ata.
4. Tüm projeler arasında ve genel program içinde program planları ve ilerleme raporlarına dair etkili bir iletişimin olduğundan emin ol. Kişisel planlara
yapılan her türlü değişikliğin, diğer kurum program planlarında yansıtıldığından emin ol.
5. Program planını güncel olacak ve mevcut stratejik hedefler, gerçek ilerleme, çıktı, fayda, maliyet ve risklerdeki önemli değişikliklerle uyumu yansıtacak
şekilde sürdür. Tasarlandığı şekliyle programın kurum gereksinimlerini karşıladığından emin olacak şekilde işin amaçlara yönelik olmasını sağla ve
çalışmayı önceliklendir. Kişisel projelerin ilerlemesini gözden geçir ve gerekli olduğu takdirde, programlanmış kilometre taşı sürümlerini karşılayacak
şekilde projeleri ayarla.
6. Programın ekonomik yaşam döngüsü boyunca, programın üstlenilmesiyle ortaya çıkan önemli faydaları belirlemek ve tanımlamak amacıyla, iş
gerekçesi ve fayda kaydını güncelle ve sürdür.
7. Tüm ekonomik yaşam döngüsüne ait maliyetler ve ilişkili finansal ve finansal olmayan faydaları yansıtan bir program bütçesi hazırla.
124
Bölüm 5

BAI01.05 Programı başlat ve yürüt. Kaynak Açıklama Açıklama Hedef
Programa ait hedefler ve faydaları program planında BAI05.03 Vizyon iletişimleri Fayda gerçekleştirme APO05.06
tanımlandığı şekilde gerçekleştirmek için gereken izlemlerinin sonuçları APO06.05
kaynakları tedarik etmek ve yönlendirmek amacıyla
programı başlat ve yürüt. Aşama bitiş veya sürüm Program hedef başarısı APO02.04
gözden geçirme kriterlerine uygun olarak, programın izleme sonuçları
ilerlemesini rapor etmek ve müteakip aşama bitiş veya Program denetim planları MEA02.06
sürüm gözden geçirmesine kaynak yaratmak için örnek
oluşturabilmek amacıyla aşama bitiş, tekrarlama veya
sürüm gözden geçirmelerini hazırla.
Faaliyetler
1. Program sonuçlarını elde etmek için gereken zorunlu projeleri, her aşama bitiş incelemesinde kaynak gözden geçirme ve onaylar bazında planla,
kaynak yarat ve yetkilendir.
2. Gelişme sürecine (gelişme kontrol noktaları) ait üzerinde anlaşılan aşamaları oluştur. Her aşamanın sonunda, onaylanmış kriterlere dair paydaşlarla
yapılacak resmi görüşmelere olanak tanı. Fonksiyonellik, performans ve kalite gözden geçirmelerinin başarıyla tamamlanmasından sonra ve aşama
faaliyetlerini sonlandırmadan önce, resmi onay al ve tüm paydaşlara ve sponsor/iş süreç sahibine imzalat.
3. Planlanmış faydaların her zaman sahipleri olduğundan ve büyük olasılıkla gerçekleştirildiğinden, sürdürüldüğünden ve optimize edildiğinden emin
olmak amacıyla, program boyunca bir fayda gerçekleştirme sürecini üstlen. Aşama bitiş veya tekrarlama ve sürüm gözden geçirmelerinde performans
hedeflerine kıyasla fayda tedariğini izle ve raporla. Plandan sapmalara yönelik kök neden analizi gerçekleştir ve gerekli her türlü iyileştirici aksiyonu
uygula.
4. Karar alma ve tedarik faaliyetlerinin, iş ve hedeflere dair faydaların tutarlı bir şekilde gerçekleştirilmesi, riskin ele alınması ve paydaş gereksinimlerinin
gerçekleştirilmesi aracılığıyla değere odaklandığından emin olmak amacıyla her program veya projeyi yönet.
5. Program/proje yönetim ofisleri oluştur ve denetimler, kalite gözden geçirmeleri, faz/aşama bitiş gözden geçirmeleri ve gerçekleştirilen fayda gözden
geçirmelerini planla.

BAI01.06 Program sonuçlarını izle, kontrol ve rapor Kaynak Açıklama Açıklama Hedef
et. EDM02.03 Portföy ve program Program performansı MEA01.03
Yatırımın tüm ekonomik yaşam döngüsü boyunca performansına dair geri gözden geçirme sonuçları
program (çözüm tedariği) ve kurum (değer/sonuç) bildirim
performansını planla karşılaştırarak izle ve kontrol et.
Bu performansı, program yönlendirme komitesi ve APO05.02 Yatırım geri dönüşü Aşama bitiş gözden EDM02.01
sponsorlara rapor et. beklentileri geçirme sonuçları APO02.04
APO05.03 İş gerekçesi APO05.04
değerlendirmeleri
APO05.04 Yatırım portföyü
APO05.06 • Fayda
gerçekleştirilmesini
iyileştirmeye yönelik
• Fayda sonuçları ve ilgili
iletişimler
APO07.05 • Kaynak kullanım kayıtları
• Kaynak oluşturma
sermaye eksikliği
analizleri
BAI05.04 Faydaların bildirilmesi
BAI06.03 Değişiklik talebi durum
raporları
BAI07.05 Kabul sonuçlarının
değerlendirilmesi
125

BAI01.06 Faaliyetler
1. İş biriminin ve BT’nin projelere katkıları dahil olmak üzere genel program ve projelerin performansını program dahilinde izle ve kontrol et ve
zamanında, tam ve doğru şekilde rapor et. Raporlama program, kaynak yaratma, fonksiyonellik, kullanıcı memnuniyeti, iç kontroller ve yükümlülüklerin
kabulünü içerebilir.
2. Performansı kurum ve BT stratejileri ve hedefleriyle karşılaştırarak izle ve kontrol et ve uygulanan kurum değişiklikleri, fayda gerçekleştirme planına
kıyasla gerçekleştirilen faydalar ve fayda gerçekleştirme sürecinin yeterliliği konusunda yönetime rapor ver.
3. Program sonucunda oluşturulan veya değiştirilen BT hizmetleri, varlıkları ve kaynakları izle ve kontrol et. Uygulama ve hizmet tarihlerini not et.
Performans seviyeleri, sürdürülen hizmet tedariği ve değer katkısı konusunda yönetime rapor ver.
4. Program performansını önemli kriterlere (ör., kapsam, program, kalite, fayda gerçekleştirme, maliyetler, risk, hız) göre yönet, plandan sapmaları belirle
ve gerektiği takdirde zamanında iyileştirici aksiyonlar uygula.
5. Program performansı üzerindeki potansiyel etkileri belirlemek amacıyla, beklenen yetkinlikler, program, fayda gerçekleştirme, maliyetler, risk ve diğer
ölçütlerin tedariği ile ilişkili kişisel proje performansını izle. Gerektiği takdirde zamanında iyileştirici aksiyonlar uygula.
6. İlgili BT hizmet, varlık veya kaynak portföylerindeki programdan kaynaklanan değişiklikleri yansıtacak şekilde operasyonel BT portföylerini güncelle.
7. Aşama bitiş, sürüm veya tekrarlama gözden geçirme kriterlerine uygun olarak, programın ilerlemesine dair rapor hazırlamak amacıyla gözden
geçirmeler üstlen, böylece yönetim devam etme/devam etmeme veya düzenleme kararlarını verebilir ve müteakip aşama bitiş, sürüm veya tekrarlama
için ek kaynağı onaylayabilir.
BAI01.07 Projeleri bir program dahilinde çalıştır ve Kaynak Açıklama Açıklama Hedef
başlat. Proje kapsam bildirileri İçsel
Paydaşlar arasında, proje kapsamına ve genel BT-etkin
yatırım programı dahilinde diğer projelerle nasıl bir Proje tanımları İçsel
ilişkide olduğuna dair ortak bir anlayışı teyit etmek ve
oluşturmak amacıyla projenin türü ve kapsamını tanımla
ve belgelendir. Tanım, program ve proje sponsorları
tarafından resmi olarak onaylanmalıdır.
Faaliyetler
1. Paydaşlar arasında proje kapsamına dair ortak bir anlayış oluşturmak amacıyla, paydaşlara her projenin türü, kapsamı ve faydasını tanımlayan
kolaylıkla anlaşılan yazılı bir bildiri ver.
2. Her projenin, projeyi genel program dahilinde yönetmek için yeterli yetkiye sahip olan bir veya daha fazla sponsoru olduğundan emin ol.
3. Kurum ve BT içindeki ana paydaşlar ve sponsorların, proje başarı (kabul) kriterleri ve önemli performans göstergelerinin (KPI’lar) tanımı dahil olmak
üzere proje gereksinimleri üzerinde anlaştığından ve kabul ettiğinden emin ol.
4. Proje tanımının, iç ve dış proje iletişimlerini belirleyen bir proje iletişim planına ait gereksinimleri açıkladığından emin ol.
5. Paydaşların onayıyla birlikte, değişiklik gereksinimlerini yansıtan proje tanımını proje boyunca sürdür.
6. Bir projenin yürütülmesini izlemek amacıyla, zamanında uygun onayı olan düzenli raporlama ve aşama bitiş, sürüm veya faz gözden geçirmeleri gibi
uygun mekanizmalar koy.
BAI01.08 Projeleri planla. Kaynak Açıklama Açıklama Hedef
Proje yürütülmesini yönlendirmek ve proje süresi BAI07.03 Onaylanmış kabul test Proje planları İçsel
boyunca kontrol etmek amacıyla bir resmi, onaylanmış planı
entegre proje planını (iş ve BT kaynaklarını kapsayan) Proje tabanı İçsel
oluştur ve sürdür. Projelerin kapsamı, açıkça Proje raporları ve İçsel
tanımlanmalı ve iş yetkinliğinin oluşturulması veya iletişimler
arttırılmasına bağlı olmalıdır.
Faaliyetler
1. Projenin gittikçe ilerlemesini kontrol etmek üzere yönetimi gerçekleştirmek amacıyla bilgiler sağlayan bir proje planını oluştur. Planda, proje çıktıları ve
kabul kriterleri, gerekli iç ve dış kaynaklar ve sorumluluklar, açık çalışma durdurma yapıları ve çalışma paketleri, gerekli kaynak tahminleri, kilometre
taşları/sürüm planı/fazlar, önemli bağlılıklar ve kritik yol belirleme detayları yer almalıdır.
2. Güncel olacakları ve fiili ilerlemeyi ve onaylanmış sonuca etkisi olan değişiklikleri yansıtacakları şekilde proje planı ve her türlü bağımlı planı (ör., risk
planı, kalite planı, fayda gerçekleştirme planı) sürdür.
3. Tüm projeler arasında ve genel program içinde proje planları ve ilerleme raporlarına dair etkili bir iletişimin olduğundan emin ol. Kişisel planlara yapılan
her türlü değişikliğin, diğer planlarda yansıtıldığından emin ol.
4. Bir program içindeki çeşitli projeler arasında faaliyetler, birbirine bağlılıklar ve gerekli işbirliği ve iletişimi belirle.
5. Her kilometre taşına, gözden geçirilmesi ve imzalanması gereken önemli bir çıktının eşlik ettiğinden emin ol.
6. Uygun şekilde gözden geçirilmiş, onaylanmış ve entegre proje planına dahil edilmiş olan bir proje tabanı (ör., maliyet, program, kapsam, kalite) oluştur.
126
Bölüm 5

BAI01.09 Program ve proje kalitesini yönet Kaynak Açıklama Açıklama Hedef
Program ve proje kalite yaklaşımı ve nasıl APO11.01 Kalite yönetim planları Kalite yönetim planı BAI02.04
uygulanacağını açıklayan kalite yönetim sistemi BAI03.06
(QMS) ile uyumlu bir kalite yönetim planı, süreçler ve BAI07.01
uygulamaları hazırla ve yürüt. Plan, ilgili tüm taraflar
tarafından resmi olarak gözden geçirilmeli ve üzerinde APO11.03 Kalite yönetimine dair Çıktıların bağımsız BAI07.03
anlaşılmalı ve ardından entegre program ve proje müşteri gereksinimleri doğrulanmasına dair
planlarına dahil edilmelidir. gereksinimler
Faaliyetler
1. Program ve proje planlaması sırasında yeni veya değiştirilmiş sistemlerin onayını desteklemek amacıyla gerekli olan güvence hedefleri ve
uygulamalarını belirle. Hedeflerin, iç kontroller ve güvenlik çözümleri tanımlanmış gereksinimleri karşılayacak şekilde güvence sağladığından emin ol.
2. Proje çıktılarına dair kalite güvencesi sağlamak amacıyla, sahiplik ve sorumluluk, kalite gözden geçirme süreçleri, başarı kriterleri ve performans
ölçütlerini belirle.
3. Çıktı kalitesinin, bağımsız geçerlilik ve doğrulanmasına dair her türlü gereksinimi planda tanımla.
4. Kalite yönetim planı ve kalite yönetim sistemi (QMS) ile uyumlu kalite güvence ve kontrol faaliyetleri gerçekleştir.
BAI01.10 Program ve proje riskini yönet Kaynak Açıklama Açıklama Hedef
Program ve projelerle ilişkili özel riski, istenmeyen APO12.02 Risk analizi sonuçları Proje risk yönetim planı İçsel
değişikliğe neden olma potansiyeline sahip olan alanlar
veya olayları sistematik bir şekilde planlama, belirleme, BAI02.03 • Risk azaltıcı eylemler Proje risk değerlendirme İçsel
analiz etme, yanıt verme ve izleme ve kontrol etme • Gereksinimler risk kaydı sonuçları
süreci aracılığıyla ortadan kaldır veya en aza indir. COBIT dışında ERM çerçevesi Proje risk kaydı İçsel
Program ve proje yönetimi tarafından karşılaşılan risk
belirlenmeli ve merkezi olarak kaydedilmelidir.

Faaliyetler
1. ERM çerçevesi ile uyumlu olan bir resmi proje risk yönetim yaklaşımı oluştur. Yaklaşımın, riskin belirlenmesi, analiz edilmesi, yanıt verilmesi,
azaltılması, izlenmesi ve kontrol edilmesini içerdiğinden emin ol.
2. Proje dahilinde kurumsal proje risk yönetim sürecini yürütmesi amacıyla ve çözüm geliştirme uygulamalarına dahil edildiğinden emin olarak uygun
becerilere sahip personele sorumluluk ver. Özellikle tarafsız bir bakış açısı gerektiği takdirde veya projenin kritik olduğu düşünüldüğünde, bu görevi
bağımsız bir takıma vermeyi göz önünde bulundur.
3. Proje boyunca riski sürekli olarak belirleme ve miktarını belirlemeye yönelik proje risk değerlendirmesi gerçekleştir. Proje yönetişim yapısı dahilinde
riski uygun şekilde yönet ve bildir.
4. Proje riskini, her büyük proje fazının başlangıcında ve büyük değişiklik talebi değerlendirmelerinin bir parçası olarak, düzenli aralıklarla tekrar
değerlendir.
5. Riski önleyecek, kabul edecek veya azaltacak aksiyonların sahiplerini belirle.
6. Potansiyel tüm proje riskine dair bir proje risk kaydını ve tüm proje sorunları ve çözümlerini içeren bir risk azaltma kronolojik kaydını sürdür ve gözden
geçir. Kronolojik kaydı, kök nedenlerin düzeltildiğinden emin olmak amacıyla eğilimler ve tekrarlayan problemler bakımından düzenli aralıklarla analiz
et.
127

BAI01.11 Projeleri izle ve kontrol et Kaynak Açıklama Açıklama Hedef
Proje performansını, program, kalite, maliyet ve risk Proje performans kriterleri İçsel
gibi önemli proje performans kriterlerine göre ölç.
Beklenenden her türlü sapmayı belirle. Sapmaların proje Proje ilerleme raporları İçsel
ve genel program üzerindeki etkisini değerlendir ve Projeye yapılacak üzerinde İçsel
sonuçları ana paydaşlara rapor et. anlaşılan değişiklikler
Faaliyetler
1. Sınırlayıcı olmaksızın kapsam, program, kalite, maliyet ve risk seviyesi dahil olmak üzere bir grup proje kriteri oluştur ve kullan.
2. Önemli proje performans kriterlerine göre proje performansını ölç. Oluşturulan önemli proje performans kriterlerinden sapmaları, nedenleri bakımından
analiz et ve program ve bunu oluşturan projeler üzerindeki olumlu ve olumsuz etkileri değerlendir.
3. Program dahilinde proje ilerlemesini, oluşturulan önemli proje performans kriterlerinden sapmaları ve program ve bunu oluşturan projeler üzerindeki
potansiyel olumlu ve olumsuz etkileri belirlenmiş ana paydaşlara rapor et.
4. Program değişikliklerini izle ve halen geçerli ilerleme ölçütlerini temsil edip etmediklerini belirlemek amacıyla mevcut önemli proje performans
kriterlerini gözden geçir.
5. Gerekli her türlü değişikliği belgele ve benimsemeden önce onay almak amacıyla programın ana paydaşlarına sun. Gelecekteki performans
raporlarında kullanılmak üzere, gözden geçirilmiş kriterleri proje yöneticilerine bildir.
6. Gerekli olduğu takdirde, program ve proje yönetişim çerçevesi ile uyumlu olan iyileştirici aksiyonlar tavsiye et ve izle.
7. Etkilenmiş iş ve BT fonksiyonlarındaki atanmış yöneticiler ve kullanıcılardan, her tekrarlama, sürüm veya proje fazında üretilen çıktılara dair onay ve
imza al.
8. Çalışma öncesinde, proje fazı veya tekrarlama çıktısı başlangıcında ana paydaşlar tarafından üzerinde anlaşılan açıkça tanımlanmış kabul kriterleri
üzerinde onay sürecini temel al.
9. Projeyi üzerinde anlaşılmış olan önemli aşama bitişler, sürümler veya tekrarlamalarda değerlendir ve önceden belirlenmiş kritik başarı kriterleri bazında
resmi devam etme /devam etmeme kararları al.

10. Proje için bir değişiklik kontrol sistemi oluştur ve çalıştır, böylece proje tabanına (ör., maliyet, program, kapsam, kalite) yapılan tüm değişiklikler uygun
şekilde gözden geçirilir, onaylanır ve program ve proje yönetişim çerçevesiyle uyumlu olan entegre proje planına dahil edilir.
BAI01.12 Proje kaynakları ve çalışma paketlerini Kaynak Açıklama Açıklama Hedef
yönet Proje kaynak APO07.05
Çalışma paketlerinin yetkilendirilmesi ve kabul edilmesi gereksinimleri APO07.06
ve uygun iş ve BT kaynaklarının tahsis edilmesi ve
koordine edilmesine dair resmi gereksinimler koyarak Proje görevleri ve İçsel
proje çalışma paketlerini yönet. sorumlulukları
Proje planındaki eksiklikler İçsel
Faaliyetler
1. Proje için iş ve BT kaynak ihtiyaçlarını belirle ve uygun görevler ve sorumlulukları üzerinde anlaşılmış ve kavranmış olan üst bildirim ve karar alma
yetkilileriyle açık bir şekilde eşleştir.
2. Proje fazlarına dahil olan tüm kişilerin tanımlanmış görevlerine ilişkin gerekli beceri ve zaman gereksinimlerini belirle. Görevleri, uygun beceri bilgileri
(ör., BT becerileri matrisi) bazında kadrolaştır.
3. Proje boyutu, zorluğu ve riskine uygun becerileri olan deneyimli proje yönetimi ve takım lideri kaynaklarından faydalan.
4. Finans, hukuk, satın alma, insan kaynakları, iç denetim ve uyum dahil olmak üzere katılan diğer tarafların görev ve sorumluluklarını göz önünde
bulundur ve açıkça tanımla.
5. Üçüncü şahıs ürünleri ve hizmetlerinin satın alınması ve yönetimine dair sorumluluğu açıkça tanımla ve üzerinde anlaş ve ilişkileri yönet.
6. Çalışmanın yürütülmesini proje planına kıyasla belirle ve yetkilendir.
7. Proje planı eksikliklerini belirle ve iyileştirme amacıyla proje yöneticisine geri bildirim sağla.
128
Bölüm 5

BAI01.13 Bir proje veya fazını kapat. Kaynak Açıklama Açıklama Hedef
Her proje, sürüm veya fazın sonunda, proje paydaşlarının BAI07.08 • İyileştirici aksiyon planı Uygulama sonrası gözden APO02.04
proje, sürüm veya fazın planlanan sonuçları ve • Uygulama sonrası geçirme sonuçları
değeri tedarik ettiğini doğrulamalarını talep et. gözden geçirme raporu
Projenin planlanan sonuçları ve program faydalarını Projede öğrenilen dersler İçsel
gerçekleştirmek için gereken yerine getirilmemiş her Paydaş proje kabul teyitleri İçsel
türlü faaliyeti belirle ve bildir ve gelecekteki projeler,
sürümler, tekrarlamalar veya programlarda kullanılmak
üzere öğrenilen dersleri belirle ve belgele.
Faaliyetler
1. Bir projenin istenilen sonuçları ve faydaları elde edip etmediğini değerlendiren uygulama sonrası gözden geçirmeler dahil olmak üzere proje kapanışı
için ana adımları tanımla ve uygula.
2. Projenin beklenen faydaları tedarik edip etmediğini belirlemek ve proje yönetimi ve sistem geliştirme süreci metodolojisini iyileştirmek amacıyla
uygulama sonrası gözden geçirmeler planla ve yürüt.
3. Planlanmış program proje sonuçları ve faydalarını elde etmek için gereken tamamlanmamış her türlü faaliyeti belirle, atamasını yap, bildir ve izle.
4. Düzenli olarak ve proje tamamlandığında, proje katılımcılarından öğrenilen dersleri topla. Bunları ve tedarik edilen fayda ve değere götüren ana
faaliyetleri gözden geçir. Verileri analiz et ve mevcut projenin yanı sıra gelecekteki projelere yönelik olarak proje yönetim yöntemini iyileştirmek
amacıyla tavsiyeler ver.
5. Proje çıktılarına dair paydaş kabulünü temin et ve sahipliği devret.
BAI01.14 Bir programı kapat Kaynak Açıklama Açıklama Hedef
İstenilen değerin elde edildiği konusunda mutabık BAI07.08 • İyileştirici aksiyon planı Program sonlandırma APO05.05
olunduğunda veya bunun programa ait değer kriterleri • Uygulama sonrası ve devam eden APO07.06

grubunda gerçekleştirilemeyeceği aşikar olduğunda, gözden geçirme raporu yükümlülüklerin
programı aktif yatırım portföyünden çıkar. bildirilmesi
Faaliyetler
1. Resmi onay alınması, program organizasyonu ve destek fonksiyonunun dağıtılması, çıktıların geçerliliği ve sonlandırmanın bildirilmesi dahil olmak
üzere programı usulüne uygun şekilde kapat.
2. Öğrenilen dersleri gözden geçir ve belgele. Program sonlandırıldıktan sonra, aktif yatırım portföyünden çıkar.
3. Kurumun, hizmet, varlık veya kaynaklardan gelen değeri optimize etmeye devam ettiğinden emin olmak amacıyla uygun yükümlülük ve süreçler ekle.
Bunun olmasını sağlamak amacıyla gelecekte ek yatırımlar gerekli olabilir.
BAI01 İlgili Rehber

PMBOK
PRINCE2
129

130
Bölüm 5
Alan: Yönetim
BAI02 Gereksinim Tanımını Yönet Etki alanı: İnşa Et, Tedarik Et ve Uygula
İş süreçleri, uygulamalar, bilgi/veri, altyapı ve hizmetleri kapsayan kurum stratejik gereksinimleriyle uyumlu olmalarını sağlamak amacıyla tedarik veya
oluşmalarından önce çözümlerin belirle ve gereksinimleri analiz et. Etkilenen paydaşlarla, nispi maliyetler ve faydalar, risk analizi ve gereksinimler ve
önerilen çözümlerin onayı dahil olmak üzere uygulanabilir seçenekleri gözden geçirmeyi koordine et.
Riski en aza indirirken, kurum ihtiyaçlarını karşılayan uygulanabilir optimum çözümleri oluştur.
memnuniyet seviyesi
yüzdesi
12 Uygulamalar ve teknolojinin iş süreçlerine entegre edilmesiyle iş süreçlerinin • Teknolojik entegrasyon hatalarının yol açtığı iş süreç
gerçekleştirilmesi ve desteklenmesi olaylarının sayısı
ilave maliyetler oluşturan BT-etkin iş programlarının sayısı

1. İş fonksiyonel ve teknik gereksinimler, kurum ihtiyaçları ve beklentilerini yansıtır. • Kurum ihtiyaçları ve beklentileriyle uyumsuzluk yüzünden
tekrar çalışılan gereksinimlerin yüzdesi
• Gereksinimler konusunda paydaş memnuniyet seviyesi
2. Önerilen çözüm iş fonksiyonel, teknik ve uyum gereksinimlerini yerine getirir. • Önerilen çözümle yerine getirilen gereksinimlerin yüzdesi
3. Gereksinimlerle ilişkili risk, önerilen çözüm sayesinde ele alınmıştır. • Risk olarak belirlenmeyen olayların sayısı
• Başarılı şekilde azaltılmayan risk yüzdesi
4. Gereksinimler ve önerilen çözümler, iş gerekçesi amaçlarını (beklenen değer ve • Önerilen çözümle yerine getirilen iş gerekçesi amaçlarının
olası maliyetler) yerine getirir. yüzdesi
• İş gerekçesine ilişkin olarak çözümü onaylamayan paydaşların
yüzdesi
131
BAI02 SMDB Tablosu




Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
BAI02.01
İş fonksiyonel ve teknik
gereksinimleri tanımla ve sürdür B S M S D D D D S S D D D D D
BAI02.02
Bir fizibilite çalışması S S M S D D D D S D D D D D
gerçekleştir ve alternatif
çözümleri formüle et.
BAI02.03
Gereksinimlerin riskini yönet S S M S S D D S D S S D D D D
BAI02.04
Gereksinimler ve çözümlerin S S M S D D D D D D D D D D
onayını al

BAI02.01 İş fonksiyonel ve teknik gereksinimleri Kaynak Açıklama Açıklama Hedef
tanımla ve sürdür. APO01.06 • Veri bütünlüğü Gereksinimlerin tanım BAI03.01
İş gerekçesi bazında, önerilen BT-etkin iş çözümü prosedürleri havuzu BAI03.02
beklenen sonuçlarını elde etmek için gereken tüm • Veri güvenliği ve kontrol BAI04.01
insiyatiflere ait kapsam/anlayışı içeren iş bilgileri, kuralları BAI05.01
fonksiyonel, teknik ve kontrol gereksinimlerini belirle, • Veri sınıflandırma
önceliklendir, özelliklerini belirt ve üzerinde anlaş. kuralları
APO03.01 Mimari prensipler Paydaş onaylı kabul BAI03.01
kriterleri BAI03.02
BAI04.03
BAI05.01
BAI05.02
APO03.02 • Bilgi mimari modeli Gereksinim değişiklik BAI03.09
• Referans değeri etki talepleri kaydı
alanı açıklamaları ve
mimari tanım
APO03.05 Çözüm geliştirme rehberi
APO10.02 Tedarikçi bilgi talepleri
(RFI’lar) ve teklif talepleri
(RFP’ler)
APO11.03 Kabul kriterleri
132
Bölüm 5

1. Bir gereksinim tanımı ve bakım prosedürü ve kurumun üstlenmeyi düşündüğü insiyatifin boyutu, zorluğu, amaçları ve riski için uygun olan bir
gereksinim havuzunu tanımla ve uygula.
2. Güncel ve istenilen iş yetkinlikleri arasındaki eksikliklerin nasıl ele alınması ve bir görevin çözüm ile nasıl bir etkileşim içinde olması ve çözümü nasıl
kullanması gerektiği bakımından iş gereksinimlerini ifade et.
3. Proje boyunca, ilgili kabul kriterleri dahil tüm paydaş gereksinimlerinin, paydaşlar, iş sponsorları ve teknik uygulama personeli tarafından
anlaşabilecek bir şekilde, gereksinimlerin değişebileceği ve uygulandıkça daha detaylı hale geleceklerinin farkında olarak, dikkate aldığı, elde edildiği,
önceliklendirildiği ve kaydedildiği bilgisini edin, analiz et ve teyit et.
4. Bilgi, fonksiyonel ve teknik gereksinimleri, onaylanmış paydaş gereksinimleri bazında belirle ve önceliklendir. Bilgi riskini ele almak ve yasa,
yönetmelik ve ticari anlaşmalara uymak amacıyla iş süreçleri, otomasyonlu süreçler ve BT ortamlarındaki bilgi kontrol gereksinimlerini dahil et.
5. Emsal değerlendirme, model geçerleme veya operasyonel prototipleme gibi yaklaşımlar aracılığıyla tüm gereksinimlerin geçerliğini denetle.
6. Kurumsal kurallar, bilgi kontrolleri, iş sürekliliği, yasa ve yönetmeliklere uyum, denetlenebilirlik, ergonomi, işlerlik ve kullanılabilirlik, güvenlik ve
destekleme belgeleri dahil olmak üzere gereksinim ana yönlerinin kabulünü onayla.
7. Proje boyunca çözüm yaşam döngüsü süresince, çözüm anlayışı geliştikçe, kapsam, gereksinimler ve değişiklikleri izle ve kontrol et.
8. Kurum politikaları ve standartları, kurum mimarisi, stratejik ve taktik BT planları, kurum içi veya dış kaynak kullanımlı iş ve BT süreçleri, güvenlik
gereksinimleri, yasal gereksinimler, beşeri yetkinlikler, organizasyon yapısı, iş gerekçesi ve gerçekleştirme teknolojisine ilişkin gereksinimleri göz
önünde bulundur.
BAI02.02 Bir fizibilite çalışması gerçekleştir ve Kaynak Açıklama Açıklama Hedef
alternatif çözümleri formüle et. APO03.05 Çözüm geliştirme rehberi Fizibilite çalışması raporu BAI03.02
Potansiyel alternatif çözümlere dair bir fizibilite BAI03.03
çalışması gerçekleştir, bunların uygulanabilirliklerini
değerlendir ve tercih edilen seçeneği seç. Uygun olduğu APO10.01 Tedarikçi listesi Yüksek seviyede tedarik/ APO10.02
takdirde, olası iyileştirmeleri belirlemek amacıyla seçilen APO10.02 • Tedarikçi değerlendirme geliştirme planı BAI03.01

seçeneği pilot olarak uygula. kararlarının sonuçları
• Tedarikçi bilgi talepleri
(RFI’lar) ve teklif
taleplerine (RFP’ler) ait
değerlendirmeler
• Tedarikçi bilgi talepleri
(RFI’lar) ve teklif talepleri
(RFP’ler)
APO11.03 Kabul kriterleri
Faaliyetler
1. İş ve fonksiyonel gereksinimleri yerine getiren alternatif çözümleri açıkça ve kısaca açıklayan bir fizibilite çalışması, pilot veya temel çalışma
çözümünü tanımla ve yürüt. Bunların teknolojik ve ekonomik fizibilitesine dair bir değerlendirmeyi dahil et.
2. Kurum mimarisi bazında çözüm tedariği veya geliştirilmesine yönelik gerekli eylemleri belirle ve kapsam ve/veya zaman ve/veya bütçe sınırlamalarını
hesaba kat.
3. Alternatif çözümleri tüm paydaşlarla gözden geçir ve risk ve maliyet dahil olmak üzere fizibilite kriterleri bazında en uygun olanı seç.
4. Tercih edilen hareket biçimini, kullanılacak kaynakları ve devam etme/devam etmeme kararı gerektiren aşamaları belirleyen yüksek seviyeli tedarik/
geliştirme planı haline dönüştür.
133

BAI02.03 Gereksinimlerin riskini yönet Kaynak Açıklama Açıklama Hedef
Kurum gereksinimleri ve önerilen çözümle ilişkili olan Gereksinimler risk kaydı BAI01.10
fonksiyonel, teknik ve bilgi işlemeyle Bağlantılı riski BAI03.02
belirle, belgele, önceliklendir ve azalt. BAI04.01
BAI05.01
Risk azaltıcı eylemler BAI01.10
BAI03.02
BAI05.01
Faaliyetler
1. Potansiyel kalite, fonksiyonel ve teknik gereksinimler ve bilgi işlenmesine ilişkin riskin (ör., kullanıcı katılım eksikliği, gerçekçi olmayan beklentiler,
gereksiz fonksiyonellik ekleyen geliştiriciler nedeniyle) bir listesini oluşturmak amacıyla paydaşları dahil et.
2. Gereksinim riskini olasılık ve etkiye göre analiz et ve önceliklendir. Uygun olduğunda, bütçe ve program etkilerini belirle.
3. Gereksinim riskini kontrol etme, önleme veya azaltma yollarını öncelik sıralamasıyla belirle.
BAI02.04 Gereksinimler ve çözümlerin onayını al Kaynak Açıklama Açıklama Hedef
Etkilenen paydaşlardan ve önceden belirlenmiş ana BAI01.09 Kalite yönetim planı Gereksinimler ve önerilen BAI03.02
aşamalarda geri bildirimi koordine et, fonksiyonel ve çözümlere dair sponsor BAI03.03
teknik gereksinimler, fizibilite çalışmaları, risk analizleri onayları BAI03.04
ve tavsiye edilen çözümlere dair iş sponsoru veya ürün
sahibi onayını ve imzasını al. Onaylanmış kalite gözden APO11.02
geçirmeleri
Faaliyetler
1. İş gerekçesine göre çözüm seçimi, tedarik yaklaşımı ve yüksek seviyede tasarım konusunda son kararı iş sponsoru veya ürün sahibinin verdiğinden
emin ol. Etkilenmiş paydaşlardan geri bildirimi koordine et ve uygun iş ve teknik yetkililerden (ör., iş süreç sahibi, kurum mimarı, operasyon yöneticisi,
güvenlik) önerilen yaklaşıma dair imza al.
2. Her önemli proje aşaması, tekrarlama veya sürüm boyunca ve sonunda, sonuçları orijinal kabul kriterlerine göre değerlendirmek amacıyla kalite
gözden geçirmeleri elde et. İş sponsorları ve diğer paydaşların, her başarılı kalite gözden geçirmesini imzalamasını sağla.

ITIL V3 2011 Hizmet Tasarımı, 4.1 Tasarım Koordinasyonu
134
Bölüm 5
Alan: Yönetim
BAI03 Çözüm Belirleme ve Oluşturmayı Yönet Etki alanı: İnşa et, Tedarik Et ve Uygula
Belirlenmiş çözümleri, tasarım, geliştirme, satın alma/kaynak yaratma ve tedarikçiler/taşeronlarla ortak olmayı içeren kurum gereksinimleriyle uyumlu
olarak oluştur ve sürdür. İş süreçleri, uygulamalar, bilgi/veri, altyapı ve hizmetlere ait konfigürasyon, test hazırlığı, test yapılması, gereksinimlerin idare ve
bakımını yönet.
Kurum stratejik ve operasyon amaçlarını destekleyebilen zamanında ve düşük maliyetli çözümleri oluştur.
yüzdesi
1. İlgili bileşenleri içeren çözüm tasarımı, kurum ihtiyaçlarını karşılar, standartlarla • Gereksinimlerle uyumsuzluk yüzünden tekrar çalışılan çözüm
uyum sağlar ve belirlenen tüm riski ele alır. tasarımlarının sayısı
• Tasarım çıktısının gereksinimleri karşıladığını onaylamak için
geçen süre
2. Çözüm tasarıma uyumludur, organizasyon standartlarına uygundur ve uygun • Aşama gözden geçirmeleri sırasında belirtilen tasarım çözümü
kontrol, güvenlik ve denetlenebilirliğe sahiptir. istisnalarının sayısı
3. Çözüm kabul edilebilir kalitededir ve başarılı şekilde test edilmiştir. • Test sırasında bulunan hataların sayısı
• Testleri tamamlama süresi ve çabası

4. Onaylanmış gereksinim değişiklikleri çözüme doğru şekilde dahil edilir. • Yeni hatalar oluşturan izlenen onaylanmış değişikliklerin sayısı
5. Bakım faaliyetleri iş ve teknolojik ihtiyaçları başarılı bir şekilde ele alır. • Memnuniyetsizlikle sonuçlanan bakım taleplerinin sayısı
135
BAI03 SMDB Tablosu




Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
BAI03.01
Yüksek seviyeli çözümleri tasarla S B S D D B D M D D D D D
BAI03.02
Detaylı çözüm bileşenlerini S B S D D B D M D D D D D
tasarla
BAI03.03
Çözüm bileşenlerini oluştur S B S D D B D M D D D D D
BAI03.04
Çözüm bileşenlerini tedarik et B S B B D D M B S S S D D D D
BAI03.05
Çözümleri oluştur S B S D D B D M D D D D D
BAI03.06
Kalite güvencesini gerçekleştir B S M S D D B D S D D D D D
BAI03.07
Çözüm testini hazırla S M B D D B S S S S S S
BAI03.08
Çözüm testini yürüt S M B B B B S S B B B B
BAI03.09
Gereksinimlere yapılacak B S M S B B D S S D D D D D
değişiklikleri yönet
BAI03.10
Çözümleri sürdür S S D D B D M D D D D D
BAI03.11
BT hizmetlerini tanımla ve B B B B B S B D D D M B B
hizmet portföyünü sürdür
136
Bölüm 5

BAI03.01 Yüksek seviyeli çözümleri tasarla Kaynak Açıklama Açıklama Hedef
Üzerinde anlaşılmış ve uygun fazlara bölünmüş veya APO03.01 Mimari prensipler Onaylanmış yüksek BAI04.03
hızlı çevik geliştirme teknikleri kullanarak yüksek seviyeli tasarım şartnamesi BAI05.01
seviyeli tasarımları geliştir ve belgele. BT stratejisi APO03.02 Referans değeri etki alanı
ve kurum mimarisiyle uyumlu olduğundan emin ol. açıklamaları ve mimari
Detaylı tasarım veya oluşturma fazları sırasında veya tanım
çözüm geliştikçe önemli sorunlar ortaya çıktığında APO04.03 Yenilik imkanları araştırma
tasarımları tekrar değerlendir ve güncelle. Paydaşların, analizleri
her versiyonun tasarım ve onaylanmasına aktif olarak
katıldığından emin ol. APO04.04 Yenilikçi fikir
değerlendirmeleri
BAI02.01 • Paydaş onaylı kabul
kriterleri
• Gereksinimlerin tanım
havuzu
BAI02.02 Yüksek seviyede tedarik/
geliştirme planı
Faaliyetler
1. Önerilen çözümü, iş ve kurum mimari gereksinimlerini yerine getirebilen iş süreçleri, destek hizmetleri, uygulamalar, altyapı ve bilgi havuzlarına
dönüştüren yüksek seviyeli bir tasarım şartnamesini oluştur.
2. Tasarımın, iş sürecini geliştirmek için önerilen BT yetkinliklerini optimum olarak kullanan bir çözüm sağladığından emin olmak amacıyla uygun
vasıflara sahip ve deneyimli kullanıcıları ve BT uzmanlarını tasarım sürecine dahil et.
3. Organizasyon tasarım standartlarıyla uyumlu olan, çözüm ve geliştirme yöntemi için uygun bir detay seviyesinde ve iş, kurum ve BT stratejiler, kurum
mimarisi, güvenlik planı ve ilgili kanunlar, yönetmelikler ve sözleşmelerle tutarlı bir tasarım oluştur.

4. Kalite güvence onayından sonra, en son yüksek seviyeli tasarımı, üzerinde anlaşılmış olan kriterler bazında onay almak üzere proje paydaşları ve
sponsor/iş süreç sahibine sun. Bu tasarım, proje boyunca anlaşılma seviyesi arttıkça değişiklik geçirecektir.
BAI03.02 Detaylı çözüm bileşenlerini tasarla Kaynak Açıklama Açıklama Hedef
Üzerinde anlaşılmış olan ve uygun fazlara bölünmüş APO03.01 Mimari prensipler Onaylanmış BAI04.03
veya hızlı çevik geliştirme teknikleri kullanarak detaylandırılmış tasarım BAI05.01
gittikçe artan bir şekilde detaylandırılmış olan, tüm şartnamesi
bileşenleri (iş süreçleri ve Bağlantılı otomasyonlu ve
manüel kontroller, destekleyici BT uygulamaları, altyapı APO03.02 • Bilgi mimari modeli Hizmet seviyesi BAI04.02
hizmetleri ve teknoloji ürünleri ve ortaklar/tedarikçiler) • Referans değeri etki anlaşmaları (SLA’lar)
ele alan tasarımları oluştur, belgele ve özenle alanı açıklamaları ve ve operasyon seviyesi
hazırla. Detaylandırılmış tasarımın iç ve dış hizmet mimari tanım anlaşmaları (OLA’Lar)
seviyesi anlaşmaları (SLA’lar) ve operasyon seviyesi APO03.05 Çözüm geliştirme rehberi
anlaşmalarını (OLA’Lar) içerdiğinden emin ol.
APO04.06 Yenilikçi yaklaşım
kullanımına dair
değerlendirmeler
BAI02.01 • Paydaş onaylı kabul
kriterleri
• Gereksinimlerin tanım
havuzu
BAI02.02 Fizibilite çalışması raporu
BAI02.03 • Risk azaltıcı eylemler
• Gereksinimler risk kaydı
BAI02.04 Gereksinimler ve önerilen
çözümlere dair sponsor
onayları
137

1. Kurum amaçlarını yerine getirmek amacıyla, yeni uygulama sistemiyle Bağlantılı olarak gerçekleştirilmesi gereken, manüel kontrol faaliyetlerinin
tasarımı dahil olmak üzere iş süreç faaliyetleri ve iş akışlarını derece derece tasarla.
2. İşlem tipleri ve iş süreç kuralları, otomasyonlu kontroller, veri tanımları/iş nesneleri, kullanım senaryoları, harici arayüzler, tasarım sınırlamaları ve diğer
gereksinimler (ör., ruhsatlandırma, yasal standartlar ve uluslarasılaştırma/yerelleştirme) şartnamesi dahil olmak üzere uygulama süreç aşamalarını
tasarla.
3. Veri girdileri ve çıktılarını kurum mimari standartlara göre sınıflandır. Kaynak verileri toplama tasarımı, veri girdilerinin belgelenmesi (kaynaktan
bağımsız olarak) ve süreç işlemlerinin geçerli kılınmasının yanı sıra geçerli kılma yöntemlerini belirle. Veri kaynakları dahil olmak üzere belirlenmiş
çıktıları tasarla.
4. Her türlü otomasyonlu veri alışverişi dahil olmak üzere sistem/çözüm arayüzünü tasarla.
5. Verilerin saklanması, yeri, erişimi ve geri kazanılabilirliğini tasarla.
6. Uygun yedekleme, kurtarma ve kopyalamayı tasarla.
7. Kullanıcı ve sistem uygulaması arasındaki arayüzü, kullanım kolaylığı ve kendiliğinden belgeleme sağlamak amacıyla tasarla.
8. Hesaplanan varlıkların sayısı, bant genişliği şiddeti ve bilgilerin zaman hassasiyetine duyarlı olan altyapı performansı için çözüm ihtiyacı etkisini göz
önünde bulundur.
9. Gerekli olduğu takdirde iyileştirmeleri belirleyerek, yaşam döngüsü boyunca tasarımın zayıf yönlerini (ör., tutarsızlıklar, açıklık eksikliği, potansiyel
kusurlar) önceden önlemler alarak değerlendir.
10. İşlemleri denetlemek ve işlem hatalarının kök nedenlerini belirlemek amacıyla bir imkan sağla.
BAI03.03 Çözüm bileşenlerini oluştur Kaynak Açıklama Açıklama Hedef
Detaylandırılmış tasarıma uygun olarak, geliştirme BAI02.02 Fizibilite çalışması raporu Belgelendirilmiş çözüm BAI04.03
yöntemleri ve belgeleme standartları, kalite güvence bileşenleri BAI05.05
(QA) gereksinimleri ve onay standartlarını izleyerek BAI02.04 Gereksinimler ve önerilen
çözümlere dair sponsor BAI08.03
çözüm bileşenlerini derece derece oluştur. İş süreçleri, BAI08.04

destekleyici BT uygulamaları ve altyapı hizmetleri, onayları
hizmetler ve teknoloji ürünleri ve ortaklar/tedarikçilere
dair tüm kontrol gereksinimlerinin ele alındığından emin
ol.
Faaliyetler
1. Üzerinde anlaşılmış olan şartnameler ve iş, fonksiyonel ve teknik gereksinimler bazında iş süreçleri, destekleyici hizmetler, uygulamalar ve altyapı ve
bilgi havuzları oluştur.
2. Çözüm geliştirilmesine üçüncü şahıs tedarikçiler dahil olduğunda, bakım, destek, geliştirme standartları ve ruhsatlandırmanın ele alındığından ve
sözleşmeden kaynaklanan yükümlülüklere uyulduğundan emin ol.
3. Etkilenen tüm paydaşların aktif katılımından emin olarak, değişiklik talepleri ve tasarım, performans ve kalite gözden geçirmelerini izle.
4. Tüm çözüm bileşenlerini tanımlanmış standartlara uygun olarak belgele ve geliştirilen tüm bileşenler ve ilişkili belgeler üzerinde versiyon kontrolünü
sürdür.
5. Çözüm uyarlama ve konfigürasyonun, tedarik edilen çözümün performansı ve verimi üzerindeki ve mevcut uygulamalar, işletim sistemleri ve diğer
altyapıyla birlikte çalışabilirlik üzerindeki etkisini değerlendir. Gerekli olduğu takdirde, uygulama yetkinliğini arttırmak amacıyla iş süreçlerini uyarla.
6. Yüksek güvenlik veya sınırlı erişimli altyapı bileşenlerinin kullanımına dair sorumlulukların, altyapı bileşenlerini geliştiren ve entegre eden kişilerce
açıkça tanımlandığından ve kavrandığından emin ol. Bunların kullanımı izlenmeli ve değerlendirilmelidir.
BAI03.04 Çözüm bileşenlerini tedarik et Kaynak Açıklama Açıklama Hedef
Gereksinimler ve detaylandırılmış tasarımlar, mimari BAI02.04 Gereksinimler ve önerilen Onaylanmış tedarik planı APO10.03
prensipler ve standartlar ve kurum genel tedarik çözümlere dair sponsor
ve sözleşme prosedürleri, kalite güvence (QA) Varlık envanteri BAI09.01
onayları güncellemeleri
gereksinimleri ve onay standartlarına uygun tedarik
planı bazında çözüm bileşenlerini tedarik et. Tüm
yasa ve sözleşmeye ilişkin gereksinimlerin tedarikçi
tarafından belirlendiğinden ve ele alındığından emin ol.
Faaliyetler
1. Projenin yaşam süresi boyunca yetkinlik ilaveleri, dönüşüm maliyetleri, risk ve iyileştirmelere dair gelecekteki esnekliği göz önünde bulundurarak,
çözüm bileşenlerinin tedariğine yönelik bir planı oluştur ve sürdür.
2. Kurum mimari standartlarıyla risk, maliyetler, faydalar ve teknik uyum göz önünde bulundurarak tüm tedarik planlarını gözden geçir ve onayla.
3. Tedarik edilen çözümün faydalarını arttırmak amacıyla, tedarik edilen çözümlerin iş süreci uyarlaması gerektirme derecesini değerlendir ve belgele.
4. Tedarik süreçleri sırasında ana karar noktalarında gerekli olan onayları takip et.
5. Tüm altyapı ve yazılım tedariklerinin alındı kayıtlarını bir varlık envanterinde tut.
138
Bölüm 5

BAI03.05 Çözümleri oluştur Kaynak Açıklama Açıklama Hedef
Çözümleri tesis et ve yapılandır ve iş süreç faaliyetleriyle Entegre ve yapılandırılmış BAI06.01
entegre et. Kaynakları korumak ve kullanılabilirlik ve veri çözüm bileşenleri
bütünlüğünden emin olmak için, konfigürasyon sırasında
ve donanım ve altyapı yazılımının entegrasyonu
sırasında kontrol, güvenlik ve denetlenebilirlik ölçütlerini
uygula. Yeni çözümleri yansıtacak şekilde hizmet
listesini güncelle.
Faaliyetler
1. Detaylandırılmış şartnameler ve kalite gereksinimleriyle uyumlu olarak iş ve BT çözüm bileşenleri ve bilgi havuzlarını entegre et ve yapılandır. İş
süreçleri konfigürasyonunda kullanıcılar, iş paydaşları ve süreç sahibi görevlerini göz önünde bulundur.
2. Gerekli olduğu takdirde, uygulamaya özgü her türlü özelleştirme veya özel şartları göz önünde bulunduran iş süreci ve operasyon el kitaplarını
tamamla ve güncelle.
3. Çözüm bileşeni entegrasyonu ve konfigürasyonunda, uygun olduğu takdirde, süreç doğru, tam, zamanında, yetkilendirilmiş ve denetlenebilir olacak
şekilde, iş kontrollerinin otomasyonlu uygulama kontrolleri halinde uygulanması dahil olmak üzere her türlü ilişkili bilgi kontrol gereksinimini göz
önünde bulundur.
4. Kaynakları korumak, kullanılabilirlik ve veri bütünlüğünden emin olmak için, konfigürasyon sırasında ve donanım ve altyapı yazılımının entegrasyonu
sırasında denetim izlerini uygula.
5. Birleşik özelleştirme ve konfigürasyonların (resmi tasarım şartlarına tabi olmayan küçük değişiklikler dahil) etkisinin ne zaman çözüm ve ilişkili
fonksiyonelliğe ait yüksek seviyeli bir tekrar değerlendirme gerektirdiğini tetkik et.
6. Çözüm bileşenlerinin, destekleyici testler ile birlikte, tercihen otomasyonlu olarak çalışabildiğinden emin ol.
7. İş süreç gereksinimlerini yerine getirmek amacıyla tedarik edilen uygulama yazılımını yapılandır.
8. İş gereksinimleri bazında, ilgili iç ve dış hedef gruplarına yönelik hizmet listelerini tanımla.

BAI03.06 Kalite güvencesini (QA) gerçekleştir Kaynak Açıklama Açıklama Hedef
Gereksinimler tanımı ve kurum kalite politikaları ve APO11.01 Kalite yönetim sistemi Kalite güvence (QA) planı APO11.04
prosedürlerinde belirtilen kaliteyi elde etmek amacıyla (QMS) etkinlik incelemesi
kalite yönetim sistemi (QMS) ile uyumlu olan bir kalite sonuçları
güvence planını oluştur, kaynak yarat ve yürüt.
BAI01.09 Kalite yönetim planı Kalite gözden geçirme APO11.04
sonuçları, beklentileri ve
düzeltmeleri
Faaliyetler
1. Örneğin kalite kriterlerinin şartnamesi, geçerli kılma ve doğrulama süreçleri, kalitenin nasıl gözden geçirileceğinin tanımı, kalite gözden geçiricilerine
ait gerekli nitelikler ve kalitenin sağlanmasında görev ve sorumluluklar dahil olmak üzere bir kalite güvence (QA) planı ve uygulamalarını tanımla.
2. Proje gereksinimleri, kurum politikaları, geliştirme metodolojisine uygunluk, kalite yönetim prosedürleri ve kabul kriterleri bazında çözüm kalitesini sık
sık izle.
3. Uygun olduğu takdirde, kod denetimi, test güdümlü geliştirme uygulamaları, otomasyonlu test, sürekli entegrasyon, ön izlemeler ve uygulama testlerini
uygula. İzleme süreci ve test çıktılarını uygulama yazılım geliştirme takımı ve BT yönetimine rapor et.
4. Tüm kalite istisnalarını izle ve tüm düzeltici aksiyonları uygula. Tüm gözden geçirmeler, sonuçlar, istisnalar ve düzeltmelerin bir kaydını sürdür. Uygun
olduğu takdirde, tekrar çalışma miktarı ve düzeltici aksiyona göre kalite gözden geçirmelerini tekrarla.
BAI03.07 Çözüm testini hazırla Kaynak Açıklama Açıklama Hedef
İş süreçleri ve destekleyici hizmetler, uygulamalar ve Test planı BAI07.03
altyapı dahil olmak üzere ayrı ayrı ve entegre çözüm
bileşenlerini test etmek için bir test planı ve gerekli Test prosedürleri BAI07.03
ortamları oluştur.
Faaliyetler
1. Kurum ortamı ve stratejik teknoloji planlarıyla uyumlu olan, çözümün güncel ortamda başarılı şekilde uygulanacağı ve istenilen sonuçları tedarik
edeceğini ve kontrollerin yeterli olduğunun geçerli kılınmasına yardımcı olan uygun test ve simülasyon ortamının oluşturulmasını sağlayan bir entegre
test planı ve uygulamalarını oluştur.
2. Çözümün tam kapsamını destekleyen ve iş süreçleri ve prosedürleri, kullanıcı yelpazeleri, işlem tipleri ve uygulama koşulları dahil olmak üzere gerçek
dünya koşullarını mümkün olduğu kadar yakın şekilde yansıtan bir test ortamı oluştur.
3. Plan ve uygulamalarla uyumlu olan test prosedürlerini oluştur ve çözümün gerçek dünya koşullarında çalışmasının değerlendirilmesini sağla. Test
prosedürlerinin kontrollerin yeterliliğini, görevler, sorumluluklar ve test kriterlerini tanımlayan kurum çapında standartlar bazında değerlendirdiğinden
ve proje paydaşları ve sponsor/iş süreç sahibi tarafından onaylandığından emin ol.
139

BAI03.08 Çözüm testi yürüt Kaynak Açıklama Açıklama Hedef
Testleri, geliştirme sırasında, kontrol testleri dahil APO04.05 Reddedilen insiyatiflerin Test sonucu kronolojik BAI07.03
olmak üzere, uygun ortamda tanımlanmış test planı ve analizi kaydı ve denetim izleri
geliştirme prosedürlerine uygun şekilde sürekli olarak
gerçekleştir. Test takımında iş süreç sahipleri ve son Test sonucu bildirimleri BAI07.03
kullanıcıları birleştir. Test sırasında belirlenen hataları ve
sorunları belirle, kronolojik kaydını tut ve önceliklendir.
Faaliyetler
1. Çözümler ve bunların bileşenlerine dair testleri test planına göre gerçekleştir. Çözüm takımından bağımsız olarak, örnek iş süreç sahipleri ve son
kullanıcılardan test yapan kişileri dahil et. Testin sadece geliştirme ve test ortamlarında gerçekleştirildiğinden emin ol.
2. Test planında tanımlandığı üzere, açıkça tanımlanmış test talimatlarını kullan ve otomasyonlu senaryo testleri ve interaktif kullanıcı testi arasında
uygun bir dengeyi göz önünde bulundur.
3. Tüm testleri, iş süreçleri ve BT çözüm bileşenlerinin ve fonksiyonel olmayan gereksinimlerin (ör., güvenlik, birlikte çalışabilirlik, kullanılabilirlik)
entegrasyonu dahil olmak üzere, test planı ve uygulamalarına göre gerçekleştir.
4. Test sırasındaki hataları belirle, kronolojik olarak kaydet ve sınıflandır (ör., küçük, önemli ve görev için kritik). Önemli tüm hatalar çözümlenen kadar
testleri tekrar et. Test sonuçlarına dair bir denetim izinin sürdürüldüğünden emin ol.
5. Test planına göre test sonuçlarını kaydet ve test sonuçlarını paydaşlara bildir.
BAI03.09 Gereksinimlere yapılacak değişiklikleri Kaynak Açıklama Açıklama Hedef
yönet APO04.05 Kavram kanıtlama Onaylanmış ve uygulanmış BAI06.03
Proje yaşam döngüsü boyunca her gereksinimin insiyatiflerinden gelen tüm değişiklik taleplerinin
(reddedilen tüm gereksinimler dahil) durumunu izle ve sonuçlar ve öneriler kaydı
gereksinimlere yapılacak değişikliklerin onayını yönet.
BAI02.01 Gereksinim değişiklik
talepleri kaydı
Faaliyetler
1. Tüm çözüm değişiklik taleplerinin çözüm geliştirilme, orijinal iş gerekçesi ve bütçe üzerindeki etkisini değerlendir ve bunları uygun şekilde sınıflandır
ve önceliklendir.
2. Tüm paydaşların değişiklikleri izlemesini, gözden geçirmesini ve onaylamasını sağlayarak gereksinimlere yapılacak değişiklikleri izle. Değişiklik süreci
sonuçlarının tüm paydaşlar ve sponsor/iş süreç sahibi tarafından tamamıyla kavrandığından ve üzerinde anlaşıldığından emin ol.
3. Çözüm bileşenlerinin entegrasyon ve konfigürasyon bütünlüğünü sürdürerek değişiklik taleplerini uygula. Her türlü büyük çözüm geliştirilmesine dair
etkileri değerlendir ve ilişkili risk analizinin sonuçları (mevcut sistemler ve süreçler veya güvenlik üzerindeki etki gibi), maliyet-fayda gerekçeleri ve
diğer gereksinimler bazında üzerinde anlaşılmış olan objektif kriterlere (kurum gereksinimleri gibi) göre sınıflandır.
BAI03.10 Çözümleri sürdür Kaynak Açıklama Açıklama Hedef
Çözüm ve altyapı bileşenlerinin bakımına yönelik Bakım planı APO08.05
bir plan oluştur ve yürüt. İş ihtiyaçları ve operasyon
gereksinimlerine göre düzenli aralıklarla gözden Güncellenmiş çözüm BAI05.05
geçirmelere yer ver. bileşenleri ve ilişkili
belgelendirme
Faaliyetler
1. Çözüm bileşenlerinin bakımına yönelik olarak, yama yönetimi, iyileştirme stratejileri, risk, zayıflıkların değerlendirilmesi ve güvenlik gereksinimleri gibi
iş ihtiyaçları ve operasyon gereksinimlerine göre düzenli aralıklarla yapılan gözden geçirmeleri içeren bir plan oluştur ve yürüt.
2. Güncel çözüm tasarımı, fonksiyonellik ve/veya iş süreçleri konusunda önerilen bakım faaliyetinin önemini değerlendir. Risk, kullanıcı etkisi ve kaynak
kullanılabilirliğini göz önünde bulundur. İş süreç sahiplerinin, değişiklikleri bakım olarak uygulamanın etkisini kavradığından emin ol.
3. Mevcut çözümlere yapılacak, güncel tasarımlar ve/veya fonksiyonellikte ve/veya iş süreçlerinde önemli değişikliklerle sonuçlanan büyük çaptaki
değişiklikler durumunda, yeni sistemler için kullanılan geliştirme sürecini takip et. Bakım güncellemeleri için, değişiklik yönetim sürecini kullan.
4. Bakım faaliyetlerinin düzen ve hacminin, altta yatan kalite veya performans problemleri, büyük çapta iyileştirme veya bakım yerine yenileme maliyet/
faydasını gösteren anormal eğilimler konusunda düzenli aralıklarla analiz edildiğinden emin ol.
5. Bakım güncellemeleri için, tüm bakım taleplerini kontrol etmek amacıyla değişiklik yönetim sürecini kullan.
140
Bölüm 5

BAI03.11 BT hizmetlerini tanımla ve hizmet Kaynak Açıklama Açıklama To
portföyünü sürdür EDM04.01 Kaynak ve yetkinliklerin Hizmet tanımları APO05.01
Yeni veya değiştirilmiş BT hizmetleri ve hizmet seviyesi tahsisi için rehber DSS01.03
seçeneklerini tanımla ve üzerinde anlaş. Yeni veya prensipler
değiştirilmiş hizmet tanımlarını ve hizmetler portföyünde
güncellenecek olan hizmet seviyesi seçeneklerini APO02.04 • Hedef ortamına yönelik Güncellenmiş hizmet APO05.05
belgele. değer fayda bildirimi portföyü
•Hedef yeterliliğinin
sağlanmasındaki
eksiklikler ve gerekli olan
değişiklikler
APO06.03 • Bütçe bildirimleri
APO08.05 Potansiyel iyileştirme
projelerinin tanımı
BAI10.02 Konfigürasyon referans
değeri
BAI10.03 Onaylanmış referans değer
değişiklikleri
BAI10.04 Konfigürasyon durum
raporları
Faaliyetler
1. Hizmetlerin amaca uygun olmasını sağlamak amacıyla yeni veya değiştirilmiş BT hizmetleri tanımlarını öngör. Önerilen hizmet tanımlarını, geliştirilecek

hizmetlerin portföy listesinde belgele.
2. BT hizmetlerinin amaca uygun olmasını sağlamak amacıyla yeni veya değiştirilmiş hizmet seviyesi seçeneklerini (hizmet süreleri, kullanıcı
memnuniyeti, sağlanabilirlik, performans, kapasite, güvenlik, süreklilik, uyum ve kullanılabilirlik) öngör. Önerilen hizmet seçeneklerini portföyde
belgele.
3. İş ilişkileri yönetimi ve portföy yönetimi arasında, önerilen hizmet tanımları ve hizmet seviyesi seçenekleri üzerinde anlaşmak amacıyla bağlantı sağla.
4. Hizmet değişikliği, üzerinde anlaşılmış olan onay yetkisi dahilinde olduğunda, yeni veya değiştirilmiş BT hizmetlerini veya hizmet seviyesi seçeneklerini
oluştur. Aksi takdirde, hizmet değişikliğini yatırım gözden geçirmesi amacıyla portföy yönetimine devret.

Yok
141

142
Bölüm 5
Alan: Yönetim
BAI04 Kullanılabilirlik ve Kapasiteyi Yönet Etki alanı: İnşa Et, Tedarik Et ve Uygula
Düşük maliyetli hizmet tedariği ile kullanılabilirlik, performans ve kapasiteye yönelik şimdiki ve gelecekteki ihtiyaçları dengele.
Belirlenen gereksinimleri karşılamaya yönelik eylemleri planlamak ve uygulamak amacıyla, güncel yetkinliklerin değerlendirilmesi, iş
gereksinimleri, iş etki analizleri ve risk değerlendirmesi bazında gelecekteki ihtiyaçların tahminine yer ver.
Gelecekteki performans ve kapasite gereksinimlerinin tahmin edilmesi sayesinde hizmet kullanılabilirliği, verimli kaynak yönetimi ve
sistem performansı optimizasyonunu sürdür.
07 BT hizmetlerinin iş gereksinimlerine uyumlu olarak sağlanması • BT hizmet olayları nedeniyle oluşan iş kesintilerinin
sayısı
• BT hizmet tedariğinin üzerinde anlaşılmış hizmet
seviyelerini karşılamasından memnun iş paydaşlarının
yüzdesi
• BT hizmetinin sağlandığı kaliteden memnun
kullanıcıların yüzdesi
• BT-Bağlantılı maliyetler ve yetkinlikler konusunda iş
idarecileri ve BT yöneticilerinin memnuniyet dereceleri
14 Karar alma için güvenilir ve yararlı bilgilerin kullanılabilirliği • Yönetim bilgilerinin kalitesi ve zamanlaması
(veya kullanılabilirliği) konusunda iş kullanıcısı
•Bilgilerin kullanılamamasından kaynaklanan iş süreç

•Hatalı veya kullanılamayan bilgilerin ana faktör olduğu
hatalı ticari kararların oranı ve kapsamı
1. Kullanılabilirlik planı, kritik kapasite gereksinimlerine dair iş beklentilerini • Planlanmamış kapasite, performans veya
önceden görür. kullanılabilirlik iyileştirmelerinin sayısı
2. Kapasite, performans ve kullanılabilirlik gereksinimleri karşılar. • Hedef performansın geçildiği işlem tavanlarının sayısı
• Kullanılabilirlik olaylarının sayısı
• Kapasitenin planlanan limitleri aşma olaylarının sayısı
3. Kullanılabilirlik, performans ve kapasite sorunları belirlenir ve rutin olarak • Çözülmemiş kullanılabilirlik, performans ve kapasite
çözülür. sorunlarının sayısı ve yüzdesi
143
BAI04 SMDB Tablosu




Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
BAI04.01
Güncel kullanılabilirlik,
performans ve kapasiteyi B D D M S D D
değerlendir ve bir referans
değeri oluştur
BAI04.02
İş etkisini değerlendir M D D S S D D
BAI04.03
Yeni veya değiştirilmiş hizmet S D D M S D D
gereksinimlerini planla
BAI04.04
Kullanılabilirlik ve kapasiteyi izle S D D M S D D
ve gözden geçir
BAI04.05
Kullanılabilirlik, performans ve
kapasite sorunlarını araştır ve B S B S D M S B B
ele al

BAI04.01 Güncel kullanılabilirlik, performans ve Kaynak Açıklama Açıklama Hedef
kapasiteyi değerlendir ve bir referans değeri oluştur BAI02.01 Gereksinimlerin tanım Kullanılabilirlik, performans İçsel
İş ihtiyaçlarını desteklemek ve hizmet seviyesi havuzu ve kapasite referans
anlaşmalarına (SLA) göre tedarik etmek için değerleri
kullanılabilecek şekilde gerekçeli maliyette kapasite
ve performansı sağlamak amacıyla kullanılabilirlik, BAI02.03 Gereksinimler risk kaydı Hizmet seviyesi APO09.05
performans ve kapasite hizmetlerini değerlendir. anlaşmalarına (SLA’lar)
İleride yapılacak bir karşılaştırma için, kullanılabilirlik, göre değerlendirmeler
performans ve kapasite referans değerlerini oluştur.
Faaliyetler
1. Hizmetler ve kaynakların kullanılabilirlik, performans ve kapasite değerlendirmesinde müşteri gereksinimleri, iş öncelikleri, iş amaçları, bütçe etkisi,
kaynak kullanımı, BT yetkinlikleri ve endüstri eğilimlerini (şimdiki ve tahmin edilen) göz önünde bulundur.
2. Tanımlanmış eşik değerlerine göre, gerekli olduğunda otomasyonlu yazılımlarla desteklenmiş olarak, fiili performans ve kapasite kullanımını izle.
3. Yetersiz performans veya kapasitenin neden olduğu tüm olayları belirle ve izle.
4. Tüm süreç seviyelerine dair güncel performans seviyelerini (iş talebi, hizmet kapasitesi ve kaynak kapasitesi), eğilimlere ve hizmet seviyesi
anlaşmalarına (SLA’lar) göre karşılaştırarak, ortamdaki değişiklikleri de hesaba katarak düzenli aralıklarla değerlendir.
144
Bölüm 5

BAI04.02 İş etkisini değerlendir Kaynak Açıklama Açıklama Hedef
Kurum için önemli hizmetleri belirle, hizmetler ve BAI03.02 İç ve dış hizmet seviyesi Kullanılabilirlik, performans İçsel
kaynakları iş süreçlerine eşleştir ve iş bağımlılıklarını anlaşmaları (SLA’lar) ve kapasite senaryoları
belirle. Kullanılabilir olmayan kaynakların etkisi üzerinde
tamamıyla anlaşıldığından ve müşteri tarafından
onaylandığından emin ol. Çok önemli iş fonksiyonları Kullanılabilirlik, performans İçsel
için, hizmet seviyesi anlaşması (SLA) kullanılabilirlik ve kapasite iş etkisi
gereksinimlerinin yerine getirilebileceğinden emin ol. değerlendirmeleri
Faaliyetler
1. Sadece kullanılabilirlik ve kapasite yönetim sürecinde önemli olan çözümler veya hizmetleri belirle.
2. Seçilen çözümler veya hizmetleri, kullanılabilirlik planlamasına yönelik önemli kaynaklara odaklanılmasını sağlamak amacıyla bağlı oldukları
uygulamalar ve altyapıya (BT ve hizmet) eşleştir.
3. Geçmişteki başarısızlıklar ve performans izlemesine ait kronolojik kayıtlardan kullanılabilirlik düzenlerine dair verileri topla. Geçmiş kullanım eğilimleri
ve yeni ortam veya kullanıcı koşullarına ait yönetim beklentileri bazında başarısızlıkların tahmin edilmesine yardımcı olan modelleme araçlarını kullan.
4. Kullanılabilirlik performans amacını gerçekleştirmek için gereken çeşitli potansiyel kapasite seviyesini örneklerle açıklamak amacıyla, toplanan veriler
bazında, gelecekteki kullanılabilirlik durumlarını açıklayan senaryoları oluştur.
5. Kullanılabilirlik performans amacının senaryolara göre gerçekleştirilememe ihtimalini belirle.
6. Senaryoların iş performans ölçümleri (ör., gelir, kar, müşteri hizmetleri) üzerindeki etkisini belirle. Etki değerlendirmesini kavramak amacıyla, iş kolu,
fonksiyonel (özellikle finans) ve bölgesel liderleri bir araya getir.
7. İş süreç sahiplerinin, bu analizin sonuçlarını tam olarak kavradığından ve üzerinde anlaştığından emin ol. İş sahiplerinden, riski kabul edilebilir
seviyelere indirmek amacıyla yanıt gerektiren kabul edilemeyecek risk senaryolarının bir listesini al.
BAI04.03 Yeni veya değiştirilmiş hizmet Kaynak Açıklama Açıklama Hedef

gereksinimlerini planla BAI02.01 Paydaş onaylı kabul Öncelikli iyileştirmeler APO02.02
Değişen iş ihtiyaçları ve hizmet gereksinimlerinin kriterleri
kullanılabilirlik, performans ve kapasite sonuçlarını
planla ve önceliklendir. BAI03.01 Onaylanmış yüksek Performans ve kapasite APO02.02
seviyeli tasarım şartnamesi planları
BAI03.02 Onaylanmış
detaylandırılmış tasarım
şartnamesi
BAI03.03 Belgelendirilmiş çözüm
bileşenleri
Faaliyetler
1. Hizmet eğilim analizinin kullanılabilirlik ve kapasite sonuçlarını gözden geçir.
2. Değişen iş ihtiyaçları ve iyileştirme fırsatlarının kullanılabilirlik ve kapasite sonuçlarını belirle. Kullanılabilirlik, performans ve kapasite planlarının
geçerliliğini denetlemek amacıyla modelleme tekniklerini kullan.
3. İhtiyaç duyulan iyileştirmeleri önceliklendir ve gerekçeli maliyette kullanılabilirlik ve kapasite planları oluştur.
4. Performans ve kapasite planları ve hizmet seviyesi anlaşmalarını (SLA’lar) gerçekçi, yeni önerilen ve/veya projeli iş süreçleri ve destekleyici hizmetler,
uygulamalar ve altyapı değişikliklerinin yanı sıra iş yükü seviyeleri dahil olmak üzere fiili performans ve kapasite kullanımı gözden geçirmeleri bazında
düzenle.
5. Yönetimin, güncel tahmin etme tekniklerini değerlendirmek ve mümkün olduğunda iyileştirmeler yapmak amacıyla fiili talep ile tahmin edilen tedarik
ve talep arasında karşılaştırmalar yaptığından emin ol.
145
BAI04 Süreç Uygulamaları, Girdiler/Çıktılar ve Faaliyetler (devamı)

BAI04.04 Kullanılabilirlik ve kapasiteyi izle ve Kaynak Açıklama Açıklama Hedef
gözden geçir Kullanılabilirlik, performans MEA01.03
Kullanılabilirlik, performans ve kapasiteyi izle, ölç, ve raporları
analiz et, rapor et ve gözden geçir Yerleşik referans
değerlerden sapmaları belirle. Her türlü önemli sorunu
ve değişikliği belirleyerek, gerekli olduğunda eylemleri
başlatarak ve çözülmemiş tüm sorunların izlendiğinden
emin olarak eğilim analizi raporlarını gözden geçir.
Faaliyetler
1. Bilgiyle Bağlantılı kaynakların tümüne ait kullanılabilirlik, performans ve kapasite iş yüküne dair izleme ve raporlama bilgilerini yönetime sağlamak
amacıyla bir veri toplama süreci oluştur.
2. Sonuçların BT ve iş yönetimi tarafından gözden geçirilmek ve kurum yönetimine bildirilmek için uygun bir formda düzenli aralıklarla raporlanmasını
sağla.
3. İzleme ve raporlama faaliyetlerini tekrarlayan kapasite yönetim faaliyetleri (izleme, analiz, uyumlama ve uygulama) halinde entegre et.
4. Kapasite raporlarını bütçelendirme süreçlerine ver.
BAI04.05 Kullanılabilirlik, performans ve kapasite Kaynak Açıklama Açıklama Hedef
sorunlarını araştır ve ele al Performans ve kapasite İçsel
Sapmaları, belirlenmiş kullanılabilirlik, performans ve eksiklikleri
kapasite sorunlarını araştırıp çözerek ele al.
Düzeltici aksiyonlar APO02.02
Acil üst bildirim prosedürü DSS02.02
Faaliyetler
1. İşlem tavanı ve iş yüküne dair uygun bir seviyede performans kullanılabilirliği sağlamak amacıyla tedarikçi ürün kılavuzlarından rehberlik al.
2. Güncel ve tahmin edilen performansın izlenmesine göre performans ve kapasite eksikliklerini belirle. Kaynakları sınıflandırmak ve önceliklendirmeye
imkan sağlamak amacıyla, bilinen kullanılabilirlik, süreklilik ve kurtarma şartnamelerini kullan.
3. Düzeltici aksiyonları (ör., performans ve kapasite sorunları belirlendiğinde iş yükünün aktarılması, görevlerin önceliklendirilmesi veya kaynakların
eklenmesi) tanımla.
4. Gerekli düzeltici aksiyonları uygun planlama ve değişiklik yönetim süreçleri halinde entegre et.
5. Acil kapasite ve performans problemleri durumunda hızlı çözüme ulaşmak için bir üst bildirim prosedürü tanımla.

ISO/IEC 20000 6.3 Hizmet süreklilik ve kullanılabilirlik yönetimi
ITIL V3 2011 • Hizmet Tasarımı, 4.4 Kullanılabilirlik Yönetimi
• Hizmet Tasarımı, 4.5 Kapasite Yönetimi
146
Bölüm 5
Alan: Yönetim
BAI05 Organizasyon Değişikliği Gerçekleştirmeyi Yönet Etki alanı: İnşa Et, Tedarik Et ve Uygula
Kurum çapında sürdürülebilir organizasyon değişikliğini, hızlı ve düşük riskle, tüm değişiklik yaşam döngüsünü ve etkilenen tüm paydaşlar ve iş ve BT’yi
kapsayarak başarılı şekilde uygulama olasılığını maksimuma çıkar.
Paydaşları iş değişikliğine hazırla ve görev ver ve başarısızlık riskini azalt.
08 Uygulama, bilgi ve teknoloji çözümlerinin yeterli kullanımı • Destekleyici BT ürün ve hizmetlerinden memnun iş süreç sahiplerinin
yüzdesi
•İş kullanıcılarının, teknolojik çözümlerin kendilerine ait süreçleri nasıl
desteklediğini kavrama seviyesi
•Eğitim ve kullanıcı rehberleri konusunda iş kullanıcılarının memnuniyet
derecesi
13 Fayda sağlayan programların zamanında, bütçe dahilinde, • Zamanında ve bütçesi dahilinde olan programların/projelerin sayısı
gereksinimleri karşılayacak şekilde ve kalite standartlarına uygun olarak • Program/proje kalitesi konusunda memnun paydaşların yüzdesi
sunulması • Kalite kusurları yüzünden önemli tekrar çalışma gerektiren programların
sayısı
17 İşte yenilik için bilgi birikimi, uzmanlık ve girişimcilik • BT yenilik olanaklarına dair iş idarecisinin farkında olma ve kavrama
seviyesi

1. Paydaşların değişiklik isteği kavranmıştır. • Paydaşların değişiklik isteme seviyesi
• Üst yönetim katılım seviyesi
2. Uygulama takımı yetkindir ve değişikliği gerçekleştirebilir. • Etkilenen paydaşların uygulama takımı konusunda memnuniyet oranları
• Belirlenmiş beceri veya kapasite sorunlarının sayısı
3. İstenilen değişiklik paydaşlar tarafından kavranmış ve kabul edilmiştir. • Kavrama seviyesi konusunda paydaş geri bildirimi
• Alınan sorgulamaların sayısı
4. Görev sahipleri değişikliği tedarik etme konusunda yetkilendirilmiştir. • Uygun şekilde tahsis edilen yetkinliği olan görev sahiplerinin yüzdesi
• Yetkilendirme konusunda görev sahipleri geri bildirimi
5. Görev sahipleri değişikliği uygulama, kullanma ve sürdürme konusunda • Eğitilmiş görev sahiplerinin yüzdesi
etkindir. • İlgili yetkinlikler konusunda görev sahiplerinin öz değerlendirmeleri
• Değişikliği uygulayan, kullanan ve sürdüren görev sahiplerinin
memnuniyet derecesi
6. Değişiklik yerleşik ve sürdürülebilirdir. • Değişiklik konusunda uygun şekilde eğitilmiş kullanıcı yüzdesi
• Kullanıcıların değişikliği benimsemesine dair memnuniyet seviyesi
147
BAI05 SMDB Tablosu




Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
BAI05.01
Değişiklik isteğini oluştur S M D D S D S S D S D D S D D D D D D
BAI05.02
Etkili bir uygulama takımını B B D M D D S S D D D S S D D D D D D
oluştur
BAI05.03
İstenilen vizyonu bildir M D D S B S B B B B B B S B B B B B B B B
BAI05.04
Görev sahiplerini güçlendir ve S M D D S D S D D S D D D D D D D
kısa dönem kazanımlarını belirle
BAI05.05
Operasyon ve kullanımı D M S S S D S S S S S S
gerçekleştir
BAI05.06
Yeni yaklaşımları yerleştir S S S M S S S D S S S S S S
BAI05.07
Değişiklikleri sürdür S S S S M S S S D S S S S S S
BAI05 Süreç Uygulamaları, Girdiler/Çıktılar ve Faaliyetler

BAI05.01 Değişiklik isteğini oluştur Kaynak Açıklama Açıklama Hedef
Öngörülen değişikliğin kapsam ve etkisini ve paydaşların APO11.03 Müşteri geri bildirimi dahil Değişiklik uygulayıcılarının İçsel
değişikliğe hazır olma/istekliliğini kavra. Paydaşların hizmet kalitesi sonuçları iletişimleri
değişimin başarılı şekilde uygulanmasını kabul etmeleri
ve istemelerini motive etme eylemlerini belirle. BAI02.01 • Paydaş onaylı kabul Değişikliği uygulamakla İçsel
kriterleri görevlendirilen yönetici
• Gereksinimlerin tanım kadro iletişimleri
havuzu
BAI02.03 • Risk azaltıcı eylemler
• Gereksinimler risk kaydı
BAI03.01 Onaylanmış yüksek
seviyeli tasarım şartnamesi
BAI03.02 Onaylanmış
detaylandırılmış tasarım
şartnamesi
Faaliyetler
1. Öngörülen değişikliğin kapsam ve etkisini, etkilenen muhtelif paydaşları, her bir paydaş grubu üzerindeki etkinin türü ve gerekli olan katılım ve güncel
değişikliğe hazır olma ve benimseme kabiliyetini değerlendir.
2. Değişiklik isteğinin oluşturulmasında bir temel olarak güncel sıkıntı noktaları, olumsuz olaylar, risk, müşteri memnuniyetsizliği ve iş problemlerinin yanı
sıra başlangıçtaki faydalar, gelecekteki fırsatlar ve ödüller ve rakiplerin avantajlarını belirle, kontrol altına al ve bildir.
3. Yönetim kurulu veya icra kurulu başkanından gelen ana bildirimleri değişikliğe bağlılığı göstermek amacıyla yayınla.
4. Paydaşları değişikliği istemeye yönlendirmek ve uyumlandırmak, motive etmek ve telkin etmek amacıyla üst yönetimden gelen şeffaf liderlik sağla.
148
Bölüm 5

BAI05.02 Etkili bir uygulama takımını oluştur Kaynak Açıklama Açıklama Hedef
Uygun üyelerin bir araya getirilmesi, güven yaratılması BAI02.01 Paydaş onaylı kabul Uygulama takımı ve BAI01.04
ve ortak hedefler ve etkinlik ölçümlerinin teşkil kriterleri görevleri
edilmesiyle etkili bir uygulama takımı oluştur.
Ortak vizyon ve hedefler BAI01.02
Faaliyetler
1. Gerekli miktarda zaman harcama ve bilgi birikimi ve uzmanlık, deneyim, itibar ve yetki katkısında bulunma kapasitesi olan uygun iş ve BT üyelerini
içeren etkili bir ana uygulama takımını belirle ve bir araya getir. Bağımsız bir görüş sağlamak veya beceri eksikliklerini ele almak amacıyla danışmanlar
gibi kurum dışı şahısların dahil edilmesini göz önünde bulundur. Vizyonu desteklemek ve değişiklikleri aşağı yönlü basamaklandırmak amacıyla ana
takımın çalışabileceği farklı kurum bölümleri dahilindeki potansiyel değişiklik aktörlerini belirle.
2. Etkili iletişim ve müşterek faaliyetlerle dikkatlice planlanmış organizasyonlar aracılığıyla ana uygulama takımı içinde güven yarat.
3. Kurum amaçlarını destekleyen ortak görüş ve hedefleri oluştur.
BAI05.03 İstenilen vizyonu bildir Kaynak Açıklama Açıklama Hedef
Değişikliğe dair istenilen vizyonu etkilenenlerin Vizyon iletişim planı BAI01.04
lisanıyla bildir. İletişim, üst yönetim tarafından yapılmalı
ve değişiklik gerekçeleri ve faydaları, değişiklik Vizyon iletişimleri BAI01.05
yapmamanın etkileri ve vizyon, yol haritası ve farklı
paydaşların gerekli katılımını içermelidir.
Faaliyetler
1. Ana hedef kitle grubu, bunların davranış profilleri ve bilgi gereksinimleri, iletişim kanalları ve prensiplerini ele almak amacıyla bir vizyon iletişim planı
oluştur.
2. İletişimi, kurumun uygun seviyelerinde plana uygun olarak sağla.

3. Birden fazla forum ve tekrarlama aracılığıyla iletişimi kuvvetlendir.
4. İstenilen vizyonun anlaşılma seviyesini kontrol et ve kadro tarafından vurgulanan her türlü soruna müdahale et.
5. Tüm liderlik seviyelerinin vizyonun gösterilmesiyle mesul olmasını sağla.
BAI05.04 Görev sahiplerini güçlendir ve kısa dönem Kaynak Açıklama Açıklama Hedef
kazanımlarını belirle COBIT dışında Kurum organizasyon yapısı Uyumlu insan kaynakları APO07.04
Yükümlülüklerin atandığından, eğitim sağlandığından ve performans amaçları
organizasyon yapıları ve insan kaynakları süreçlerinin
hizalandığından emin olarak uygulama görevleri olanları Belirlenmiş hızlı kazanımlar BAI01.04
güçlendir. Değişiklik gerçekleştirme perspektifinden Faydaların bildirilmesi BAI01.06
gerçekleştirilebilir ve önemli olan kısa dönem
kazanımlarını belirle ve bildir.
Faaliyetler
1. Vizyona uygun olan organizasyon yapılarını belirle, gerektiği takdirde uyumu sağlamak amacıyla değişiklikler yap.
2. Güçlü hissedecek şekilde uygun beceriler ve nitelikleri geliştirmesi gereken kadro eğitimini planla.
3. Vizyonu desteklemek amacıyla insan kaynakları süreçleri ve ölçüm sistemini (ör., performans değerlendirme, tazminat kararları, terfi kararları, işe alma
ve kiralama) hizala.
4. Gerekli değişikliğe direnmeyi sürdüren liderleri belirle ve yönet.
5. Hızlı kazanımlara yönelik fırsatları belirle, önceliklendir ve gerçekleştir. Bunlar, acil olarak ele alınması gereken güncel bilinen problemli alanlar veya dış
faktörlerle Bağlantılı olabilir.
6. Vizyonun doğru yolda olduğunu göstermek amacıyla etkilenen kişilere faydaları bildirerek gerçekleştirilen hızlı kazanımları destekle. Vizyonu hassas
şekilde hizala, liderlerin katılımını sağla ve momentum oluştur.
149

BAI05.05 Operasyon ve kullanımı gerçekleştir Kaynak Açıklama Açıklama Hedef
Gelecekteki durum ortamına dahil olanların tamamı BAI03.03 Belgelendirilmiş çözüm Operasyon ve kullanım APO08.04
kendi sorumluklarını uygulabilecekleri şekilde tüm bileşenleri planı BAI08.04
teknik, operasyon ve kullanım yönlerini planla ve uygula. DSS01.01
DSS01.02
DSS06.02
BAI03.10 Güncellenmiş çözüm Başarı ölçümleri ve APO08.05
bileşenleri ve ilişkili sonuçlar BAI07.07
belgelendirme BAI07.08
MEA01.03
Faaliyetler
1. Değişiklik operasyonu ve kullanımına yönelik olarak, gerçekleştirilen hızlı kazanımları bildiren ve oluşturan, daha kapsamlı dönüşümün ahlaki ve
kültürel yönlerini ele alan ve ortak olma ve sorumluluğu arttıran bir plan oluştur. Planın değişikliğe dair bütünsel bir bakış açısını kapsadığından
ve belgeleme (ör., prosedürler), mentorluk, eğitim, danışmanlık, bilgi aktarımı, gelişmiş anında canlıya geçiş sonrası destek ve sürekli destek
sağladığından emin ol.
2. Operasyonu gerçekleştir ve planı kullan. İnsanların değişiklik hakkında neler hissettiğini gösteren zor iş ölçütleri ve algılama ölçümleri dahil olmak
üzere başarı ölçütlerini tanımla ve gerekli olduğu takdirde iyileştirici aksiyonlar uygulayarak izle.
BAI05.06 Yeni yaklaşımları yerleştir Kaynak Açıklama Açıklama Hedef
Yeni yaklaşımları uygulanan değişiklikleri izleyerek, Uyum denetim sonuçları MEA02.02
operasyon ve plan kullanım etkinliğini değerlendirerek MEA03.03
ve düzenli iletişim sayesinde devam eden bir farkındalığı
sürdürerek yerleşik hale getir. Gerektiğinde uyumun Farkındalık iletişimleri İçsel
yerine getirilmesini içerebilecek düzeltici önlemler İnsan kaynakları APO07.04
uygula. performans gözden

Faaliyetler
1. Değişikliği pekiştirmek amacıyla başarıları kutla ve ödül ve takdir programları uygula.
2. Benimsemenin çok düşük olmasına dair kök nedenleri belirlemek amacıyla performans ölçüm sistemleri kullan ve düzeltici aksiyonlar uygula.
3. Normal günlük operasyonlarda süreç sahiplerinin mesul olmasını sağla.
4. Benimsemenin çok düşük olmasına dair kök nedenleri belirlemek amacıyla uyum denetimleri yap ve düzeltici aksiyonlar tavsiye et.
5. Değişiklik ve benimsenmesine dair düzenli iletişim sayesinde devam eden bir farkındalık sağla.
BAI05.07 Değişiklikleri sürdür Kaynak Açıklama Açıklama Hedef
Yeni kadronun etkili şekilde eğitilmesi, devam eden Bilgi aktarım planları BAI08.03
iletişim kampanyaları, kesintisiz üst yönetim bağlılığı, BAI08.04
benimsemeni izle ve kurum içinde öğrenilen derslerin
paylaşılması aracılığıyla değişiklikleri sürdür. Yönetim bağlılığı İçsel
bildirimleri
Operasyonel kullanım MEA02.02
gözden geçirmeleri
Faaliyetler
1. Değişikliği sürdürmek amacıyla yeni kadroya mentorluk, eğitim, danışmanlık ve bilgi aktarımı sağla.
2. Üst yönetim bağlılığını gösteren düzenli iletişim aracılığıyla değişikliği sürdür ve pekiştir.
3. Değişiklik operasyonu ve kullanımına dair düzenli aralıklarla gözden geçirmeler gerçekleştir ve iyileştirmeleri belirle.
4. Değişikliğin uygulanmasıyla ilgili öğrenilen dersleri elde et ve bilgiyi kurum içinde paylaş.

Kotter, John; Leading Change, Harvard Business School Press, ABD, 1996
150
Bölüm 5
Alan: Yönetim
BAI06 Değişiklikleri Yönet Etki alanı: İnşa Et, Tedarik Et ve Uygula
İş süreçleri, uygulamaları ve altyapıya ilişkin standart değişiklikler ve acil bakımlar dahil tüm değişiklikleri kontrollü bir şekilde yönet. Buna, değişiklik
standartları ve prosedürleri, etki değerlendirme, önceliklendirme ve yetkilendirme, acil değişiklikler, izleme, raporlama, kapanış ve belgeleme dahildir.
İş ile ilgili değişikliği hızlı ve güvenilir bir şekilde sağla ve değiştirilen ortamın istikrarı veya bütünlüğünü olumsuz yönde etkileyen riskin azaltılmasını
gerçekleştir.
04 Yönetilen BT-Bağlantılı iş riski • Risk değerlendirmesinin kapsadığı kritik iş süreçleri, BT hizmetleri ve BT etkin iş
programlarının yüzdesi
• Risk değerlendirmesinde belirlenmemiş olan önemli BT-Bağlantılı olayların sayısı
07 BT hizmetlerinin iş gereksinimlerine uyumlu olarak • BT hizmet olayları nedeniyle oluşan iş kesintilerinin sayısı
sağlanması • BT hizmet tedariğinin üzerinde anlaşılmış hizmet seviyelerini karşılamasından memnun
iş paydaşlarının yüzdesi
10 Bilgi, süreç altyapısı ve uygulamaların güvenliği • Finansal kayıp, iş kesintisi veya toplum önünde küçük düşmeye yol açan güvenlik
• Güvenlik şartları yerine getirilmemiş olan BT hizmetlerinin sayısı
• Üzerinde anlaşılmış hizmet seviyeleriyle karşılaştırıldığında erişim ayrıcalıklarının
verilme, değiştirilme ve kaldırılma süresi

1. Yetkilendirilmiş değişiklikler zamanında ve minimum • Hatalı değişikliklerin yol açtığı yeniden düzenleme miktarı
hatayla yapılır. •Değişiklikleri yapmak için daha az zaman ve çaba gereksinimi
•Birikmiş değişiklik taleplerinin sayısı ve süresi
2. Etki değerlendirmeleri, etkilenen tüm bileşenler üzerindeki •Yetersiz etki değerlendirmeleri nedeniyle başarısız değişikliklerin yüzdesi
etkiyi gözler önüne serer.
3. Tüm acil değişiklikler, değişiklik yapıldıktan sonra gözden • Toplam değişiklikler içinde acil düzeltmelerin yüzdesi
geçirilir ve yetkilendirilir. •Değişiklikten sonra yetkilendirilmemiş acil değişikliklerin sayısı
4. Ana paydaşlar değişikliğin tüm yönleriyle ilgili olarak •İletişim memnuniyetine dair paydaş geri bildirim oranları
sürekli şekilde bilgilendirilir.
BAI06 SMDB Tablosu





Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
BAI06.01
Değişiklik taleplerini değerlendir, M S D D D D S D S S D S D
önceliklendir ve yetkilendir
BAI06.02
Acil değişiklikleri yönet M B D D D S B S S B D
BAI06.03
Değişiklik durumunu izle ve D S D M S S S
rapor et
BAI06.04
Değişiklikleri kapat ve belgele M S S D D D S D S S B B
151

BAI06.01 Değişiklik taleplerini değerlendir, Kaynak Açıklama Açıklama Hedef
önceliklendir ve yetkilendir BAI03.05 Entegre ve yapılandırılmış Etki tespitleri İçsel
İş süreçleri ve BT hizmetleri üzerindeki etkiyi çözüm bileşenleri
belirlemek ve değişikliğin çalışma ortamını kötü
yönde etkileyip etkilemediğini ve istenilmeyen riskleri DSS02.03 Onaylanmış hizmet Onaylanmış değişiklik BAI07.01
getirip getirmediğini tespit etmek için tüm değişiklik talepleri talepleri
taleplerini değerlendir. Değişikliklerin kronolojik DSS03.03 Bilinen hatalar için önerilen
olarak kaydedildiğinden, önceliklendirildiğinden, çözümler
sınıflandırıldığından, değerlendirildiğinden,
yetkilendirildiğinden, planlandığından ve DSS03.05 Belirlenmiş sürdürülebilir Değişiklik plan ve BAI07.01
programlandığından emin ol. çözümler programı
DSS04.08 Onaylanmış plan
değişiklikleri
DSS06.01 Kök neden analizleri ve
tavsiyeler
Faaliyetler
1. İş süreci, altyapı, sistemler veya uygulamalara ilişkin değişiklikleri talep etmek üzere, iş süreç sahipleri ve BT’yi gerçekleştirmek için resmi değişiklik
talepleri kullan. Tüm bu değişikliklerin, sadece değişiklik talebi yönetim süreci ile meydana geldiğinden emin ol.
2. Talep edilen tüm değişiklikleri sınıflandır (Ör., iş süreci, altyapı, işletim sistemleri, ağlar, uygulama sistemleri, satın alınmış/ambalajlı uygulama yazılımı)
ve etkilenmiş konfigürasyon öğelerini ilişkilendir.
3. İş ve teknik şartlar, gerekli kaynaklar ve yasa, yönetmelik ve sözleşme gerekçeleri bazında talep edilen tüm değişiklikleri önceliklendir.
4. Tüm talepleri yapılandırılmış bir şekilde planla ve değerlendir. Etkilenen tüm bileşenlerin belirlendiğinden emin olmak amacıyla, iş süreci, altyapı,
sistemler ve uygulamalar, iş süreklilik planları (BCP’ler) ve hizmet tedarikçileri ile ilgili bir etki analizine yer ver. Çalışma ortamının kötü yönde
etkilenme olasılığı ve değişikliğin uygulanma riskini değerlendir. Talep edilen değişikliğe dair güvenlik, yasa, sözleşme ve uygunluk gerekliliklerini
göz önünde bulundur. Ayrıca değişiklikler arasında karşılıklı bağımlılıkları da göz önünde bulundur. Uygun olduğu takdirde iş süreç sahiplerini
değerlendirme sürecine dahil et.
5. Uygun olduğu takdirde, her değişikliği iş süreç sahipleri, hizmet yöneticileri ve BT teknik paydaşlarına resmi olarak onaylat. Düşük riskli ve nispeten
sık yapılan değişiklikler, standart değişiklikler olarak önceden onaylanmalıdır.
6. Onaylanmış tüm değişiklikleri planla ve programla.
7. Sözleşmeli hizmet tedarikçilerinin (ör., dış kaynak kullanımlı iş süreçleri, altyapı, uygulama geliştirme ve paylaşımlı hizmetler), organizasyona ait
değişiklik yönetim süreçlerinin, hizmet tedarikçilerinin değişiklik yönetim süreçleriyle entegrasyonu dahil, değişiklik yönetim süreci üzerindeki etkisini
ve sözleşme süresi ve hizmet sözleşmeleri (SLA) üzerindeki etkiyi göz önünde bulundur.
BAI06.02 Acil değişiklikleri yönet Kaynak Açıklama Açıklama Hedef
Başka olayların ortaya çıkmasını en aza indirmek Acil değişikliklerin İçsel
için acil değişiklikleri dikkatli şekilde yönet ve uygulama sonrasında
değişikliğin kontrol edildiğinden ve güvenli şekilde gözden geçirilmesi
gerçekleştirildiğinden emin ol. Acil değişikliklerin,
değişiklik yapıldıktan sonra uygun şekilde
değerlendirildiğini ve yetkilendirildiğini teyit et.
Faaliyetler
1. Bir acil değişikliği bildirmek, değerlendirmek, ön onayını vermek, değişiklik sonrasında yetkilendirmek ve kaydetmek için belgelenmiş bir prosedürün
mevcut olduğundan emin ol.
2. Değişiklik için tüm acil erişim düzenlemelerinin, değişiklik uygulandıktan sonra uygun şekilde yetkilendirildiğini, belgelendiğini ve iptal edildiğini teyit et.
3. Tüm acil değişiklileri izle ve ilişkili tüm tarafları dahil eden uygulama sonrası incelemeler yürüt. İncelemede, iş süreci, uygulama sistemi geliştirme
ve bakımı, geliştirme ve test ortamları, belgeleme ve talimatlar ve veri bütünlüğü ile ilgili problemler gibi kök nedenlere göre düzeltici aksiyonlar göz
önünde bulundurmalı ve başlatılmalıdır.
4. Bir acil değişikliği oluşturan nedeni belirle.
152
Bölüm 5

BAI06.03 Değişiklik durumunu izle ve rapor et Kaynak Açıklama Açıklama Hedef
Reddedilen değişiklikleri belgelemek, onaylanmış BAI03.09 Onaylanmış ve uygulanmış Değişiklik talebi durum BAI01.06
ve süreç içi değişikliklerin durumunu bildirmek ve tüm değişiklik taleplerinin raporları BAI10.03
değişiklikleri tamamlamak için izleme ve raporlama kaydı
sistemini sürdür.
Onaylanan değişikliklerin planlandığı şekilde
uygulandığından emin ol.
Faaliyetler
1. Değişiklik taleplerini (ör., reddedilen, onaylanan ancak başlatılmayan, onaylanan ve süreci devam eden ve kapatılan) izleme sürecinde sınıflandır.
2. Yönetim incelemesi ve detaylı değişiklik durumuyla birlikte genel durumun (ör., eski değişiklik taleplerinin analizi) izlenmesini sağlamak amacıyla
performans ölçütleri olan değişiklik durum raporları düzenle. Durum raporlarının bir denetleme izi oluşturduğundan emin ol, böylece değişiklikler daha
sonrasında ilk işlemden son işleme kadar izlenebilir.
3. Onaylanmış tüm değişikliklerin önceliklerine göre zamanında kapandığından emin olmak amacıyla, açık olan değişiklikleri izle.
4. Tüm değişiklik talepleri için bir izleme ve raporlama sistemini sürdür.
BAI06.04 Değişiklikleri kapat ve belgele Kaynak Açıklama Açıklama Hedef
Değişiklikler her uygulandığında, çözüm ve kullanıcı Değişiklik belgeleri İçsel
belgeleri ve değişiklikten etkilenen prosedürleri uygun
şekilde güncelle.
Faaliyetler
1. Değişiklikleri, değişikliğin entegre bir parçası olarak, değişiklik yönetim prosedüründeki belgelere (ör., iş ve BT çalışma prosedürleri, iş sürekliliği ve
felaket kurtarma belgeleri, konfigürasyon bilgisi, uygulama belgeleri, yardım ekranları ve eğitim materyalleri) ekle.
2. Değişiklik belgeleri ve ön-değişim ve değişim sonrası sistem ve kullanıcı belgeleri için uygun bir saklama süresi belirle.

3. Belgeleri, fiili değişiklik olarak aynı seviyedeki incelemeye tabi tut.

ISO/IEC 20000 9.2 Değişiklik Yönetimi
ITIL V3 2011 Hizmet Dönüşümü, 4.2 Değişiklik Yönetimi
153

154
Bölüm 5
Alan: Yönetim
BAI07 Değişiklik Kabul ve Dönüşümü Yönet Etki alanı: İnşa Et, Tedarik Et ve Uygula
Uygulama planı, sistem ve veri dönüşümü, kabul testi, iletişim, sürüm hazırlığı, yeni veya değiştirilmiş iş süreçleri ve BT hizmetlerinin üretimine geçiş,
erken üretim desteği ve uygulama sonrası gözden geçirme dahil olmak üzere yeni operasyonel çözümleri resmi olarak kabul et ve yap.
Çözümleri güvenli ve üzerinde anlaşılmış olan beklentiler ve çıktılarla uyumlu bir şekilde uygula.
08 Uygulama, bilgi ve teknoloji çözümlerinin yeterli kullanımı • Destekleyici BT ürün ve hizmetlerinden memnun iş süreç
sahiplerinin yüzdesi
•İş kullanıcılarının, teknolojik çözümlerin kendilerine ait süreçleri
nasıl desteklediğini kavrama seviyesi
•Eğitim ve kullanıcı rehberleri konusunda iş kullanıcılarının
memnuniyet derecesi
12 Uygulamalar ve teknolojinin iş süreçlerine entegre edilmesiyle iş süreçlerinin • Teknolojik entegrasyon hatalarının yol açtığı iş süreç
gerçekleştirilmesi ve desteklenmesi olaylarının sayısı
ilave maliyetler oluşturan BT etkin iş programlarının sayısı

1. Kabul testi, paydaş onayını sağlar ve uygulama ve dönüşüm planlarının tüm • Test sürecinin tamamlanması konusunda memnun
yönlerini hesaba katar. paydaşların yüzdesi
2. Sürümler, paydaşların hazır olmaları ve destekleriyle birlikte üretime geçmek üzere • Programı dahilinde sürüme hazır olmayan sürümlerin sayısı
hazırdır. ve yüzdesi
3. Sürümler başarılı şekilde gerçekleştirilir, istikrarlıdır ve beklentileri karşılar. • Kabul edilebilir bir süre içinde istikrar kazanmayan sürümlerin
sayısı veya yüzdesi
• Aksama süresine neden olan sürümlerin yüzdesi
4. Gelecekteki sürümlere katkıda bulunacak dersler öğrenilmiştir. • Tamamlanmış kök neden analizlerinin sayısı ve yüzdesi
155
BAI07 SMDB Tablosu




Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
BAI07.01
Bir uygulama planını oluştur D S M D S D D S D S D S S S D
BAI07.02
İş süreci, sistem ve veri D S M D S D D S D S D S S S D
dönüşümünü planla
BAI07.03
Kabul testlerini planla M S S B D B S S B S S D
BAI07.04
Bir test ortamını oluştur M S S B B S S B S S D
BAI07.05
Kabul testlerini gerçekleştir M S S B B S S B S S D
BAI07.06
Üretime geçilmesi ve sürümleri S M B B S S S B B B

yönet
BAI07.07
Erken üretim desteği sağla S M B B S S S B B B
BAI07.08
Uygulama sonrası gözden S M B D D B S S S D B B
geçirme gerçekleştir

BAI07.01 Bir uygulama planını oluştur Kaynak Açıklama Açıklama Hedef
Sistem ve veri dönüşümü, kabul testi kriterleri, iletişim, BAI01.09 Kalite yönetim planı Onaylanmış uygulama İçsel
eğitim, sürüm hazırlığı, üretime geçiş, erken üretim planı
desteği, son çare/geri çekilme planı ve uygulama
sonrası gözden geçirmeyi kapsayan bir uygulama BAI06.01 • Değişiklik plan ve Uygulama geri çekilme ve İçsel
planını oluştur. İlgili taraflardan onay al. programı kurtarma süreci
•Onaylanmış değişiklik
talepleri
Faaliyetler
1. Kapsamlı uygulama stratejisi, uygulama adımları dizisi, kaynak gereksinimleri, karşılıklı bağımlılıklar, üretim uygulamasına dair yönetim kabul
kriterleri, kurulum doğrulama gereksinimleri, üretim desteği dönüşüm stratejisi ve iş süreklilik planlarının (BCP’ler) güncellenmesini yansıtan bir
uygulama planını oluştur.
2. Tüm uygulama planlarının teknik ve iş paydaşları tarafından onaylandığını ve uygun olduğu takdirde kurum içi denetim tarafından gözden geçirildiğini
teyit et.
3. Uygulamanın her adımına katılımlarına dair kurum dışı çözüm sağlayıcılardan taahhüt al.
4. Geri çekilme ve kurtarma süresini belirle ve belgele.
5. Uygulamayla ilişkili teknik ve iş riskini resmi olarak gözden geçir ve ana riskin göz önünde bulundurulduğundan ve planlama sürecinde ele
alındığından emin ol.
156
Bölüm 5

BAI07.02 İş süreci, sistem ve veri dönüşümünü Kaynak Açıklama Açıklama Hedef
planla Geçiş planı DSS02.06
Denetim izleri dahil olmak üzere kurum geliştirme
yöntemlerinin bir parçası olarak iş süreci, BT hizmet
verileri ve altyapı geçişi için hazırlıklı ol ve geçişin
başarısız olması durumunda bir kurtarma planı hazırla.
Faaliyetler
1. Bir iş süreci, BT hizmet verileri ve altyapı geçiş planı oluştur. Plan geliştirilirken örneğin donanım, ağlar, işletim sistemleri, yazılım, işlem verileri, ana
dosyalar, yedeklemeler ve arşivler, diğer sistemlerin arayüzleri (hem kurum içi ve hem de kurum dışı), olası uyum gereksinimleri, iş prosedürleri ve
sistem belgelerini göz önünde bulundur.
2. İş süreci dönüşüm planında gözden geçirilmiş görevler ve sorumluluklar ve kontrol prosedürleri dahil olmak üzere prosedürlere yapılacak tüm
düzenlemeleri göz önünde bulundur.
3. Veri dönüşüm planına dönüştürülecek verilerin toplanma, dönüştürülme ve doğrulanma ve dönüşüm sırasında bulunan her türlü hatanın belirlenme ve
çözülme yöntemlerini dahil et. Eksiksizlik ve bütünlük için orijinal ve dönüştürülmüş verilerin karşılaştırmasına yer ver.
4. Veri dönüşüm planının, iş gerekçeleriyle kesinlikle gerekli olmadığı sürece veri değerlerinde değişiklikler gerektirmediğini teyit et. Veri değerlerine
yapılan değişiklikleri belgele ve iş süreci veri sahibinden onay al.
5. Bir canlı dönüşüm gerçekleştirmeden önce dönüşümün provasını yap ve test et.
6. Risk yönetimi, iş ihtiyaçları veya yönetmelik /uyum gereksinimleri olduğunda, dönüşüm problemlerine ait risk, iş süreklilik planı ve iş sürecinde geri
çekilme prosedürleri, veri ve altyapı geçiş planını göz önünde bulundur.
7. Hiçbir işlem verisi kaybolmaksızın sorunsuz, sürekli bir dönüşüm olacak şekilde, dönüşüm geçişinin zamanlama ve eksiksizliğini koordine et ve
doğrula. Gerekli olduğu takdirde, hiçbir alternatif mevcut olmadığında, canlı operasyonları dondur.
8. Dönüşüm öncesinde tüm sistemleri ve alınan verilerin yedeklenmesini planla. Dönüşüm izinin takip edilmesini sağlamak amacıyla denetim izlerini
sürdür ve geçişin başarısız olması durumunda geçiş başlangıcına dönme ve bir önceki sürece geri çekilmeyi kapsayan bir kurtarma planının

olduğundan emin ol.
9. İş ihtiyaçları ve yönetmelik veya uyum gereksinimlerine uygun hareket etmek amacıyla yedek ve arşivlenmiş verilerin saklanmasını planla.
BAI07.03 Kabul testlerini planla Kaynak Açıklama Açıklama Hedef
Görevler, sorumluluklar ve giriş ve çıkış kriterlerini BAI01.09 Çıktıların bağımsız Onaylanmış kabul test BAI01.04
tanımlayan kurum çapındaki standartlar bazında bir test doğrulanmasına dair planı BAI01.08
planını oluştur. Planın ilgili taraflarca onaylandığından gereksinimler
emin ol.
BAI03.07 • Test prosedürleri
•Test planı
BAI03.08 •Test sonucu bildirimleri
•Test sonucu kronolojik
kaydı ve denetim izleri
Faaliyetler
1. Test planını program ve proje kalite planı ve ilgili organizasyon standartlarına uygun olarak geliştir ve belgele. Uygun iş süreç sahipleri ve BT
paydaşlarıyla iletişim kur ve danış.
2. Test planının, risk değerlendirmesini yansıttığından ve tüm fonksiyonel ve teknik gereksinimlerin test edildiğinden emin ol. Sistem arızası ve uygulama
hatalarına dair risk değerlendirmesi bazında, planda performans, stres, kullanılabilirlik, pilot ve güvenlik testine dair şartlar yer almalıdır.
3. Test planının, test süreci sonuçlarının (ör., finansal yönetmelikle ilgili şartlar) kurum içi ve dışı onay belgesi potansiyel ihtiyaçlarını ele aldığından emin ol.
4. Test planının, testi gerçekleştirmek ve sonuçları değerlendirmek için gerekli kaynakları belirlediğinden emin ol. Kaynak örneklerine test ortamlarının
oluşturulması ve test grubu için üretim veya geliştirme ortamlarındaki test personelinin potansiyel geçici yer değiştirilmesini içeren personel
zamanının kullanımı dahildir. Test planına ait kaynak tavsiyeleri konusunda paydaşlara danışıldığından emin ol.
5. Test planının, operasyon gereksinimleri ve ortama uygun test fazlarını belirlediğinden emin ol. Bu tip test fazlarının örneklerine birim testi, sistem testi,
entegrasyon testi, kullanıcı kabul testi, performans testi, stres testi, veri dönüşüm testi, güvenlik testi, operasyona hazır olma testi ve yedekleme ve
kurtarma testleri dahildir.
6. Test planının test hazırlığı (saha hazırlığı dahil), eğitim gereksinimleri, tanımlı bir test ortamının kurulum veya güncellenmesi, test vakalarının
planlanma/gerçekleştirilme/belgelenme/saklanması, hata ve problem idaresi, düzeltme ve üst bildirim ve resmi onayı göz önünde bulundurduğunu
teyit et.
7. Test planının, her test fazını ele alan açık başarı ölçüm kriterlerini oluşturduğundan emin ol. Başarı kriterlerinin tanımlanmasında iş süreç sahipleri ve
BT paydaşlarına danış. Planın, başarı kriterleri yerine getirilmediğinde (ör., test planında önemli başarısızlıklar durumunda, plan, bir sonraki faza geçilip
geçilmeyeceği, testin durdurulup durdulmayacağı veya uygulamanın ertelenip ertelenmeyeceği konusunda rehberlik sağlar) iyileştirme prosedürleri
oluşturmasını kararlaştır.
8. Tüm test planlarının uygun olduğu takdirde iş süreç sahipleri ve BT dahil paydaşlar tarafından onaylandığını teyit et. Bu paydaşların örnekleri uygulama
geliştirme yöneticileri, proje yöneticileri ve iş süreci son kullanıcılarıdır.
157

BAI07.04 Bir test ortamı oluştur Kaynak Açıklama Açıklama Hedef
Planlanmış iş süreci ve BT operasyon ortamları, Test verileri İçsel
performans ve kapasite, güvenlik, iç kontroller,
operasyon uygulamaları, veri kalitesi ve mahremiyet
gereksinimleri ve iş yüklerini temsil eden güvenli bir test
ortamını tanımla ve oluştur.
Faaliyetler
1. Üretim ortamını temsil eden test verilerine ait bir veritabanı oluştur. Test ortamında kullanılan verileri, iş ihtiyaçları ve organizasyon standartlarına (ör.,
uyum veya yönetmelik şartlarının arındırılmış verilerin kullanımını zorunlu hale getirip getirmediğine dikkat et) göre üretim ortamından arındır.
2. Hassas test verileri ve sonuçları, erişim, tutma, saklama ve imha dahil olmak üzere ifşa edilmeye karşı koru. Organizasyon sistemlerinin üçüncü
şahıslarla etkileşim etkisini göz önünde bulundur.
3. Test planının gerektirdiği şekilde, uygun gözden geçirme ve müteakip bir analiz sağlamak için test sonuçları, medya ve diğer ilişkili belgelerin uygun
şekilde tutulması veya imha edilmesini sağlayan bir süreci yerleşik hale getir. Yönetmelik ve uyum gereksinimlerine ait etkileri göz önünde bulundur.
4. Test ortamının, iş süreç prosedürleri ve görevler, olası iş yükü stresi, işletim sistemleri, gerekli uygulama yazılımı, veritabanı yönetim sistemleri ve
üretim ortamında bulunan ağ ve programlama altyapısı dahil olmak üzere gelecekteki iş ve operasyon manzarasını temsil ettiğinden emin ol.
5. Test ortamının, güvenli olduğundan ve üretim sistemleriyle etkileşime geçemediğinden emin ol.
BAI07.05 Kabul testlerini gerçekleştir Kaynak Açıklama Açıklama Hedef
Test, canlı operasyon ortamına geçiş öncesinde Test sonuçlarının kronolojik İçsel
tanımlanmış test planına uygun şekilde bağımsız olarak kaydı
değişir.
Kabul sonuçlarının BAI01.06
değerlendirilmesi
Üretime dair onaylanmış BAI01.04

kabul ve izin
Faaliyetler
1. Geliştirme takımı tarafından test sürecinde bulunan hataların sınıflandırılmış kronolojik kaydını, tüm hataların iyileştirildiği veya resmi olarak kabul
edildiğini doğrulatarak gözden geçir.
2. Başarı kriterlerine kıyasla son kabulü değerlendir ve son kabul testi sonuçlarını yorumla. Bunları, bilgilendirilmiş gözden geçirme ve değerlendirmenin
gerçekleşmesi için anlaşılır bir form halinde iş süreç sahipleri ve BT’ye sun.
3. Kabulü, üretime geçiş öncesinde iş süreç sahipleri, üçüncü şahıslar (uygun olduğunda) ve BT paydaşlarına resmi olarak imzalatarak onayla.
4. Değişiklik testinin, test planına göre ele alındığından emin ol. Testin, geliştirme takımından bağımsız bir test grubu tarafından tasarlandığı ve
yürütüldüğünden emin ol. İş süreç sahipleri ve son kullanıcıların test grubuna dahil olma seviyesini göz önünde bulundur. Testin sadece test ortamında
gerçekleştirildiğinden emin ol.
5. Testlerin ve öngörülen sonuçlarının, test planında bildirilen tanımlanmış başarı kriterlerine uygun olduğundan emin ol.
6. Testleri uygulamak için açıkça tanımlanmış test talimatlarının (komutlar) kullanımını göz önünde bulundur. Bağımsız test grubunun, her bir test
komutunu, test planında bildirilen test başarı kriterlerini uygun şekilde ele aldığını teyit etmek amacıyla değerlendirdiği ve onayladığından emin ol.
Sistemin güvenlik gereksinimlerini yerine getirme seviyesini doğrulamak amacıyla komutların kullanımını göz önünde bulundur.
7. Otomatik talimatlı testler ve interaktif kullanıcı testi arasında uygun bir dengeyi göz önünde bulundur.
8. Test planına uygun olarak güvenlik testleri yürüt. Güvenliğe ait zayıf yönler ve boşlukların kapsamını ölç. Test planının yapılmasından itibaren olan
güvenlik olaylarının etkisini göz önünde bulundur. Erişim ve sınır kontrolleri üzerindeki etkisini göz önünde bulundur.
9. Test planına uygun olarak sistem ve uygulama performans testlerini yürüt. Çeşitli performans ölçütlerini (ör., son kullanıcı cevap süreleri ve veritabanı
yönetim sistemi güncelleme performansı) göz önünde bulundur.
10. Test gerçekleştirilirken, test planına ait geri çekilme ve başa dönme şartlarının ele alındığından emin ol.
11. Test sırasındaki hataları belirle, kronolojik olarak kaydet ve sınıflandır (ör., küçük, önemli, görev için kritik). Test sonuçlarına dair bir denetim
izinin mevcut olduğundan emin ol. Test sonuçlarını, hata düzeltme ve ayrıca kalite geliştirilmesini hızlandırmak amacıyla test planına uygun olarak
paydaşlara bildir.
158
Bölüm 5

BAI07.06 Üretime geçilmesi ve sürümleri yönet Kaynak Açıklama Açıklama Hedef
İş ve operasyonlara yönelik kabul edilen çözümleri Sürüm planı BAI10.01
destekle. Uygun olduğunda, çözümü pilot uygulama
olarak veya belirli bir süre eski çözümle paralel olarak Sürüm kronolojik kaydı İçsel
yürüt ve davranış ve sonuçları karşılaştır. Önemli
problemler meydana geldiği takdirde, geri çekilme/başa
dönme planı bazında orijinal ortama geri dön.
Çözüm bileşenleri sürümlerini yönet.
Faaliyetler
1. Organizasyon değişiklik yönetim standartlarına uygun olarak, iş prosedürleri ve destek hizmetleri, uygulamalar ve altyapının test ortamından üretim
ortamına aktarımına hazırlan.
2. Pilot uygulama veya eski ve yeni sistemlerin paralel çalışmasının uygulama planıyla uyumlu olma kapsamını belirle.
3. Uygun olduğunda, ilişkili iş süreci ve sistem belgeleri, konfigürasyon bilgileri ve beklenmedik durum planı belgelerini zamanında güncelle.
4. Tüm medya kütüphanelerinin, test ortamından üretim ortamına aktarılan çözüm bileşeni versiyonuyla zamanında güncellendiğinden emin ol.
Mevcut versiyon ve bunu destekleyen belgeleri arşivle. Sistemler, uygulama yazılımı ve altyapıya ait üretime geçişin konfigürasyon kontrolü altında
5. Çözüm bileşenlerinin dağıtımı elektronik olarak gerçekleştirildiği takdirde, kullanıcıların bilgilendirildiği ve dağıtımın sadece yetkili ve doğru şekilde
belirlenmiş hedeflere yapıldığından emin olmak amacıyla otomasyonlu dağıtımı kontrol et. Değişikliklerin, bir arıza veya hata durumunda gözden
geçirilecek şekilde iletilmesini sağlamak amacıyla sürüm süreci geri çekilme prosedürlerine yer ver.
6. Dağıtım fiziksel şekilde gerçekleştirildiği takdirde, hangi öğelerin, kime iletildiğine, nerede uygulandığına ve her birinin ne zaman güncellendiğine dair
kronolojik resmi bir kayıt tut.
BAI07.07 Erken üretim desteği sağla Kaynak Açıklama Açıklama Hedef

Kullanıcılar ve BT operasyonlarına, sorunları çözmek APO11.03 Müşteri geri bildirimi dahil Ek destek planı APO08.04
ve yeni çözümün istikrarlı hale getirilmesine yardımcı hizmet kalitesi sonuçları APO08.05
olmak amacıyla üzerinde anlaşılmış bir süre boyunca incelemesi DSS02.04
erken destek sağla.
sonuçlar
Faaliyetler
1. Gerektiği takdirde, son kullanıcılar ve destek personeline sürüm istikrarlı hale gelene kadar ek kaynaklar sağla.
2. Gerektiği takdirde, sürüm istikrarlı operasyon ortamına ulaşana kadar ek BT sistem kaynakları sağla.
159

BAI07.08 Uygulama sonrası gözden geçirme Kaynak Açıklama Açıklama Hedef
gerçekleştir APO11.04 Kalite gözden geçirmeleri Uygulama sonrası gözden BAI01.13
Çıktı ve sonuçları teyit etmek amacıyla bir uygulama ve denetim sonuçları geçirme raporu BAI01.14
sonrası gözden geçirme gerçekleştir, öğrenilen dersleri
belirle ve bir eylem planı oluştur. Yeni veya değiştirilmiş APO11.05 • Kalite tedarik İyileştirici aksiyon planı BAI01.13
hizmete ait fiili performans ve çıktıları, öngörülen başarısızlıklarına dair kök BAI01.14
performans ve çıktılara (yani, kullanıcı veya müşteri nedenler
tarafından beklenen hizmet) kıyasla değerlendir ve • Çözüm ve hizmet
kontrol et. tedariği kalite izleme
sonuçları
sonuçlar
Faaliyetler
1. Uygulama sonrası gözden geçirmelerin aşağıdakileri belirlediği, değerlendirdiği ve raporladığından emin olmak amacıyla prosedürler oluştur:
• Kurum gereksinimlerinin karşılanma kapsamı
• Kurum faydalarının gerçekleştirilme kapsamı
• Sistemin kullanılabilir olarak nitelendirilme kapsamı
• Kurum içi ve dışı paydaş beklentilerinin karşılanma kapsamı
• Kurum üzerinde beklenmedik etkilerin ortaya çıkma kapsamı
• Ana riskin azaltılma kapsamı
• Değişiklik yönetimi, kurulum ve onaylama süreçlerinin etkili ve verimli şekilde gerçekleştirilmiş olma kapsamı
2. Gereksinimler ve faydaların başarılması ve elde edilmesine dair ölçümün seçiminde iş süreç sahipleri ve BT teknik yönetimine danış.
3. Organizasyon değişiklik yönetim sürecine uygun olarak uygulama sonrası gözden geçirmeyi yürüt. Uygun olduğu takdirde iş süreç sahipleri ve üçüncü
şahısları bir araya getir.
4. Kurum dışı iş ve BT’den (ör., iç denetim, ERM, uyum) kaynaklanan uygulama sonrası gözden geçirmelere dair gereksinimleri göz önünde bulundur.
5. Uygulama sonrası gözden geçirmelerde belirlenen sorunları ele almak amacıyla bir eylem planı üzerinde anlaş ve uygula. Eylem planının
oluşturulmasında, iş süreç sahipleri ve BT teknik yönetimini bir araya getir.

ISO/IEC 20000 0.1 Sürüm yönetim süreci
ITIL V3 2011 • Hizmet Dönüşümü, 4.1 Dönüşüm Planlama ve Destek
• Hizmet Dönüşümü, 4.4 Sürüm ve Uygulama Yönetimi
• Hizmet Dönüşümü, 4.5 Hizmet Doğrulama ve Test Etme
• Hizmet Dönüşümü, 4.6 Değişiklik Değerlendirme
PMBOK PMBOK tüm ürünlerin kalite güvence ve kabulü
PRINCE2 PRINCE2 ürün bazlı planlama
160
Bölüm 5
Alan: Yönetim
BAI08 Bilgi Birikimini Yönet Etki alanı: İnşa Et, Tedarik Et ve Uygula
Tüm süreç faaliyetlerini desteklemek ve karar almayı kolaylaştırmak amacıyla ilgili, güncel, doğrulanmış ve güvenli bilgi kullanılabilirliğini sürdür. Bilginin
belirlenmesi, toplanması, organize edilmesi, sürdürülmesi, kullanılması ve sonlandırılmasını planla.
Tüm kadronun iş faaliyetlerinde desteklenmesi ve bilgilendirilmiş karar alma ve geliştirilmiş verimlilik için gerekli olan bilgiyi sağla.
•Güncel altyapı ve uygulamalarla desteklenen kritik iş süreçlerinin sayısı
• Stratejik BT amaçlarının, üzerinde anlaşılmış ve onaylanmış bir girişime
döndürülmesi için geçen ortalama süre
17 İşte yenilik için bilgi birikimi, uzmanlık ve girişimcilik • BT yenilik olanaklarına dair iş idarecisinin farkında olma ve kavrama seviyesi
1. Bilgi kaynakları belirlenir ve sınıflandırılır. • Kapsanan bilgi kategorilerinin yüzdesi
• Sınıflandırılan bilgi hacmi
• Sınıflandırılmış bilgilerden doğrulananların yüzdesi
2. Bilgi kullanılır ve paylaşılır. • Kullanıma hazır bilgilerden fiili olarak kullanılanların yüzdesi
• Bilgi kullanımı ve paylaşımında eğitim görmüş kullanıcı sayısı

3. Bilgi paylaşımı kurum kültürüne yerleşiktir. • Kullanıcı memnuniyet seviyesi
• Bilgi havuzunun kullanılan yüzdesi
4. Bilgi güncellenir ve gereksinimleri desteklemek amacıyla iyileştirilir. • Güncelleme sıklığı
BAI08 SMDB Tablosu





Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum

BAI08.01
Bir bilgi paylaşım kültürünü M S S S S S S S S S S S S
besle ve olanak sağla
BAI08.02
Bilgi kaynaklarını belirle ve M S D D D S S S S
sınıflandır
BAI08.03
Bilgileri bilgi birikimi halinde D D B B M S S S
organize et ve uygun bir
bağlama yerleştir.
BAI08.04
Bilgileri kullan ve paylaş M S S S D D D S D D D D
BAI08.05
Bilgileri değerlendir ve sonlandır M D D S S S S S S S S S
161

BAI08.01 Bir bilgi paylaşım kültürünü besle ve Kaynak Açıklama Açıklama Hedef
olanak sağla Bilgi birikimi değerine dair APO01.04
Bir bilgi paylaşım kültürünü beslemek ve olanak iletişim
sağlamak amacıyla bir şemayı planla ve uygula.
Faaliyetler
1. Bilgi birikimi oluşturulması, kullanımı, tekrar kullanımı ve paylaşılmasını teşvik etmek amacıyla bilgi birikimi değerini ileriye dönük olarak bildir.
2. Motivasyon faktörlerini belirleyerek ve destekleyerek bilgi birikimi paylaşım ve aktarımını teşvik et.
3. Bilgi birikimi paylaşım ve aktarımını destekleyen bir ortam, araç ve nesneler oluştur.
4. Bilgi birikimi yönetim uygulamalarını diğer BT süreçlerinde yerleşik hale getir.
5. Bilgi birikimi faydası ve kurum bilgi birikiminin paylaşılma ihtiyacına dair yönetim beklentilerini belirle ve uygun davranış sergile.
BAI08.02 Bilgi kaynaklarını belirle ve sınıflandır Kaynak Açıklama Açıklama Hedef
İş süreçleri ve BT hizmetlerinin etkili kullanım ve COBIT dışında Bilgi birikimi gereksinimleri Bilgi kaynaklarının İçsel
operasyonunu sağlamak için gereken kurum içi ve dışı ve kaynaklar sınıflandırılması
muhtelif bilgi kaynaklarını belirle, doğrula ve sınıflandır.
Faaliyetler
1. Bilgi birikimine katkıda bulunması ve onaylaması gereken bilgi sahipleri dahil olmak üzere, potansiyel bilgi birikimi kullanıcılarını belirle. Belirlenen
kullanıcılardan bilgi birikimi gereksinimleri ve bilgi kaynaklarını elde et.
2. İçerik tipleri (prosedürler, süreçler, yapılar, konseptler, politikalar, kurallar, gerçekler, sınıflandırmalar), nesneler (belgeler, kayıtlar, video, ses) ve
yapılandırılmış ve yapılandırılmamış bilgileri (uzmanlar, sosyal medya, e-posta, sesli posta, RSS beslemeleri) göz önünde bulundur.
3. Bilgi kaynaklarını bir içerik sınıflandırma şeması (ör., bilgi mimarisi modeli) bazında sınıflandır. Bilgi kaynaklarını sınıflandırma şemasına eşleştir.
4. Bilgi kaynaklarını bilgi doğrulama kriterleri (ör., anlaşılabilirlik, uygunluk, önem, bütünlük, doğruluk, tutarlılık, gizlilik, güncellik ve güvenilirlik) bazında
topla, birleştir ve doğrula.
BAI08.03 Bilgileri bilgi birikimi halinde organize et Kaynak Açıklama Açıklama Hedef
ve uygun bir bağlama yerleştir. BAI03.03 Belgelendirilmiş çözüm Yayınlanmış bilgi havuzları APO07.03
Sınıflandırma kriterleri bazında bilgileri organize et. Bilgi bileşenleri
unsurları arasındaki anlamlı ilişkileri belirle ve oluştur
ve bilginin kullanılmasını sağla. Sahipleri belirle ve bilgi BAI05.07 Bilgi aktarım planları
birikimi kaynaklarına erişim seviyelerini tanımla ve
uygula.
Faaliyetler
1. Paylaşılan nitelikleri belirle ve bilgi grupları (bilgi etiketleme) arasında ilişkiler oluşturacak şekilde bilgi kaynaklarını eşleştir.
2. Paydaş ve organizasyon gereksinimlerini göz önünde bulundurarak ilgili veri gruplarına dair görünümler oluştur.
3. Resmi kaynaklar aracılığıyla kullanılamayan yapılandırılmamış bilgi birikimini (ör., uzman bilgi birikimi) yönetmek amacıyla bir şema planla ve uygula.
4. Görevler ve erişim mekanizmaları bazında ilgili paydaşlara bilgi birikimini yayınla ve erişimine izin ver.
BAI08.04 Bilgileri kullan ve paylaş Kaynak Açıklama Açıklama Hedef
Kullanılabilir bilgi birikimi kaynaklarını ilgili paydaşlara BAI03.03 Belgelendirilmiş çözüm Bilgi birikimi kullanıcı İçsel
ilet ve bu kaynakların farklı ihtiyaçları (ör., problem bileşenleri veritabanı
çözme, öğrenme, stratejik planlama ve karar alma) ele
almak üzere nasıl kullanılabileceğini bildir. BAI05.05 Operasyon ve kullanım Bilgi birikimi farkındalığı ve APO07.03
planı eğitim şemaları
BAI05.07 Bilgi aktarım planları
Faaliyetler
1. Bilgi birikimi sınıflandırması aracılığıyla potansiyel bilgi birikimi kullanıcılarını belirle.
2. Bilgi birikimini, ihtiyaçlara ait boşluk analizi ve etkili öğrenme teknikleri ve erişim araçları bazında bilgi birikimi kullanıcılarına aktar.
3. Kullanıcıları kullanılabilir bilgi birikimi, bilgi birikimine erişim ve bilgi birikimi erişim araçlarının kullanımı konusunda öğrenim ve eğitim ver.
162
Bölüm 5

BAI08.05 Bilgileri değerlendir ve sonlandır Kaynak Açıklama Açıklama Hedef
Kullanımı ölç ve bilgi güncelliği ve uygunluğunu Bilgi birikimi kullanımı İçsel
değerlendir. Eski bilgileri sonlandır. değerlendirme sonuçları
Bilgi birikimi sonlandırma İçsel
kuralları
Faaliyetler
1. Kullanımı ölç ve bilgi birikimi unsurlarının yararlılığı, uygunluğu ve değerini değerlendir. Kurumsal bilgi birimi gereksinimleriyle artık ilgili olmayan
Bağlantılı bilgileri belirle.
2. Bilgi birikimi sonlandırma kurallarını tanımla ve buna uygun olarak bilgi birikimini sonlandır.

ITIL V3 2011 Hizmet Dönüşümü, 4.7 Bilgi Birikimi Yönetimi
163

164
Bölüm 5
Alan: Yönetim
BAI09 Varlıkları Yönet Etki alanı: İnşa Et, Tedarik Et ve Uygula
BT varlıklarının, kullanımlarının optimum maliyetle değer oluşturması, operasyonel (amaca uygunluk) kalmaları, kayıt edilmeleri ve fiziksel olarak
korunmaları ve hizmet yetkinliğini desteklemek için önemli olan varlıkları güvenilir ve kullanılabilir olmasını sağlayacak şekilde yaşam döngüleri boyunca
yönet. Gerekli iş kullanımıyla Bağlantılı olarak optimum sayının tedarik edildiğinden, muhafaza edildiğinden ve dağıtıldığından ve yazılımın lisans
anlaşmalarıyla uyumlu olduğundan emin olmak amacıyla yazılım lisanslarını yönet.
Tüm BT varlıklarını kaydet ve bu varlıklarla sağlanan değeri optimize et.
06 BT maliyet, fayda ve riskinde şeffaflık • Açıkça tanımlanmış ve onaylanmış beklenen BT etkin maliyet ve faydaları olan ticari
yatırım durumlarının yüzdesi
• Açıkça tanımlanmış ve onaylanmış işletme maliyetleri ve beklenen faydaları olan BT
hizmetlerinin yüzdesi
• BT finansal bilgilerinde şeffaflık, mutabakat ve doğruluk seviyesi ile ilgili ana paydaşların
memnuniyet araştırması
• BT-Bağlantılı maliyetler ve imkanlar konusunda iş idarecileri ve BT yöneticilerinin
memnuniyet dereceleri
1. Lisanslar iş ihtiyaçlarıyla uyumlu ve uygundur. • Ödenen lisanslarla karşılaştırıldığında kullanılan lisansların yüzdesi
2. Varlıklar optimum seviyelerde korunur. • Kullanılmayan varlıkların sayısı

• Karşılaştırmalı değerlendirme maliyetleri
• Eskimiş varlıkların sayısı
BAI09 SMDB Tablosu





Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum

BAI09.01
Güncel varlıkları belirle ve D D B D D M S D
kaydet
BAI09.02
Kritik varlıkları yönet D B D D D S S M S D D D
BAI09.03
Varlık yaşam döngüsünü yönet D D D M S S
BAI09.04
Varlık maliyetlerini optimize et S B D M S S S S S
BAI09.05
Lisansları yönet B D D S M S S S D
165

BAI09.01 Güncel varlıkları belirle ve kaydet Kaynak Açıklama Açıklama Hedef
Hizmetleri tedarik etmek için gereken tüm BT BAI03.04 Varlık envanteri Varlık kaydı APO06.01
varlıklarına ait güncel ve doğru bir kaydı sürdür güncellemeleri BAI10.03
ve konfigürasyon yönetimi ve finans yönetimi ile
hizalandığından emin ol. BAI10.02 Konfigürasyon havuzu Fiziksel envanter kontrol BAI10.03
sonuçları BAI10.04
DSS05.03
Amaca uygunluk APO02.02
Faaliyetler
1. Güncel durumu kaydeden bir varlık kaydındaki sahip olunan tüm varlıkları belirle. Değişiklik yönetimi ve konfigürasyon yönetimi, konfigürasyon
yönetim sistemi ve finansal hesap kayıtlarıyla uyumu sürdür.
2. Varlıklar yönetilirken ele alınması gereken yasa, yönetmelik veya sözleşmeyle ilgili gereksinimleri belirle.
3. Düzenli fiziksel ve mantıksal envanter kontrolleri ve yazılım inceleme araçlarının kullanımı dahil mutabakatlar gerçekleştirerek sahip olunan tüm
varlıkları doğrula.
4. Varlıkların amaca uygunluklarını (yani, faydalı bir durumda) doğrula.
5. Her bir varlığın değer yaratmaya devam edip etmediğini belirle ve değer yaratıyorsa, değer yaratmaya ait beklenen hizmet süresini hesapla
6. Tüm varlıkların kaydedildiğinden emin ol.
BAI09.02 Kritik varlıkları yönet Kaynak Açıklama Açıklama Hedef
Hizmet yetkinliğinin sağlanmasında kritik olan varlıkları Planlanmış bakım APO08.04
belirle ve iş ihtiyaçlarını desteklemek amacıyla bunların nedeniyle çalışmama
güvenilirlik ve kullanılabilirliklerini optimize etmek üzere
süresi bildirimleri
adım at.
Bakım anlaşmaları İçsel
Faaliyetler
1. Hizmet yetkinliklerinin sağlanmasında kritik olan varlıkları, hizmet tanımları, hizmet seviyesi anlaşmaları (SLA’lar) ve konfigürasyon yönetim
sistemindeki gereksinimleri referans alarak belirle.
2. Kritik varlıkların performansını, olay eğilimlerini inceleyerek izle ve gerekli olduğu takdirde, düzeltmek veya değiştirmek için harekete geç.
3. Arıza riski veya her kritik varlığı değiştirme ihtiyacını düzenli aralıklarla göz önünde bulundur.
4. Kritik varlıkların dayanıklılığını, düzenli koruyucu bakım uygulayarak, performansı izleyerek ve gerektiği takdirde, arıza olasılığını en aza indirmek
amacıyla alternatif ve/veya ek varlıklar sağlayarak sürdür.
5. Tüm donanım için, maliyet-fayda analizi, tedarikçi tavsiyeleri, hizmet dışı kalma riski, kalifiye personel ve diğer ilişkili faktörleri göz önünde
bulundurarak bir koruyucu bakım planı oluştur.
6. Organizasyon BT hizmet araçlarına iş sahası içinde ve dışındaki faaliyetler (ör., dış kaynak kullanımı) için üçüncü şahıs erişimini içeren bakım
anlaşmaları yap. Organizasyon güvenlik politikaları ve standartlarıyla uyumu sağlamak amacıyla erişim yetkilendirme prosedürleri dahil gerekli tüm
güvenlik koşullarını içeren veya ele alan resmi hizmet sözleşmeleri yap.
7. Etkilenen müşteriler ve kullanıcılara bakım faaliyetleri nedeniyle beklenen etkiyi (ör., performans kısıtlamaları) bildir.
8. Uzaktan erişim hizmetleri ve kullanıcı profillerinin (veya bakım veya teşhis için kullanılan diğer araçlar) sadece gerektiğinde aktif olduğundan emin ol.
9. Planlanmış aksama süresini genel üretim programına dahil et ve iş süreçleri üzerinde kötü etkileri en aza indirmek amacıyla bakım faaliyetlerini
programla.
166
Bölüm 5

BAI09.03 Varlık yaşam döngüsünü yönet Kaynak Açıklama Açıklama Hedef
Varlıkları, mümkün olduğu kadar etkili ve verimli bir Onaylanmış varlık satın İçsel
şekilde kullanıldıklarından ve kaydedildikleri ve fiziksel alma talepleri
olarak korunduklarından emin olmak amacıyla satın
alınmalarından imha edilmelerine kadar yönet. Güncellenmiş varlık kaydı BAI10.03
Yetkilendirilmiş varlık BAI10.03
sonlandırılmaları
Faaliyetler
1. Tüm varlıkları, onaylanmış talepler bazında ve kurum satın alma politikaları ve uygulamalarına uygun olarak satın al.
2. Tüm varlıkları, gerektiği takdirde fiziksel etiketleme dahil olmak üzere kontrollü bir şekilde tedarik et, al, doğrula, test et ve kaydet.
3. Ödemeleri onayla ve tedarikçilerle olan süreçleri üzerinde anlaşılmış olan sözleşme şartlarına uygun olarak tamamla.
4. Değişiklik yönetimi ve kabul testi dahil olmak üzere standart yaşam döngüsü uygulamasını izleyerek varlıkları dağıt.
5. Varlıkları, uygun olduğu takdirde sorumlulukların kabulü ve imzayla kullanıcılara tahsis et.
6. Varlıkları, kullanıcı görevinin değişmesi, hizmet içinde yedekleme veya hizmetin sonlandırılması nedeniyle artık gerekli olmadıklarında mümkünse
tekrar tahsis et.
7. İlişkili tüm hizmetlerin sonlandırılması, eski teknoloji veya kullanıcı eksikliği nedeniyle artık kullanım amacına hizmet etmediklerinde varlıkları imha et.
8. Varlıkları, örneğin, medya aygıtlarında kaydedilmiş her türlü verin tamamen silinmesi ve çevreye potansiyel zarar dikkate alarak güvenli şekilde imha et.
9. Devam eden iş ve yönetmelik ihtiyaçlarını karşılamak amacıyla uygun kayıtları tutarak, sonlandırmayla ilişkili faaliyetleri planla, yetkilendir ve uygula.
BAI09.04 Varlık maliyetlerini optimize et Kaynak Açıklama Açıklama Hedef
Maliyetleri optimize etme ve iş ihtiyaçlarına uygunluğu Maliyet optimizasyon APO02.02

sürdürme yollarını belirlemek amacıyla tüm varlık incelemesi sonuçları
altyapısını düzenli aralıklarla gözden geçir.
Varlık maliyetlerini azaltma APO02.02
veya değer yükseltme
fırsatları
Faaliyetler
1. Tüm varlık altyapısını, iş gereksinimleriyle uyumlu olup olmadıklarını dikkate alarak düzenli aralıklarla gözden geçir.
2. Bakım maliyetlerini değerlendir, akla yatkınlığını göz önüne al ve gerekli olduğunda yeni alternatiflerle değiştirme dahil olmak üzere daha düşük
maliyetli seçenekleri belirle.
3. Garantileri gözden geçir ve en düşük maliyetli seçeneği belirlemek amacıyla para değerini ve değiştirme stratejilerini göz önünde bulundur
4. Standardizasyon, tek tedarikçiden kaynak temini ve satın alma, destek ve bakım maliyetlerini azaltacak diğer stratejilere yönelik fırsatları belirlemek
amacıyla tüm altyapıyı gözden geçir.
5. Maliyetleri azaltmak için imhası veya değiştirilmesi düşünülebilecek az kullanılmış veya lüzumsuz varlıkları belirlemek amacıyla kapasite ve kullanım
istatistiklerini kullan.
6. Maliyetleri düşürmek veya para değerini arttırmak üzere yeni teknolojileri veya alternatif kaynak oluşturma stratejilerini destekleyici imkanları
belirlemek amacıyla genel durumu gözden geçir.
167

BAI09.05 Lisansları yönet Kaynak Açıklama Açıklama Hedef
İş gereksinimlerini desteklemek amacıyla optimum Yazılım lisansları kaydı BAI10.02
sayıda lisans muhafaza edilecek ve sahip olunan lisans
sayısı kullanımda olan kurulmuş yazılımları kapsamaya Kurulmuş lisans MEA03.03
yetecek şekilde yazılım lisanslarını yönet. denetimleri sonuçları
Lisans numaraları ve APO02.05
tahsislerin ayarlanmasına
dair eylem planı
Faaliyetler
1. Satın alınmış tüm yazılım lisansları ve ilişkili lisans anlaşmalarının bir kaydını sürdür.
2. Kurulmuş lisanslı yazılıma ait tüm kopyaları belirlemek için düzenli aralıklarla bir denetim gerçekleştir.
3. Kurulmuş yazılım kopyalarının sayısını sahip olunan lisansların sayısı ile karşılaştır.
4. Kopyalar, sahip olunan sayıdan az olduğunda, gereksiz bakım, eğitim ve diğer maliyetlerden tasarruf etme potansiyelini göz önünde bulundurarak
lisansları tutma veya sonlandırma ihtiyacının olup olmadığına karar ver.
5. Kopyalar sahip olunan sayıdan fazla olduğunda, ilk olarak artık gerekli olmayan veya geçerli nedeni olmayan kopyaları silmeyi göz önünde bulundur ve
ardından gerekli olduğu takdirde lisans anlaşmasına uygunluğu sağlamak amacıyla ek lisanslar satın al.
6. Ürünlerin ve ilişkili lisansların iyileştirilmesiyle daha iyi bir değerin elde edilip edilemeyeceğini düzenli aralıklarla değerlendir.

ITIL V3 2011 Hizmet Dönüşümü, 4.3 Hizmet Varlık ve Konfigürasyon Yönetimi
168
Bölüm 5
Alan: Yönetim
BAI10 Konfigürasyonu Yönet Etki alanı: İnşa Et, Tedarik Et ve Uygula
Konfigürasyon bilgilerinin toplanması, referans değerlerinin oluşturulması, konfigürasyon bilgilerinin doğrulanması ve denetlenmesi ve konfigürasyon
havuzunun güncellenmesi dahil olmak üzere, BT etkin hizmetleri sağlamak için gerekli olan ana kaynaklar ve yetkinliklere dair açıklamalar ve
aralarındaki ilişkileri tanımla ve sürdür.
Hizmetin etkili şekilde yönetilmesini sağlamak amacıyla hizmet varlıklarına dair yeterli bilgiyi sağla, değişiklik etkilerini değerlendir ve hizmet olaylarını
çözümle.
02 İşin ait olunan ülke dışındaki ülkelere ait kanunlar • Ödemeler ve para cezaları ve itibar kaybı etkisi dahil BT’ye uygun olmamanın maliyeti
ve yönetmeliklere uygunluğu için BT uyumu ve desteği • Yönetim kuruluna rapor edilen veya kamuoyu açıklamasına veya toplum önünde küçük
düşmeye yol açan BT-Bağlantılı uygun olmama sorunlarının sayısı
•BT hizmet sağlayıcılarıyla yapılan sözleşmeli anlaşmalarla ilgili uygun olmama sorunlarının
sayısı
• BT-Bağlantılı maliyetler ve imkanlar konusunda iş idarecileri ve BT yöneticilerinin
memnuniyet dereceleri
14 Karar alma için güvenilir ve yararlı bilgilerin • Yönetim bilgilerinin kalitesi ve zamanlaması (veya kullanılabilirliği) konusunda iş kullanıcısı
kullanılabilirliği memnuniyetinin seviyesi
•Bilgilerin kullanılamamasından kaynaklanan iş süreç olaylarının sayısı
•Hatalı veya kullanılamayan bilgilerin ana faktör olduğu hatalı ticari kararların oranı ve
kapsamı

1. Konfigürasyon havuzu doğru, tam ve günceldir. • Konfigürasyon havuzu ve aktif konfigürasyon arasındaki sapmaların sayısı
• Yetersiz veya eksik konfigürasyon bilgileriyle ilişkili tutarsızlıkların sayısı
BAI10 SMDB Tablosu





Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
BAI10.01
Bir konfigürasyon modelini D D D D B M S S
BAI10.02
Bir konfigürasyon havuzu ve
referans değerini oluştur ve D S M S S
sürdür.
BAI10.03
Konfigürasyon öğelerini sürdür M D S S S D
ve kontrol et.
BAI10.04
Durum ve konfigürasyon B B B D D M S B
raporlarını oluştur.
BAI10.05
Konfigürasyon havuzu B S S S M S
bütünlüğünü doğrula ve gözden
geçir
169

BAI10.01 Bir konfigürasyon modelini oluştur ve Kaynak Açıklama Açıklama Hedef
sürdür. BAI07.06 Sürüm planı Konfigürasyon yönetim İçsel
Hizmetler, varlıklar ve altyapıya ait mantıksal bir modeli modeli kapsamı
ve konfigürasyon öğelerinin (CI’lar) ve aralarındaki
ilişkilerin nasıl kaydedileceğini oluştur ve sürdür. Mantıksal konfigürasyon İçsel
Hizmetleri etkili şekilde yönetmek için gerektiği modeli
düşünülen ve bir hizmetteki varlıkların yegane güvenilir
bir açıklamasını sağlamak amacıyla konfigürasyon
öğelerini (CI’lar) dahil et.
Faaliyetler
1. Konfigürasyon yönetimi kapsam ve detay seviyesini (yani, hangi hizmet, varlık ve altyapıya ait konfigürasyonu yapılabilir öğenin ekleneceği) tanımla ve
üzerinde anlaş.
2. Konfigürasyon öğesi tipleri, konfigürasyon öğesi nitelikleri, ilişki tipleri, ilişki nitelikleri ve durum kodlarına dair bilgiler dahil olmak üzere konfigürasyon
yönetimi için mantıksal bir modeli oluştur ve sürdür.
BAI10.02 Bir konfigürasyon havuzu ve referans Kaynak Açıklama Açıklama Hedef
değerini oluştur ve sürdür. BAI09.05 Yazılım lisansları kaydı Konfigürasyon havuzu BAI09.01
Bir konfigürasyon yönetim havuzunu oluştur ve sürdür ve DSS02.01
kontrollü konfigürasyon referans değerlerini oluştur.
Konfigürasyon referans BAI03.11
değeri
Faaliyetler
1. Konfigürasyon öğelerini belirle ve sınıflandır ve havuzu doldur.
2. Hizmet, uygulama veya altyapıya ait konfigürasyon referans değerlerini oluştur, gözden geçir ve resmi olarak üzerinde anlaş.

BAI10.03 Konfigürasyon öğelerini sürdür ve kontrol et Kaynak Açıklama Açıklama Hedef
Konfigürasyon öğelerine ait güncel bir havuzu BAI06.03 Değişiklik talebi durum Konfigürasyon öğeleriyle DSS02.01
değişikliklerle doldurarak sürdür. raporları güncellenmiş havuz
BAI09.01 • Fiziksel envanter kontrol Onaylanmış referans değer BAI03.11
sonuçları değişiklikleri
• Varlık kaydı
BAI09.03 • Yetkilendirilmiş varlık
sonlandırılmaları
• Güncellenmiş varlık
kaydı
Faaliyetler
1. Konfigürasyon öğelerindeki tüm değişiklikleri düzenli olarak belirle.
2. Konfigürasyon öğelerinde öngörülen değişiklikleri, tamlık ve doğruluktan emin olmak amacıyla referans değerlerle karşılaştırarak gözden geçir.
3. Konfigürasyon öğelerinde onaylanmış değişiklikler yapmak için konfigürasyon detaylarını güncelle.
4. Gerekli olduğunda konfigürasyon referans değerlerine yapılacak değişiklikleri oluştur, gözden geçir ve resmi olarak üzerinde anlaş.
BAI10.04 Durum ve konfigürasyon raporlarını oluştur Kaynak Açıklama Açıklama Hedef
Konfigürasyon öğelerinin durum değişikliğine ait BAI09.01 Fiziksel envanter kontrol Konfigürasyon durum BAI03.11
konfigürasyon raporlarını tanımla ve oluştur. sonuçları raporları DSS02.01
Faaliyetler
1. Konfigürasyon öğelerinin durum değişikliğini belirle ve referans değerlerle karşılaştırarak raporla.
2. Tüm konfigürasyon değişikliklerini, herhangi bir yetkisiz değişiklik olup olmadığını belirlemek amacıyla onaylanmış değişiklik talepleriyle eşleştir.
Yetkisiz değişiklikleri değişiklik yönetimine rapor et.
3. İçerik, sıklık ve medya dahil olmak üzere tüm paydaşlara göre raporlama şartlarını belirle. Raporları belirlenen şartlara uygun olarak oluştur.
170
Bölüm 5

BAI10.05 Konfigürasyon havuzu bütünlüğünü Kaynak Açıklama Açıklama Hedef
doğrula ve gözden geçir Konfigürasyon öğelerinin İçsel
Konfigürasyon havuzunu düzenli aralıklarla gözden fiziksel doğrulama
geçir ve istenilen hedefle karşılaştırarak tamlık ve sonuçları
doğruluğunu denetle.
Lisans farkları MEA03.03
Havuz tamlığı gözden İçsel
Faaliyetler
1. Aktif konfigürasyon öğelerini, fiziksel ve mantıksal konfigürasyonları karşılaştırarak ve gerektiği takdirde uygun inceleme araçlarını kullanarak düzenli
aralıklarla konfigürasyon havuzuna göre doğrula.
2. Onaylanmış düzeltmelere dair tüm sapmaları rapor et ve gözden geçir veya yetkisiz tüm varlıkların kaldırılmasına yönelik harekete geç.
3. Tüm fiziksel konfigürasyon öğesinin, havuzda tanımlandığı şekilde fiziksel olarak mevcut olduğunu düzenli aralıklarla doğrula. Her türlü sapmayı
yönetime rapor et.
4. Konfigürasyon havuzu bütünlük hedefini iş ihtiyacı bazında oluştur ve düzenli aralıklarla gözden geçir.
5. Tamlık ve doğruluk derecesini hedeflerle düzenli olarak karşılaştır ve gerekli olduğu takdirde, havuz verilerinin kalitesini iyileştirmek amacıyla iyileştirici
aksiyonlar uygula.

ISO/IEC 20000 9.1 Konfigürasyon yönetimi
ITIL V3 2011 Hizmet Dönüşümü, 4.3 Hizmet Varlık ve Konfigürasyon Yönetimi
171

172
Bölüm 5
TEDARİK, HİZMET VE DESTEK

(DSS)
01 Operasyonu yönet
02 Hizmet talepleri ve olaylarını yönet
03 Problemleri yönet
04 Sürekliliği yönet

05 Güvenlik hizmetlerini yönet
06 İş süreç kontrollerini yönet
173

174
Bölüm 5
Alan: Yönetim
DSS01 Operasyonu Yönet Etki alanı: Tedarik, Hizmet ve Destek
Önceden tanımlanmış standart çalışma prosedürleri ve gerekli izleme faaliyetlerinin yürütülmesi dahil olmak üzere, iç ve dış tedarikli BT hizmetlerini
sağlamak için gereken faaliyetler ve çalışma prosedürleri koordinasyonunu yap ve yürüt.
BT operasyon hizmeti sonuçlarını planlandığı şekilde gerçekleştir.
04 Yönetilen BT-Bağlantılı iş riski • Risk değerlendirmesinin kapsadığı kritik iş süreçleri, BT hizmetleri
ve BT etkin iş programlarının yüzdesi
• Risk değerlendirmesinde belirlenmemiş olan önemli BT-Bağlantılı
olayların sayısı
sıklığı
1. Operasyon faaliyetleri gerektiği ve programlandığı şekilde gerçekleştirilir. • Gerçekleştirilen standart dışı operasyon prosedürlerinin sayısı
• Operasyon problemlerinden kaynaklanan olayların sayısı
2. Operasyonlar izlenir, ölçülür, rapor edilir ve iyileştirilir. • Olumsuz olay sayısına kıyasla olayların oranı
• Otomatik tespit sistemlerinin kapsadığı kritik operasyon olay tipi
yüzdesi
DSS01 SMDB Tablosu





Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum

DSS01.01
Operasyon prosedürlerini M D D D
gerçekleştir
DSS01.02
Dış tedarikli BT hizmetlerini B M S
yönet
DSS01.03
BT altyapısını izle B D B D B D M D D
DSS01.04
Çevreyi yönet B D M D D D B D S B S B
DSS01.05
Hizmet araçlarını yönet B D M D D D B D S B S B
175
DSS01 Süreç Uygulamaları, Girdiler/Çıktılar ve Faaliyetler

DSS01.01 Operasyon prosedürlerini gerçekleştir Kaynak Açıklama Açıklama Hedef
Operasyon prosedürleri ve operasyon amaçlarını BAI05.05 Operasyon ve kullanım Operasyon programı İçsel
güvenilir ve tutarlı bir şekilde sürdür ve gerçekleştir. planı Yedekleme kronolojik kaydı İçsel
Faaliyetler
1. Tedarik edilen tüm hizmetleri desteklemek amacıyla operasyon prosedürleri ve ilişkili faaliyetleri oluştur ve sürdür.
2. Operasyon faaliyetlerine dair bir programı sürdür, faaliyetleri gerçekleştir ve performans ve programlı faaliyetlerin çıktılarını yönet.
3. İşlenmesi beklenen tüm verilerin alındığını ve tam, doğru şekilde ve zamanında işlendiğini doğrula. Kurum gereksinimlerine uygun olarak çıktı sağla.
Tekrar başlama ve tekrar işleme ihtiyaçlarını destekle. Kullanıcıların doğru çıktıları güvenli şekilde ve zamanında aldığından emin ol.
4. Verilerin, kurum amaçları, kurum güvenlik politikası ve yönetmelik gereksinimlerini yerine getirecek bir şekilde alınması, işlenmesi, saklanması ve
çıktısının alınmasına dair uygun güvenlik standartlarının karşılandığından emin ol.
5. Yerleşik politikalar ve prosedürlere uygun olarak yedeklemeleri programla, gerçekleştir ve kronolojik kaydını tut.
DSS01.02 Dış tedarikli BT hizmetlerini yönet Kaynak Açıklama Açıklama Hedef
Kurum bilgilerini korumayı ve hizmet tedariğinin APO09.03 • Operasyon seviyesi Bağımsız güvence planları MEA02.06
güvenilirliğini sürdürmek amacıyla dış tedarikli BT anlaşmaları (OLA’lar)
hizmetleri operasyonunu yönet. • Hizmet seviyesi
BAI05.05 Operasyon ve kullanım
planı
Faaliyetler
1. Bilgi süreçlerinin güvenliğine dair kurum gereksinimlerinin, hizmetler veren veya sağlayan üçüncü şahıslarla olan anlaşma ve hizmet seviyesi
anlaşmalarına uygun olduklarından emin ol.
2. Kurum operasyon işleri ve hizmet tedariği için BT süreç gereksinimleri ve önceliklerinin, hizmetler veren veya sağlayan üçüncü şahıslarla olan anlaşma
ve hizmet seviyesi anlaşmalarına uygun olduklarından emin ol.
3. Kritik iç BT yönetim süreçlerini, örneğin performans ve kapasite planlama, değişiklik yönetimi, konfigürasyon yönetimi, hizmet talebi ve olay yönetimi,
problem yönetimi, güvenlik yönetimi, iş sürekliliği ve süreç performansı ve raporlamanın izlenmesini kapsayacak şekilde, dış tedarikli hizmet
sağlayıcılarına ait olan süreçlerle entegre et.
4. Üzerinde anlaşılmış olan gereksinimlerin uygun şekilde ele alındığını teyit etmek amacıyla, dış kaynak tedarikli sağlayıcıların operasyon ortamlarının
bağımsız denetlenmesi ve güvencesini planla.
DSS01.03 BT altyapısını izle Kaynak Açıklama Açıklama Hedef
BT altyapısı ve ilişkili olayları izle. Yeniden oluşturma BAI03.11 Hizmet tanımları Varlık izleme kuralları ve DSS02.01
sağlamak için, operasyonlara ait kronolojik kayıt halinde olay koşulları DSS02.02
yeterli kronolojik bilgiyi, operasyonlar ve operasyonları
çevreleyen veya destekleyen diğer faaliyetlerin zaman Olayların kronolojik kaydı İçsel
sıralamasına ait gözden geçirme ve incelemeleri sakla. Olumsuz olay kayıtları DSS02.02
Faaliyetler
1. Risk ve performans dikkate aldığında kaydedilecek bilgi seviyesini belirleyerek olayların kronolojik kaydını tut.
2. Hizmet kritikliği ve konfigürasyon öğeleri ve bunlara bağlı hizmetler arasındaki ilişkiler bazında izlenmesi gereken altyapı varlıklarının bir listesini belirle
ve sürdür.
3. Eşik değeri ihlalleri ve olay koşullarını belirleyen ve kaydeden kuralları tanımla ve uygula. Olayların kronolojik kayıtları gereksiz bilgilerle aşırı
yüklenmeyecek şekilde, istenmeyen küçük olaylar ve önemli olayların oluşturulması arasında bir dengeyi bul.
4. Olayların kronolojik kayıtlarını oluştur ve gelecekteki araştırmalara yardımcı olması için uygun bir süre boyunca tut.
5. Olayların kronolojik kaydının izlenmesi için prosedürler oluştur ve düzenli aralıklarla gözden geçirmeler yürüt.
6. İzleme sırasında tanımlanmış eşik değerlerinden sapmalar belirlendiğinde, olay kayıtlarının zamanında oluşturulduğundan emin ol.
176
Bölüm 5
DSS01 Süreç Uygulamaları, Girdiler/Çıktılar ve Faaliyetler (devamı)

DSS01.04 Çevreyi yönet Kaynak Açıklama Açıklama Hedef
Çevre faktörlerine karşı koruma önlemlerini sürdür. Çevre politikaları APO01.08
Çevreyi izlemek ve kontrol etmek amacıyla özel
ekipman ve aygıtlar yerleştir. Sigorta politikası raporları MEA03.03
Faaliyetler
1. BT hizmet araçlarının yerleştirildiği alanda meydana gelebilecek doğal veya insan kaynaklı felaketleri belirle. BT hizmet araçları üzerindeki potansiyel
etkiyi değerlendir.
2. Mobil ve saha dışı ekipman dahil olmak üzere BT ekipmanının çevresel tehditlere karşı nasıl korunacağını belirle. Politikanın hassas alanlarda yeme,
içme ve sigara tüketimini sınırlandırdığı veya yasakladığından ve bilgisayar odalarında yangın tehlikesine yol açacak kırtasiye ve diğer malzemelerin
saklanmasının yasaklandığından emin ol.
3. Çevresel tehditlere hassasiyeti en aza indirmek ve hafifletmek amacıyla BT hizmet araçlarını yerleştir ve yapılandır.
4. Çevresel tehditleri (ör., yangın, su, duman, nem) önceden tespit eden aygıtları düzenli olarak izle ve muhafaza et.
5. Çevre alarmları ve diğer uyarılara tepki ver. Alarmların önceliklerini içermesi gereken prosedürleri belgele ve test et ve yerel acil müdahale yetkilileriyle
temas kur ve personele bu prosedürlere dair eğitim ver.
6. Sigorta politikası gereksinimlerine göre önlemler ve acil durum planlarını karşılaştır ve sonuçları rapor et. Uyumsuzluk gösteren noktaları zamanında ele al.
7. BT alanlarının çevresel risk etkisini (ör., hırsızlık, hava, yangın, duman, su, titreşim, terör, Vandalizm, kimyasallar, patlayıcılar) en aza indirecek şekilde
yapıldığı ve tasarlandığından emin ol. Özel güvenlik bölgeleri ve/veya yangına dayanıklı bölmeleri (ör., üretim ve geliştirme ortamlarının/sunucularının
birbirinden uzakta yerleştirilmesi) dikkate al.
8. BT alanları ve sunucu odalarını her zaman temiz ve güvenli koşullarda tut (yani, pislik, kağıt veya karton kutular, dolu çöp kutuları, alevlenebilen
kimyasallar veya malzemeler olmadan).
DSS01.05 Hizmet araçlarını yönet Kaynak Açıklama Açıklama Hedef
Güç ve iletişim ekipmanı dahil hizmet araçlarını, yasa Hizmet araçları MEA01.03
ve yönetmeliklere, teknik ve iş gereksinimleri, tedarikçi değerlendirme raporları
şartnameleri ve sağlık ve güvenlik kurallarına uygun
şekilde yönet. Sağlık ve güvenlik İçsel
farkındalığı
Faaliyetler
1. Diğer iş süreklilik planı gereksinimleriyle Bağlantılı olarak BT hizmet araçlarını güç dalgalanmaları ve kesintilere karşı koruma gereksinimini incele. İş
süreklilik planını desteklemek amacıyla uygun kesintisiz güç kaynağı ekipmanı (ör., piller, jeneratörler) satın al.
2. Kesintisiz güç kaynağı mekanizmalarını düzenli olarak test et ve gücün, iş operasyonları üzerinde önemli hiçbir etkisi olmaksızın güç kaynağından
sağlanacağından emin ol.
3. BT sistemlerini muhafaza eden hizmet araçlarının, bağımsız kullanımlara (ör., güç, telekomünikasyonlar, su, gaz) yönelik olarak birden fazla kaynağa
sahip olduğundan emin ol. Her kullanıma ait fiziksel girişi ayır.
4. BT alanı dışındaki kablo tesisatının gizli olduğunu veya uygun alternatif bir korumaya sahip olduğunu teyit et. BT alanı içindeki kablo tesisatının güvenli
kanallar içinde yer almasını ve elektrik tesisat dolaplarına erişimin yetkili personelle sınırlı olmasını sağla. Kablo tesisatını yangın, duman, su, dinleme

ve parazitin neden olduğu zarara karşı tam olarak koru.
5. Kablo tesisatı ve fiziksel bağlantıların (veri ve telefon) yapılandırıldığı ve organize edildiğinden emin ol. Kablo tesisatı ve kanal yapıları
belgelendirilmelidir (ör., mavi kopyalı bina planı ve elektrik şebeke şeması).
6. Kablo tesisatına ait mükerrerlik ve gereksiz fazlalık gereksinimleri (harici ve dahili) için hizmet araçları mahfazalarında yüksek kullanılabilirliğe sahip
sistemlerin analizini yap.
7. BT alanları ve hizmet araçlarının, ilişkili sağlık ve güvenlik yasaları, yönetmelikler, kurallar ve tedarikçi şartnameleriyle devam eden bir uyum halinde
8. Personele, sağlık ve güvenlik yasaları, yönetmelikler ve ilişkili kurallar konusunda düzenli olarak eğitim ver. Personele, yangın veya benzer olaylar
durumunda bilgi birikimi ve karşı harekete geçilmesini sağlamak amacıyla yangın ve kurtarma tatbikatı konusunda eğitim ver.
9. Hizmet araçları olaylarını, BT olay yönetim süreci ile uyumlu olarak kaydet, izle, yönet ve çöz. Yasa ve yönetmelik şartları bakımından açıklama
gerektiren hizmet araçları olayları konusunda raporların mevcut olmasını sağla.
10. BT alanları ve ekipmanın, tedarikçi tarafından tavsiye edilen hizmet aralıkları ve şartnamelerine uygun olarak bakımının yapıldığından emin ol. Bakım,
sadece yetkili personel tarafından gerçekleştirilmelidir.
11. Çevresel riski (ör., yangın veya su hasarı) tekrar değerlendirmek amacıyla BT alanları veya tesislerindeki fiziksel değişiklikleri analiz et. Analiz
sonuçlarını iş sürekliliği ve hizmet araçları yönetimine rapor et.
DSS01 İlgili Rehber

ITIL V3 2011 Hizmet Operasyonu, 4.1 Olay Yönetimi
177

178
Bölüm 5
Alan: Yönetim
DSS02 Hizmet Talep ve Olayları Yönet Etki alanı: Tedarik, Hizmet ve Destek
Her türlü olayda kullanıcı talepleri ve çözümlerine zamanında ve etkili cevaplar sağla. Normal hizmeti yeniden teşkil et, kullanıcı taleplerini kaydet ve
yerine getir ve olayları kaydet, araştır, teşhis et, üst bildirimini yap ve çöz.
Kullanıcı sorguları ve olayların hızlı çözümü aracılığıyla yüksek verimlilik sağla ve kesintileri en aza indir.
04 Yönetilen BT-Bağlantılı iş riski • Kritik iş süreçleri, BT hizmetleri ve risk değerlendirmesinin
kapsadığı BT etkin iş programlarının yüzdesi
olayların sayısı
1. BT-Bağlantılı hizmetler kullanıma hazırdır. • İş kritik süreçlerinde kesintiye yol açan olayların sayısı ve yüzdesi
• BT etkin hizmetlere göre olaylar arasında geçen ortalama süre
2. Olaylar, üzerinde anlaşılmış olan hizmet seviyelerine uygun şekilde çözülür. • Üzerinde anlaşılmış/kabul edilebilir bir zaman aralığı içinde
çözülen olayların yüzdesi
3. Hizmet talepleri, üzerinde anlaşılmış olan hizmet seviyelerine ve kullanıcı • Hizmet talebinin karşılanması konusunda kullanıcı memnuniyet
memnuniyetine uygun olarak ele alınır. seviyesi
• Her çeşit hizmet talebinin ele alınması için geçen ortalama süre.
179
DSS02 SMDB Tablosu




Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
DSS02.01
Olay ve hizmet talebi D B B M D S S S D D D
sınıflandırma şemalarını tanımla
DSS02.02
Talepler ve olayları kaydet, B B B M S B
sınıflandır ve önceliklendir
DSS02.03
Hizmet taleplerini doğrula, S B S S M
onayla ve yerine getir
DSS02.04
Olayları araştır, teşhis et ve S B B B B B D S M D
tahsis et
DSS02.05
Olayları çöz ve düzelt B B B D D B S S M S D
DSS02.06
Hizmet talepleri ve olayları B B B B B B B M B S B
kapat
DSS02.07
Durumu izle ve raporları oluştur. B B B B B B B M S B

DSS02.01 Olay ve hizmet talebi sınıflandırma Kaynak Açıklama Açıklama Hedef
şemalarını tanımla APO09.03 Hizmet seviyesi Olay ve hizmet talebi İçsel
Olay ve hizmet talebi sınıflandırma şemaları ve anlaşmaları (SLA’lar) sınıflandırma şemaları ve
modellerini tanımla. modelleri

BAI10.02 Konfigürasyon havuzu Olay üst bildirim kuralları İçsel
BAI10.03 Konfigürasyon öğeleriyle Problem kayıt kriterleri DSS03.01
güncellenmiş havuz
BAI10.04 Konfigürasyon durum
raporları
DSS01.03 Varlık izleme kuralları ve
olay koşulları
DSS03.01 Problem sınıflandırma
şeması
DSS04.03 Olaya yanıt hareketleri ve
iletişimler
Faaliyetler
1. Eğilim analizinin ele alınması, kullanıcıların bilgilendirilmesi ve yürütülmesine yönelik tutarlı yaklaşımlar sağlamak amacıyla, olay ve hizmet talebi
sınıflandırma ve önceliklendirme şemaları ve problem kayıt kriterlerini tanımla.
2. Etkili ve verimli çözüm sağlamak amacıyla bilinen hatalar için olay modelleri tanımla.
3. Standart talepler için kendine-yeten ve verimli hizmet sağlamak amacıyla hizmet talep türüne uygun hizmet talep modelleri tanımla.
4. Özellikle büyük olaylar ve güvenlik olayları için olmak üzere, olay üst bildirim kuralları ve prosedürleri tanımla.
5. Olay ve talep bilgi kaynakları ve kullanımlarını tanımla.
180
Bölüm 5

DSS02.02 Talepler ve olayları kaydet, sınıflandır ve Kaynak Açıklama Açıklama Hedef
önceliklendir APO09.03 Hizmet seviyesi Olay ve hizmet talebi İçsel
Hizmet talepleri ve olaylarını belirle, kaydet ve sınıflandır anlaşmaları (SLA’lar) kronolojik kaydı
ve iş kritikliği ve hizmet anlaşmalarına uygun bir öncelik
ata. BAI04.05 Acil üst bildirim prosedürü Sınıflandırılmış ve APO08.03
DSS01.03 • Olumsuz olay kayıtları önceliklendirilmiş olaylar APO09.04
• Varlık izleme kuralları ve ve hizmet talepleri APO13.03
olay koşulları
DSS05.07 • Güvenlik olay kayıtları
Faaliyetler
1. İlgili bilgileri, etkili şekilde ele alınmalarını ve tam bir geçmiş kaydının sürdürülmesini sağlamak amacıyla kaydederek, tüm hizmet talebi ve olayların
kronolojik kaydını tut.
2. Eğilim analizi elde etmek amacıyla, hizmet talepleri ve olaylarını, tür ve kategorisini belirleyerek sınıflandır.
3. Hizmet talepleri ve olayları, hizmet seviyesi anlaşmalarında iş etkisi ve aciliyete dair hizmet tanımı bazında önceliklendir.
DSS02.03 Hizmet taleplerini doğrula, onayla ve Kaynak Açıklama Açıklama Hedef
yerine getir APO12.06 Riskle Bağlantılı kök Onaylanmış hizmet BAI06.01
Uygun talep prosedürlerini seç ve hizmet taleplerinin, nedenler talepleri
tanımlanmış talep kriterlerini yerine getirdiğini doğrula.
Gerektiği takdirde onay al ve talepleri yerine getir. Yerine getirilmiş hizmet İçsel
talepleri
Faaliyetler
1. Mümkün olduğu takdirde, önceden tanımlanmış bir süreç akışı ve standart değişiklikler kullanarak hizmet taleplerinin yetkilendirilmesini doğrula.
2. Gerektiği takdirde finansal ve fonksiyonel onay veya imza veya üzerinde anlaşılmış standart değişiklikler için önceden tanımlanmış onayları al.
3. Mümkün olduğu takdirde, kendine yeten otomatik menüler ve sıkça talep edilen öğeler için önceden tanımlanmış talep modellerinin kullanıldığı seçilen
talep prosedürünü gerçekleştirerek talepleri yerine getir.
DSS02.04 Olayları araştır, teşhis et ve tahsis et Kaynak Açıklama Açıklama Hedef
Olay belirtilerini belirle ve kaydet ve olası nedenleri BAI07.07 Ek destek planı Olay belirtileri İçsel
belirle ve çözüm tahsis et.
Problem kronolojik kaydı DSS03.01
Faaliyetler
1. Olayların en olası nedenlerini tespit etmek amacıyla ilgili belirtileri belirle ve açıkla. Olası olay çözümlerini (geçici çözümler ve/veya kalıcı çözümler)
belirlemek amacıyla kullanılabilir bilgi kaynaklarına (bilinen hatalar ve problemler dahil) başvur.
2. İlgili bir problem veya bilinen bir hata halihazırda mevcut değilse ve olay, üzerinde anlaşılmış olan problem kaydı kriterlerine uyuyorsa, yeni bir problem

olarak kronolojik kaydını tut.
3. Daha detaylı bir uzmanlık gerektiği takdirde, olayları uzman fonksiyonlara ata ve gerektiği takdirde ve gerektiği yerde uygun yönetim seviyesini dahil et.
DSS02.05 Olayları çöz ve düzelt Kaynak Açıklama Açıklama Hedef
Belirlenen çözümleri veya geçici çözümleri belgele, APO12.06 Riskle Bağlantılı olaya Olay çözümleri DSS03.04
uygula ve test et ve BT-Bağlantılı hizmeti yeniden yanıt planları
sağlamak amacıyla kurtarma eylemleri gerçekleştir.
DSS03.03 Bilinen hata kayıtları
DSS03.04 Öğrenilen bilgilere dair
bildirimler
Faaliyetler
1. En uygun olay çözümlerini (geçici çözüm ve/veya kalıcı çözüm) seç ve uygula.
2. Olay çözümü için geçici çözümlerin kullanılıp kullanılmadığını kaydet.
3. Gerektiği takdirde, kurtarma eylemleri gerçekleştir.
4. Olay çözümünü belgele ve çözümün gelecekte bir bilgi kaynağı olarak kullanılıp kullanılamayacağını değerlendir.
181

DSS02.06 Hizmet talepleri ve olayları kapat Kaynak Açıklama Açıklama Hedef
Memnuniyet verici olay çözümleri ve/veya talep DSS03.04 Kapatılmış problem Kapatılmış hizmet talepleri APO08.03
karşılamalarını doğrula ve kapat. kayıtları ve olayları APO09.04
DSS03.04
Memnuniyet verici talep APO08.03
karşılama veya çözüm
konusunda kullanıcı onayı
Faaliyetler
1. Hizmet talebinin memnuniyet verici şekilde karşılandığını veya olayın memnuniyet verici şekilde çözüldüğünü etkilenmiş kullanıcılarla (üzerinde
anlaşıldığı takdirde) doğrula.
2. Hizmet talepleri ve olaylarını kapat.
DSS02.07 Durumun izle ve raporları oluştur Kaynak Açıklama Açıklama Hedef
Sürekli iyileşmeye dair bilgi sağlamak amacıyla olay ve APO09.03 Operasyon seviyesi Olay durumu ve eğilim APO08.03
talep karşılanma eğilimlerini düzenli olarak izle, analiz et anlaşmaları (OLA’lar) raporu APO09.04
ve raporla. APO11.04
DSS03.01 Problem durum raporları
APO12.01
DSS03.02 Problem çözüm raporları MEA01.03
DSS03.05 Problem çözüm izleme
raporları
Talep karşılama durumu ve APO08.03
eğilim raporu APO09.04
APO11.04
MEA01.03
Faaliyetler
1. Çözüm veya tamamlamaya yönelik ilerleme sağlamak amacıyla, olay üst bildirimleri ve çözümleri ve talep ele alma prosedürlerini izle ve takip et.
2. Bilgi paydaşları ve veriler veya raporlara dair ihtiyaçlarını belirle. Raporlama frekansı ve ortamını belirle.
3. Tekrar ortaya çıkma sorunları, hizmet seviyesi anlaşması (SLA) ihlalleri veya yetersizliklerine ait eğilimleri oluşturmak veya düzenleri belirlemek
amacıyla, olayları ve hizmet taleplerini kategori ve türlerine göre analiz et. Bilgileri, sürekli iyileştirme planına girdi olarak kullan.
4. Raporları zamanında oluştur ve dağıtın veya çevrim-içi verilere kontrollü erişim sağla.

ISO/IEC 20000 • 6.1 Hizmet seviyesi yönetimi
• 8.2 Olay yönetimi

ISO 27002 13. Bilgi Güvenliği Olay Yönetimi
ITIL V3 2011 • Hizmet Operasyonu, 4.2 Olay Yönetimi
• Hizmet Operasyonu, 4.3 Talep Karşılama
182
Bölüm 5
Alan: Yönetim
DSS03 Problemleri Yönet Etki alanı: Tedarik, Hizmet ve Destek
Olayların tekrar ortaya çıkmasını engellemek amacıyla, problemler ve bunların kök nedenlerini belirle ve sınıflandır ve zamanında çözüm sağla.
İyileştirmelere yönelik öneriler sağla.
Operasyon problemleri sayısının azaltılmasıyla kullanılabilirliği arttır, hizmet seviyelerini iyileştir, maliyetleri düşür ve müşteri kolaylık ve memnuniyetini
iyileştir.
olayların sayısı
sıklığı
14 Karar alma için güvenilir ve yararlı bilgilerin kullanılabilirliği • Yönetim bilgilerinin kalitesi ve zamanlaması (veya kullanılabilirliği)
konusunda iş kullanıcısı memnuniyetinin seviyesi
sayısı
•Hatalı veya kullanılamayan bilgilerin ana faktör olduğu hatalı ticari
kararların oranı ve kapsamı
1. BT-Bağlantılı problemler, tekrar ortaya çıkmayacak şekilde çözülür. • Çözülmemiş problemlerden kaynaklanan tekrar ortaya çıkan
olayların sayısında azalma
• Problemlerin kronolojik kaydının tutulduğu büyük olayların yüzdesi
• Çözülmemiş problemler için tanımlanan geçici çözümlerin yüzdesi.
• İleriye dönük problem yönetim faaliyetinin bir parçası olarak
kronolojik kayıtları tutulan problemlerin yüzdesi

• Kök nedenlere yönelik memnun edici bir çözümün bulunduğu
problemlerin sayısı
183
DSS03 SMDB Tablosu




Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
DSS03.01
Problemleri belirle ve sınıflandır B D B B B B S D S S M D
DSS03.02
Problemleri araştır ve teşhis et B B D D M S S
DSS03.03
Bilinen hataları bir araya getir M S S
DSS03.04
Problemleri çöz ve kapat B D B B D D B D D S M
DSS03.05
İleriye dönük problem D D D S M
yönetimini gerçekleştir

Management Practice Inputs Outputs
DSS03.01 Problemleri belirle ve sınıflandır Kaynak Açıklama Açıklama Hedef
Problem sınıflandırma, kategorilere ayırma ve APO12.06 Riskle Bağlantılı kök Problem sınıflandırma DSS02.01
önceliklendirme dahil olmak üzere, belirlenen nedenler şeması
problemleri rapor etmek amacıyla kriterler ve
prosedürler tanımla ve uygula. DSS02.01 Problem kayıt kriterleri Problem durum raporları DSS02.07
DSS02.04 Problem kronolojik kaydı Problem kaydı İçsel
Faaliyetler
1. Olay raporları, kronolojik hata kayıtları ve diğer problem belirleme kaynaklarının korelasyonu aracılığıyla problemleri belirle. İş riski ve hizmet tanımı
bazında problemleri zamanında ele almak amacıyla öncelik seviyesi ve kategorisine karar ver.
2. Değişiklik yönetim sistemi ve BT konfigürasyon/varlık ve olay detaylarından gelen bilgiler dahil olmak üzere ilgili tüm verilere erişim ile birlikte tüm
problemleri resmi olarak ele al.
3. Problem yönetimini desteklemek amacıyla problem belirleme, kök neden analizi ve çözüm belirleme konusunda yardımcı olacak uygun destek
gruplarını tanımla. Destek gruplarını donanım, ağ, yazılım, uygulamalar ve destek yazılımı gibi önceden tanımlanmış kategoriler bazında belirle.
4. Problem belirleme ve kök neden analizinin üzerinde anlaşılmış olan hizmet seviyesi anlaşmalarına (SLA’lar) uygun şekilde zamanında ele alındığından
emin olmak amacıyla, işle istişare sonucunda öncelik seviyelerini tanımla. Öncelik seviyelerini iş etkisi ve acil olma durumuna dayandır.
5. Müşteriler ve BT yönetiminin bilgilendirilmiş kalabilmesini sağlamak amacıyla, belirlenmiş problemlerin durumunu hizmet masasına rapor et.
6. Belirlenen problemleri kaydetmek ve rapor etmek ve her problemin durumu (yani, açık, tekrar açılmış, süreci devam ediyor veya kapatılmış) dahil
olmak üzere problem yönetim süreçlerinin denetim izini oluşturmak amacıyla tek bir problem yönetim listesini sürdür.
DSS03.02 Problemleri araştır ve teşhis et Kaynak Açıklama Açıklama Hedef
Kök nedenleri değerlendirmek ve analiz etmek amacıyla APO12.06 Riskle Bağlantılı kök Problemlerin kök nedenleri İçsel
ilgili konuya dair yönetim uzmanlarından faydalanarak nedenler
problemleri araştır ve teşhis et. Problem çözüm raporları DSS02.07
Faaliyetler
1. Olay verilerinin bilinen ve şüpheli hatalara (ör., dış tedarikçiler tarafından bildirilenler) ait veritabanlarıyla karşılaştırılmasıyla, problemlerin bilinen
hatalar olup olmadıklarını belirle.
2. Etkilenen konfigürasyon öğelerini belirlenmiş/bilinen hatayla ilişkilendir.
3. Problemlerin çözümündeki ilerlemeyi bildirmek ve çözülmeyen problemlerin devam eden etkisini izlemek amacıyla raporlar oluştur. Değişiklik ve
konfigürasyon yönetiminden girdiler dahil olmak üzere, yaşam döngüsü boyunca problem ele alma sürecinin durumunu izle.
184
Bölüm 5

DSS03.03 Bilinen hataları bir araya getir Kaynak Açıklama Açıklama Hedef
Problemlerin kök nedenleri belirlenir belirlenmez, bilinen Bilinen hata kayıtları DSS02.05
hata kayıtları ve uygun geçici çözümleri oluştur ve
potansiyel çözümleri belirle. Bilinen hatalar için önerilen BAI06.01
çözümler
Faaliyetler
1. Problemlerin kök nedenleri belirlenir belirlenmez, bilinen hata kayıtları oluştur ve uygun geçici çözümler geliştir.
2. Bilinen hataların çözümlerini, bir maliyet-fayda iş gerekçesi ve işe etkisi ve aciliyeti bazında belirle, değerlendir, önceliklendir ve süreç haline getir
(değişiklik yönetimi aracılığıyla).
DSS03.04 Problemleri çöz ve kapat Kaynak Açıklama Açıklama Hedef
Hataları çözmek için gerektiği takdirde, kök nedeni ele DSS02.05 Olay çözümleri Kapatılmış problem DSS02.06
alan, belirlenmiş değişiklik yönetim süreci aracılığıyla kayıtları
değişiklik taleplerini bir araya getiren sürdürülebilir
çözümleri belirle ve başlat. Etkilenen personelin alınan DSS02.06 Kapatılmış hizmet talepleri Öğrenilen bilgilere dair APO08.04
önlemlerin ve olayların gelecekte ortaya çıkmasını ve olayları bildirimler DSS02.05
engellemek amacıyla geliştirilen planların farkında
Faaliyetler
1. Bilinen hatanın başarılı şekilde ortadan kaldırıldığı teyidinden sonra veya problemin alternatif olarak nasıl ele alınacağına dair iş ile anlaşma sonrasında
problem kayıtlarını kapat.
2. Problem kapatma programı, örneğin bilinen hataların düzeltilme programı, olası geçici çözüm veya problemin değişiklik uygulanana kadar olduğu gibi
kalacağı gerçeği ve alınan yaklaşımın sonuçlarına dair hizmet masasını bilgilendir. Etkilenen kullanıcılar ve müşterileri uygun şekilde sürekli bilgilendir.
3. Çözüm süreci boyunca, değişiklik yönetiminden problemler ve hataların çözülmesindeki ilerleme konusunda düzenli raporlar temin et.
4. Problemler ve bilinen hataların hizmetler üzerinde süren etkisini izle.
5. Büyük problemlerin çözüm başarılarını gözden geçir ve teyit et.
6. Gözden geçirme sonrasında öğrenilen bilgilerin, iş müşterisi ile hizmet gözden geçirme toplantısına dahil edildiğinden emin ol.
DSS03.05 İleriye dönük problem yönetimini Kaynak Açıklama Açıklama Hedef
gerçekleştir Problem çözüm izleme DSS02.07
Problemler gösterebilecek yeni eğilimleri belirlemek raporları
amacıyla operasyon verilerini (özellikle olay ve değişiklik
kayıtları) topla ve analiz et. Değerlendirme sağlamak Belirlenmiş sürdürülebilir BAI06.01
amacıyla problem kayıtlarının kronolojik kaydını tut. çözümler
Faaliyetler

1. BT değişiklikleri ve olaylarla Bağlantılı problem bilgilerini elde et ve bunları ana paydaşlara bildir. Bu bildirim, olay, problem, değişiklik ve konfigürasyon
yönetim süreci sahipleri arasında, son problemleri ve potansiyel düzeltici aksiyonları dikkate almak amacıyla rapor formunda veya düzenli aralıklarla
yapılan toplantılar olabilir.
2. Olay, problem, değişiklik ve konfigürasyon yönetimindeki süreç sahipleri ve yöneticilerin, bilinen problemleri ve gelecekteki planlanmış değişiklikleri ele
almak amacıyla düzenli aralıklarla toplandığından emin ol.
3. Kurumun problemlerin toplam maliyetlerini izlemesini sağlamak amacıyla, problem yönetim süreci faaliyetlerinden (ör., problemler ve bilinen hatalara
yapılan düzeltmeler) kaynaklanan değişiklik çalışmalarını topla ve bunlar konusunda rapor hazırla.
4. Problem çözümünü, iş gereksinimleri ve hizmet seviyesi anlaşmalarıyla (SLA’lar) karşılaştırmalı olarak izlemek amacıyla raporlar oluştur. Problemlerin
uygun üst bildirimlerinin, ör., üzerinde anlaşılmış olan kriterlere uygun olarak daha yüksek bir yönetim seviyesine yapıldığından, dış tedarikçilerle temas
kurulduğundan veya geçici bir çözümü uygulamak amacıyla acil bir değişiklik talebinin (RFC) önceliğini arttırmak için değişiklik danışma kuruluna
danışıldığından emin ol.
5. Kaynakların kullanımını optimize etmek ve geçici çözümleri azaltmak amacıyla problem eğilimlerini izle.
6. Kök nedeni ele alan sürdürülebilir çözümleri (kalıcı düzeltme) belirle ve başlat ve belirlenmiş değişiklik yönetim süreçleri aracılığıyla değişiklik
taleplerini bir araya getir.

ISO/IEC 20000 8.3 Problem yönetimi
ITIL V3 2011 Hizmet Operasyonu, 4.4 Problem Yönetimi
185

186
Bölüm 5
Alan: Yönetim
DSS04 Sürekliliği Yönet Etki alanı: Tedarik, Hizmet ve Destek
Kritik iş süreçleri ve gerekli BT hizmetlerine ait çalışmaların devamını sağlamak ve bilgi kullanılabilirliğini kurum tarafından kabul edilebilecek bir
seviyede sürdürmek için, iş ve BT’nin olaylar ve kesintilere müdahale etmesini sağlamak amacıyla bir plan oluştur ve sürdür.
Kritik iş operasyonlarını sürdür ve önemli bir kesinti durumunda bilgi kullanılabilirliğini kurum tarafından kabul edilebilecek bir seviyede devam ettir.
04 Yönetilen BT-Bağlantılı iş riski • Kritik iş süreçleri, BT hizmetleri ve risk değerlendirmesinin kapsadığı
BT etkin iş programlarının yüzdesi
olayların sayısı
14 Karar alma için güvenilir ve yararlı bilgilerin kullanılabilirliği • Yönetim bilgilerinin kalitesi ve zamanlaması (veya kullanılabilirliği)
konusunda iş kullanıcısı memnuniyetinin seviyesi
•Bilgilerin kullanılamamasından kaynaklanan iş süreç olaylarının sayısı
•Hatalı veya kullanılamayan bilgilerin ana faktör olduğu hatalı ticari
kararların oranı ve kapsamı
1. İş kritik bilgileri, minimum gerekli hizmet seviyesiyle uyumlu olarak iş • Hizmet süresi gereksinimlerini karşılayan BT hizmetlerinin yüzdesi
tarafından kullanılabilir. • Yedekleme veya alternatif ortam kopyalarından başarılı ve zamanında
onarım yüzdesi
• Güvenli şekilde aktarılan ve saklanan yedekleme ortamı yüzdesi
2. Kritik hizmetler için yeterli direnç mevcuttur. • Planın kapsamadığı kritik iş sistemlerinin sayısı
3. Hizmet süreklilik testleri, planın etkinliğini doğrulamıştır. • Kurtarma amaçlarını yerine getiren alıştırma ve testlerin sayısı
• Testlerin sıklığı
4. Güncel bir süreklilik planı, güncel iş gereksinimlerini yansıtır. • Planda yansıtılmış olan üzerinde anlaşılmış plan iyileştirmelerinin
yüzdesi
• Müteakip olarak planda ele alınan belirlenmiş sorunların yüzdesi
5. Kurum içi ve dışındaki taraflar süreklilik planı konusunda eğitim alır. • Eğitim alan kurum içi ve dışı paydaşların yüzdesi
• Müteakip olarak eğitim materyallerinde ele alınan belirlenmiş
sorunların yüzdesi
187
DSS04 SMDB Tablosu




Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
DSS04.01
İş süreklilik politikası, amaçları M D S D D D S S D S S
ve kapsamını tanımla
DSS04.02
Süreklilik stratejisini sürdür M D S B D D S S D S S
DSS04.03
İş süreklilik tepkisini oluştur ve B S B D D S D D S M
uygula
DSS04.04
İş süreklilik planını (BCP) B S B S S D S M
uygula, test et ve gözden geçir
DSS04.05
Süreklilik planını gözden geçir, M B S B S D S S
sürdür ve iyileştir.
DSS04.06
Süreklilik planı eğitimini yürüt B S S S S S M
DSS04.07
Yedekleme düzenlemelerini D M S
yönet
DSS04.08
Devam etme sonrası gözden D S B S D D S S M
geçirmeyi yürüt

DSS04.01 İş süreklilik politikası, amaçları ve Kaynak Açıklama Açıklama Hedef

kapsamını tanımla APO09.03 Hizmet seviyesi İş sürekliliği politika ve APO01.04
Kurum ve paydaş amaçlarıyla uyumlu olarak iş süreklilik anlaşmaları (SLA’lar) amaçları
politikası ve kapsamını tanımla.
Kesintiye neden olan olay İçsel
senaryoları
Güncel süreklilik İçsel
yetkinlikleri ve eksikliklerin
değerlendirilmesi
Faaliyetler
1. Kurum operasyonları için kritik olan veya yasa ve/veya sözleşmeyle ilgili yükümlülükleri yerine getirmek için gerekli olan iç ve dış tedarikli iş süreçleri
ve hizmet faaliyetlerini belirle.
2. Süreklilik politikası ve kapsamını tanımla ve üzerinde anlaşılmasına yönelik ana paydaşların görev ve sorumluluklarını belirle.
3. Üzerinde anlaşılan asgari politika amaçları ve iş süreklilik kapsamını tanımla ve belgele ve kurum kültüründe süreklilik planı ihtiyacını yerleşik hale getir.
4. Temel destekleyici iş süreçleri ve Bağlantılı BT hizmetlerini belirle.
188
Bölüm 5

DSS04.02 Süreklilik stratejisini sürdür Kaynak Açıklama Açıklama Hedef
İş sürekliliği yönetim seçeneklerini değerlendir ve bir APO12.06 • Riskle Bağlantılı kök İş etki analizleri APO12.02
felaketle veya bir başka büyük olay veya kesinti ile nedenler
karşılaşıldığında kurum geri kazanımı ve sürekliliğini Süreklilik gereksinimleri İçsel
• Risk etki bildirimleri
sağlayacak düşük maliyetli ve uygulanabilir bir süreklilik Onaylanmış stratejik APO02.05
stratejisini seç. seçenekler
Faaliyetler
1. Önemli kesintiye yol açan olumsuz olaylara neden olabilecek olayları muhtemelen ortaya çıkaran potansiyel senaryoları belirle.
2. Kesintinin zaman içinde kritik iş fonksiyonu üzerindeki etkisi ve kesintinin üzerlerinde bırakacağı etkiyi değerlendirmek amacıyla, iş etki analizi
gerçekleştir.
3. Kabul edilebilir iş kesintisi uzunluğu ve maksimum tolere edilebilen hizmet aksama süresi bazında, iş süreci ve destekleyici BT’nin toparlanması için
gereken minimum süreyi belirle.
4. İş sürekliliği kaybına neden olabilecek tehdit ihtimallerini değerlendir ve daha iyi hale getirilmiş önlem ve arttırılmış dayanıklılık sayesinde ihtimal ve
etkiyi azaltacak önlemleri belirle.
5. Olası stratejik iş ve teknik seçenekleri belirlemek amacıyla süreklilik gereksinimlerini analiz et.
6. Süreklilik planlarının başlatılmasına neden olacak ana karar koşulları ve sahiplerini belirle.
7. Her stratejik teknik seçenek için kaynak gereksinimleri ve maliyetleri belirle ve stratejik öneriler sun.
8. Seçilen stratejik seçeneklere ait iş yöneticilerinden onay al.
DSS04.03 İş süreklilik tepkisini oluştur ve uygula Kaynak Açıklama Açıklama Hedef
Kurum kritik faaliyetlerine devam etmesini sağlamak APO09.03 Operasyon seviyesi Olaya yanıt hareketleri ve DSS02.01
amacıyla bir olayda kullanılacak hazır halde bulunan anlaşmaları (OLA’lar) iletişimler
prosedürler ve bilgileri belgeleyen strateji bazında bir iş
süreklilik planını (BCP) oluştur. İş süreklilik planını (BCP) İçsel
Faaliyetler
1. Olaya yanıt hareketleri ve kesinti durumunda yapılacak bildirimleri tanımla. Politika ve uygulamaya yönelik yükümlülükler dahil olmak üzere, Bağlantılı
görevler ve sorumlulukları tanımla.
2. Dış tedarikli hizmet sağlayıcılarına ait planlara bağlantılar dahil olmak üzere, kritik iş süreçleri ve/veya geçici süreç düzenlemelerine yönelik
operasyonların sürdürülmesini sağlamak amacıyla izlenecek prosedürleri içeren operasyon iş süreklilik planlarını (BCP’ler) oluştur ve sürdür.
3. Ana tedarikçiler ve dış tedarik ortaklarının yerleşik halde etkili süreklilik planlarına sahip olduğundan emin ol. Gerektiği takdirde, denetim kanıtlarını
elde et.
4. Bilgi bütünlüğünü korumak amacıyla bilgi veritabanlarının güncellenmesi ve hizalanması dahil olmak üzere, iş süreçlerinin devam ettirilmesini
sağlayacak koşullar ve geri kazanım prosedürlerini tanımla.
5. İnsanlar, hizmet araçları ve BT altyapısını dikkate alarak, süreklilik ve geri kazanım prosedürlerini desteklemek için gereken kaynakları tanımla ve
belgele.

6. Planlar ve kağıt belgelerin yanı sıra veri dosyaları dahil olmak üzere planları desteklemek için gereken bilgi yedekleme gereksinimlerini tanımla ve
belgele ve güvenlik ve kurum dışında saklama ihtiyacını göz önünde bulundur.
7. Plan ve prosedürlerin yürütülmesine dahil olan kişiler için gerekli becerileri belirle.
8. Planları ve destekleyici belgeleri, yetkilendirilmiş söz konusu kişilere uygun şekilde dağıt ve tüm felaket senaryoları durumunda ulaşılabilir olmalarını
sağla.
189

DSS04.04 İş süreklilik planını (BCP) uygula, test et Kaynak Açıklama Açıklama Hedef
ve gözden geçir Test amaçları İçsel
Önceden belirlenmiş sonuçlara göre geri kazanım
planlarını düzenli aralıklarla uygulamak ve yenilikçi Test uygulamaları İçsel
çözümlerin geliştirilmesine imkan tanımak ve Test sonuçları ve öneriler İçsel
planın zaman içinde öngörüldüğü üzere çalıştığının
doğrulanmasına yardımcı olmak amacıyla süreklilik
düzenlemelerini test et.
Faaliyetler
1. İş riskinin karşılanmasında iş süreklilik planının (BCP) bütünlüğünü doğrulamak amacıyla, plana ait iş, teknik, lojistik, idari, prosedür ve operasyon
sistemlerini uygulama ve test etme amaçlarını tanımla.
2. Gerçekçi olan paydaş uygulamalarını tanımla ve üzerinde anlaş, süreklilik prosedürlerini doğrula ve iş süreçlerinde minimum kesintiye yol açan
görevler ve sorumluluklar ve veri saklama düzenlemelerine yer ver.
3. Süreklilik planı uygulama ve testlerini gerçekleştirmek için görevler ve sorumluluklar ata.
4. Uygulamalar ve test faaliyetlerini süreklilik planında tanımlandığı üzere programla.
5. Başarıyı incelemek amacıyla uygulama sonrası bilgi alma ve analiz yürüt.
6. Gözden geçirmenin sonuçları bazında güncel süreklilik planını iyileştirmek amacıyla öneriler oluştur.
DSS04.05 Süreklilik planını gözden geçir, sürdür ve Kaynak Açıklama Açıklama Hedef
iyileştir. Planları gözden geçirme İçsel
Düzenli aralıklarla süreklilik yetkinliğine dair, uygunluk, sonuçları
yeterlilik ve etkinliğini sürdürdüğünden emin olmak
amacıyla bir yönetim gözden geçirmesi yürüt. Süreklilik Önerilen plan değişiklikleri İçsel
planının güncel olarak tutulduğundan ve sürekli olarak
fiili iş gereksinimlerini yansıttığından emin olmak
amacıyla, değişiklik kontrol sürecine uygun şekilde
plandaki değişiklikleri yönet.
Faaliyetler
1. Süreklilik planı ve yetkinliği, yapılan her türlü varsayım ve güncel iş operasyon ve stratejik amaçlarıyla karşılaştırmalı olarak düzenli aralıklarla gözden
geçir.
2. Değişikliğin yapısına bağlı olarak, yenilenmiş iş etki değerlendirmesinin gerekli olup olmadığını dikkate al.
3. Yönetim onayını almak ve değişiklik yönetim süreci aracılığıyla yürütülmek üzere politika, planlar, prosedürler, altyapı ve görev ve sorumluluklarda
değişiklikler öner ve bildir.
4. Yeni veya büyük değişikliklerin kurum organizasyonu, iş süreçleri, dış tedarikli düzenlemeler, teknolojiler, altyapı, işletim sistemleri ve uygulama
sistemleri üzerindeki etkisini dikkate almak amacıyla düzenli aralıklarla süreklilik planını gözden geçir.
DSS04.06 Süreklilik planı eğitimini yürüt Kaynak Açıklama Açıklama Hedef

İlgili tüm kurum içi ve dışındaki taraflar için, kesinti İnsan Eğitim ihtiyacı olan Eğitim gereksinimleri APO07.03
durumunda uygulanacak prosedürler ve üzerlerine kaynakları (HR) personel listesi
düşen görevler ve sorumluluklara dair düzenli eğitim Beceriler ve yetkinliklere APO07.03
toplantıları yap. ait sonuçların izlenmesi
Faaliyetler
1. Süreklilik planı, etki değerlendirmeleri, risk değerlendirmeleri, ortam iletişim ve olay yanıtını gerçekleştirenler için eğitim gereksinimleri ve planlarını
tanımla ve sürdür. Eğitim planlarının eğitim sıklığı ve eğitim sağlama mekanizmalarını dikkate aldığından emin ol.
2. Uygulamalar ve testlere katılım dahil olmak üzere, uygulamalı eğitim bazında yetkinlikler oluştur.
3. Uygulama ve test sonuçları bazında beceriler ve yetkinlikleri izle.
190
Bölüm 5

DSS04.07 Yedekleme düzenlemelerini yönet Kaynak Açıklama Açıklama Hedef
İş kritik bilgileri kullanılabilirliğini sürdür. Yedekleme verilerinin test İçsel
sonuçları
Faaliyetler
1. Aşağıdakileri dikkate alarak sistemler, uygulamalar, veriler ve belgeleri tanımlanmış bir programa uygun olarak yedekle:
• Sıklık (aylık, haftalık, günlük vb.)
• Yedekleme şekli (ör., gerçek zamanlı yedeklemeler için disk ikizlemeye karşı uzun süreli saklama için DVD-ROM)
• Yedekleme tipi (ör., tam veya kademeli)
• Ortam tipi
• Otomatik çevrim-içi yedeklemeler
• Veri tipleri (ör., ses, optik)
• Kronolojik kayıtların oluşturulması
• Kritik son kullanıcı bilgisayar verileri (ör., tablolama programları)
• Veri kaynaklarına ait fiziksel ve mantıksal yerler
• Güvenlik ve erişim hakları
• Şifreleme
2. Üçüncü şahıslar tarafından sürdürülen veya çalıştırılan sistemler, uygulamalar, veriler ve belgelerin uygun şekilde yedeklendiğinden veya aksi takdirde
güven altına alınmış olduğundan emin ol. Üçüncü şahıslardan yedeklemelerin iadesini talep etmeyi dikkate al. Emanet veya depozito düzenlemelerini
dikkate al.
3. İş gereksinimlerini karşılayan yedekleme verilerinin kurum içi veya kurum dışında saklanma gereksinimlerini tanımla. Verileri yedeklemek için gerekli
olan erişim kolaylığını dikkate al.
4. İş süreklilik planı (BCP) farkındalığı ve eğitimi sun.
5. Arşivlenmiş ve yedeklenmiş verileri düzenli aralıklarla test et ve yenile.
DSS04.08 Devam etme sonrası gözden geçirmeyi Kaynak Açıklama Açıklama Hedef
yürüt Devam etme sonrası İçsel
Bir kesintiden sonra iş süreçleri ve hizmetlerinin başarılı gözden geçirme raporu
şekilde devam etmesini takip eden iş süreklilik planının
(BCP) uygunluğunu değerlendir. Onaylanmış plan BAI06.01
değişiklikleri
Faaliyetler
1. Belgelenmiş iş süreklilik planına (BCP) uygunluğu değerlendir.
2. Plan, süreklilik yetkinlikleri, görevler ve sorumluluklar, beceriler ve yetkinlikler, olaya direnç, teknik altyapı ve organizasyon yapıları ve ilişkilerin
etkinliklerini belirle.
3. Plan ve yetkinliklerdeki zayıf yönler ve eksiklikleri belirle ve iyileştirmeye yönelik önerilerde bulun.
4. Planda her türlü değişiklik için yönetim onayını al ve kurum değişiklik kontrol süreci aracılığıyla uygula.

BS 25999:2007 İş Süreklilik Standardı
ISO/IEC 20000 6.3 Hizmet süreklilik ve kullanılabilirlik yönetimi
ISO/IEC 27002:2011 14. İş Süreklilik Yönetimi
ITIL V3 2011 Hizmet Tasarımı, 4.6 BT Hizmet Süreklilik Yönetimi
191

192
Bölüm 5
Alan: Yönetim
DSS05 Güvenlik Hizmetlerini Yönet Etki alanı: Tedarik, Hizmet ve Destek
Güvenlik politikasına uygun olarak kurum tarafından kabul edilebilir bilgi güvenliği riski seviyesini sürdürmek amacıyla kurum bilgilerini koru. Bilgi
güvenliği görevleri ve erişim ayrıcalıklarını oluştur ve sürdür ve güvenlik izlemlerini gerçekleştir.
Operasyon bilgi güvenliğine ait zayıf noktaların ve olayların işe etkisini en aza indir.
02 İşin ait olunan ülke dışındaki ülkelere ait kanunlar ve yönetmeliklere uygunluğu • Ödemeler ve para cezaları ve itibar kaybı etkisi dahil BT›ye
sayısı
1. Ağların ve iletişimlerin güvenliği, iş ihtiyaçlarını karşılar. • Bulunan zayıf noktaların sayısı
• Güvenlik duvarı ihlallerinin sayısı
2. Uç nokta aygıtlarıyla işlenen, saklanan ve aktarılan bilgiler korunur. • Uç nokta aygıtlarının kullanımıyla ilgili farkındalık eğitimi alan
kişilerin yüzdesi
• Uç nokta aygıtlarının dahil olduğu olayların sayısı
• Ağ içinde veya son kullanıcı ortamında tespit edilen yetkisiz

aygıtların sayısı
3. Tüm kullanıcılar özgün şekilde belirlenebilir ve iş görevlerine uygun erişim • Hesapların değiştirilmesi ve güncellemesi arasında geçen
haklarına sahiptir. ortalama süre
• Hesapların sayısı (yetkilendirilmiş kullanıcılar/personel
sayısına karşı)
4. Bilgileri yetkisiz erişim, işlenirken zarar görme veya karışma, saklama veya • Çevresel güvenlik aygıtlarının periyodik testlerinin yüzdesi
aktarılmaya karşı korumak için fiziksel önlemler uygulanır. • Fiziksel güvenlik değerlendirmelerine ait ortalama oran
• Fiziksel güvenlikle Bağlantılı olayların sayısı
5. Elektronik bilgiler, saklandıkları, aktarıldıkları veya imha edildiklerinde uygun • Bilgilere yetkisiz erişimle ilgili olayların sayısı
şekilde güven altına alınır.
193
DSS05 SMDB Tablosu




Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
DSS05.01
Kötü amaçlı yazılıma karşı koru S B D M S D D D B S S B S
DSS05.02
Ağ ve bağlantı güvenliğini yönet B D M D D D B S S B S
DSS05.03
Uç nokta güvenliğini yönet B D M D D D B S S B S
DSS05.04
Kullanıcı kimliği ve mantıksal S D M B D D D B D S B S D
erişimi yönet
DSS05.05
BT varlıklarına fiziksel erişimi B D M D D D B D S B S B
yönet
DSS05.06
Hassas belgeler ve çıktı B D D M S
aygıtlarını yönet
DSS05.07
Altyapıyı güvenlikle Bağlantılı B D B M D D D B D S B S B B
olaylar açısından izle.

DSS05.01 Kötü amaçlı yazılıma karşı koru Kaynak Açıklama Açıklama Hedef
Kurum çapında bilgi sistemleri ve teknolojiyi kötü amaçlı Kötü amaçlı yazılım APO01.04
yazılıma (ör., virüsler, solucanlar, casus yazılımlar, önleme politikası
istenmeyen e-posta) karşı korumak amacıyla önleyici,
tespit edici ve düzeltici önlemleri yerinde (özellikle Potansiyel tehdit APO12.02

güncel güvenlik yamaları ve virüs kontrolü) uygula ve değerlendirmeleri APO12.03
sürdür.
Faaliyetler
1. Kötü amaçlı yazılım farkındalığını bildir ve engelleme prosedürleri ve sorumluluklarını uygula.
2. Çalışan tüm hizmet araçlarına, gerektiği takdirde güncellenen (otomatik veya yarı otomatik olarak) kötü amaçlı yazılım tanım dosyaları olan kötü amaçlı
yazılıma karşı koruma araçlarını kur ve aktifleştir.
3. Merkezi konfigürasyon ve değişiklik yönetimini kullanarak, tüm koruma yazılımını merkezi olarak (versiyon ve yama seviyesi) dağıt.
4. Yeni potansiyel tehditlerle ilgili bilgileri düzenli aralıklarla gözden geçir ve değerlendir (ör., tedarikçilerin ürünleri ve hizmet güvenlik tavsiyeleri gözden
geçirilerek).
5. Talep edilmeyen bilgilere karşı (ör., casus yazılım, şifre çalma e-postaları) koruma amacıyla, e-posta ve indirilenler gibi gelen trafiğini filtrele.
6. Elektronik posta ve İnternet kullanımında kötü amaçlı yazılım hakkında düzenli aralıklarla eğitimler yürüt. Paylaşılan veya onaylanmamış yazılımları
kurmamaları konusunda kullanıcılara eğitim ver.
194
Bölüm 5

DSS05.02 Ağ ve bağlantı güvenliğini yönet Kaynak Açıklama Açıklama Hedef
Her türlü bağlantı yöntemi boyunca bilgileri korumak APO01.06 Veri sınıflandırma kuralları Bağlantı güvenlik politikası APO01.04
amacıyla önlemler ve Bağlantılı yönetim prosedürlerini
kullan. APO09.03 Hizmet seviyesi Sızma testleri sonuçları MEA02.08
Faaliyetler
1. Risk değerlendirmeleri ve iş gereksinimleri bazında, bağlantı güvenliğine yönelik bir politikayı oluştur ve sürdür.
2. Kurum bilgileri ve kurum ağına sadece yetkilendirilmiş aygıtların erişimine izin ver. Bu aygıtları parola girişi uygulanacak şekilde yapılandır.
3. Gelen ve giden trafiğini kontrol altında tutmak amacıyla, uygun politikalarla birlikte güvenlik duvarları ve izinsiz giriş tespit yazılımı gibi ağırlıkça
filtreleme mekanizmalarını uygula.
4. Bilgileri, aktarılırken sınıfına uygun olarak şifrele.
5. Ağ bağlantısında onaylanmış güvenlik protokollerini uygula.
6. Ağ ekipmanının güvenli şekilde konfigürasyonunu yap.
7. Bilgilerin güvenli aktarımı ve alınmasını desteklemek amacıyla güvenilir mekanizmalar oluştur.
8. Ağ korumasının yeterliliğini tespit etmek amacıyla düzenli aralıklarla sızma testleri gerçekleştir.
9. Sistem korumasının yeterliliğini tespit etmek amacıyla düzenli aralıklarla sistem güvenliği testleri gerçekleştir.
DSS05.03 Uç nokta güvenliğini yönet Kaynak Açıklama Açıklama Hedef
Uç noktaların (ör., dizüstü, masaüstü, sunucu ve diğer APO03.02 Bilgi mimari modeli Son nokta aygıtları APO01.04
mobil ve ağ aygıtları veya yazılımı) işlenen, saklanan güvenlik politikaları
veya aktarılan bilgilere ait tanımlanmış güvenlik APO09.03 • Operasyon seviyesi
gereksinimlerine eşit veya daha yüksek bir seviyede anlaşmaları (OLA’lar)
güven altına alındığından emin ol. • Hizmet seviyesi
BAI09.01 Fiziksel envanter kontrol
sonuçları
DSS06.06 İhlal raporları
Faaliyetler
1. İşletim sistemlerinin güvenli şekilde konfigürasyonunu yap.
2. Aygıt kilitleme mekanizmalarını uygula.
3. Bilgileri, saklanırken sınıfına uygun olarak şifrele.
4. Uzaktan erişim ve kontrolü yönet.
5. Ağ konfigürasyonunu güvenli şekilde yönet.
6. Uç nokta aygıtlarında ağ trafiği filtreleme uygula.

7. Sistem bütünlüğünü koru.
8. Uç nokta aygıtlarının fiziksel olarak korunmasını sağla.
9. Uç nokta aygıtlarını güvenli şekilde imha et.
195

DSS05.04 Kullanıcı kimliği ve mantıksal erişimi Kaynak Açıklama Açıklama Hedef
yönet APO01.02 BT-Bağlantılı görevler ve Onaylanmış kullanıcı İçsel
Tüm kullanıcıların kendi iş gereksinimlerine uygun sorumluluklar erişim hakları
şekilde bilgiye erişim hakkına sahip olduğundan emin ol
ve iş süreçleri dahilinde kendi erişim haklarını yöneten iş APO03.02 Bilgi mimari modeli Kullanıcı hesapları ve İçsel
birimleriyle işbirliği yap. ayrıcalıklara dair gözden
Faaliyetler
1. Kullanıcı erişim haklarını, iş fonksiyonu ve süreç gereksinimlerine uygun şekilde sürdür. En az ayrıcalık, sahip olması gerekli ve bilmesi gerekli
prensipleri bazında, kimliklerin ve erişim haklarının yönetimini tanımlanmış görev ve sorumluluklarla hizala.
2. Tüm bilgi işleme faaliyetlerini, iş süreç uygulamaları dahilinde işin kendisi tarafından tanımlanan görevler dahil olmak üzere, tüm görevlerin tutarlı
şekilde tanımlandığından emin olmak amacıyla, iş birimleriyle işbirliği yaparak fonksiyonel görevlere göre özgün şekilde belirle.
3. Kimlik doğrulama kontrollerinin doğru şekilde uygulandığından emin olmak amacıyla, iş süreçlerinde kullanılan uygulamalarda kimlik doğrulamayı
yöneten iş birimleriyle işbirliği yaparak, bilgi varlıklarına tüm erişimlerde, güvenlik sınıflandırması bazında kimlik doğrulaması yap.
4. Atanmış yönetim bireyleri tarafından yetkilendirilen sadece onaylanmış ve belgelenmiş işlemler bazında, uygun bir zamanda yürürlüğe girecek şekilde,
erişim haklarına tüm değişiklikleri (oluşturulması, değiştirilmesi ve silinmesi) yönet.
5. Ayrıcalıklı kullanıcı hesaplarını ayırıp bir araya topla ve yönet.
6. Tüm hesaplar ve Bağlantılı ayrıcalıklarına dair düzenli olarak yönetim gözden geçirmeleri gerçekleştir.
7. Tüm kullanıcılar (kurum içi, dışı ve geçici) ve bunların BT sistemlerindeki faaliyetlerinin (iş uygulaması, BT altyapısı, sistem operasyonları, geliştirme ve
bakım) özgün şekilde belirlenebildiğinden emin ol. Tüm bilgi işleme faaliyetlerini kullanıcı bazında özgün şekilde belirle.
8. Yüksek derecede hassas olarak sınıflandırılan bilgilere erişime dair bir denetim izini sürdür.
DSS05.05 BT varlıklarına fiziksel erişimi yönet Kaynak Açıklama Açıklama Hedef
İş ihtiyaçlarına uygun şekilde iş merkezleri, binalar Onaylanmış erişim talepleri İçsel
ve alanlara erişimi onaylamak, sınırlandırmak ve iptal
etmek için prosedürler tanımla ve uygula. İş merkezleri, Erişim kronolojik kayıtları DSS06.03
binalar ve alanlara erişim doğrulanmalı, yetkilendirilmeli,
kronolojik kaydı tutulmalı ve izlenmelidir. Bu, kadrolu
personel, geçici personel, memurlar, tedarikçiler,
ziyaretçiler veya her türlü üçüncü şahıslar dahil olmak
üzere iş merkezlerine giren tüm kişilere uygulanır.
Faaliyetler
1. Programlama araçlarına erişim talep ve onayını yönet. Resmi erişim talepleri BT alanı yönetimi tarafından tamamlanmalı ve yetkilendirilmeli ve talep
kayıtları tutulmalıdır. Formlar, kişinin erişim onayını aldığı alanları özellikle belirlemelidir.
2. Erişim profillerinin güncel kaldığından emin ol. BT alanlarına (sunucu odaları, binalar, alanlar veya bölgeler) erişimi, iş fonksiyonu ve sorumluluklara
dayandır.
3. BT alanlarına tüm giriş noktalarının kronolojik kaydını tut ve izle. Taşeronlar ve tedarikçiler dahil alanlara giren tüm ziyaretçileri kaydet.
4. Tüm personelin her zaman görünür şekilde kimliklerini göstermeleri konusunda talimat ver. Kimlik kartları veya yaka kartlarının uygun yetkilendirme
olmaksızın düzenlenmesini engelle.
5. Kurum içinde ziyaretçilere her zaman eşlik edilmesini talep et. Personel kimlik kartı takmayan, eşlik edilmeyen, tanıdık olmayan bir kişi belirlendiği
takdirde, güvenlik personeline bildir.
6. İç ve dış mekanlara parmaklıklar, duvarlar gibi çevre kısıtlayıcılar ve güvenlik aygıtları yerleştirerek hassas BT alanlarına erişimi kısıtla. Aygıtların
girişi kaydettiğinden ve yetkisiz erişim durumunda bir alarmı tetiklediğinden emin ol. Bu aygıtların örneklerine yaka kartları veya anahtar kartları, tuş
takımları, kapalı devre televizyon ve biyoölçüt sensörler dahildir.
7. Düzenli aralıklarla fiziksel güvenlik farkındalık eğitimleri düzenle.
196
Bölüm 5

DSS05.06 Hassas belgeler ve çıktı aygıtlarını yönet Kaynak Açıklama Açıklama Hedef
Özel formlar, kıymetli evraklar, özel amaçlı yazıcılar veya APO03.02 Bilgi mimari modeli Hassas belgeler ve İçsel
güvenlik akıllı anahtarları gibi hassas BT varlıklarında aygıtların envanteri
uygun fiziksel korumalar, kayıt tutma uygulamaları ve
envanter yönetimi oluştur. Erişim ayrıcalıkları İçsel
Faaliyetler
1. Özel formlar ve çıktı aygıtlarının kuruma, kurumda ve kurum dışından olmak üzere alınması, kullanılması, değiştirilmesi ve imha edilmesinin
yönetişimine yönelik prosedürler oluştur.
2. Hassas belgeler ve çıktı aygıtlarına erişim ayrıcalıklarını, en az ayrıcalık prensibi bazında, risk ve iş gereksinimlerini dengeleyerek tahsis et.
3. Hassas belgeler ve çıktı aygıtlarının bir envanterini oluştur ve düzenli aralıklarla mutabakat yap.
4. Özel formlar ve hassas aygıtlar üzerinde uygun fiziksel korumalar oluştur.
5. Hassas bilgileri imha et ve çıktı aygıtlarını koru (ör., elektronik ortam manyetik alanının etkisizleştirilmesi, hafıza aygıtlarının fiziksel imhası, özel formlar
ve diğer gizli evrakların imha edilmesi için kağıt imha makineleri veya kilitli kağıt çöp sepetlerinin sağlanması).
DSS05.07 Altyapıyı güvenlikle Bağlantılı olaylar Kaynak Açıklama Açıklama Hedef
açısından izle. Güvenlik olaylarının İçsel
İzinsiz giriş tespit araçları kullanarak, altyapıyı yetkisiz kronolojik kaydı
erişim konusunda izle ve her türlü olayın genel olay
izleme ve olumsuz olay yönetimiyle entegre edildiğinden Güvenlik olay özellikleri İçsel
emin ol. Güvenlik olay kayıtları DSS02.02
Faaliyetler
1. Risk dikkate aldığında kaydedilecek bilgi seviyesini belirleyerek altyapı güvenlik araçları tarafından rapor edilen güvenlikle Bağlantılı olayların kronolojik
kaydını tut. Bu kayıtları, gelecekteki araştırmalara yardımcı olması için uygun bir süre boyunca tut.
2. Potansiyel güvenlikle Bağlantılı olayların yapısı ve özelliklerini, kolaylıkla fark edilmeleri ve orantılı tepki verebilmek amacıyla etkilerinin anlaşılması için
tanımla ve bildir.
3. Kronolojik olay kayıtlarını potansiyel olumsuz olaylar açısından düzenli aralıklarla gözden geçir.
4. Yerel adli kayıt kurallarına uyumlu olarak kanıt toplamak için bir prosedürü sürdür ve tüm personelin şartların farkında olduğundan emin ol.
5. İzleme sırasında potansiyel güvenlik olayları belirlendiğinde, güvenlik olay kayıtlarının zamanında oluşturulduğundan emin ol.

ISO/IEC 27002:2011 Bilgi güvenliği yönetim uygulaması kuralları
NIST SP800-53 Rev 1 ABD Federal Bilgi Sistemleri Önerilen Güvenlik Kontrolleri

ITIL V3 2011 Hizmet Operasyonu, 4.5 Erişim Yönetimi
197

198
Bölüm 5
Alan: Yönetim
DSS06 İş Süreç Kontrollerini Yönet Etki alanı: Tedarik, Hizmet ve Destek
Kurum içi veya dış tedarikli iş süreçleri ile Bağlantılı olan ve işlenen bilginin tüm ilgili bilgi kontrol gereksinimlerini karşıladığından emin olmak amacıyla,
uygun iş süreç kontrollerini tanımla ve sürdür. İlgili bilgi kontrol gereksinimlerini belirle ve bilgi ve bilgi işlemenin bu gereksinimleri karşıladığından emin
olmak amacıyla uygun kontrolleri yönet ve uygula.
Kurum içi veya dış tedarikli iş süreçlerinde ele alanın bilgilerin bütünlüğü ve bilgi varlıkları güvenliğini sürdür.
yüzdesi
1. Bilgi işlenmesine dair iş gereksinimlerini karşılayan ana kontrollerin kapsamı ve • Kritik süreçler ve ana kontrollere ait tamamlanmış envanter
etkinliği tamdır. yüzdesi
• Ana kontrollerin test planlarıyla kapsanma yüzdesi
•Ana kontrol başarısızlığını gösteren olay ve denetim raporu
bulgularının sayısı
2. Görevler, sorumluluklar ve erişim haklarının envanteri yetkilendirilmiş iş • Tahsis edilmiş hakları ve yetki seviyeleri olan iş süreç
ihtiyaçlarıyla uyumludur. görevlerinin yüzdesi
• Açık görevler ayrılığı prensibine sahip iş süreç görevlerinin
yüzdesi
• Erişim veya görevler ayrılığı prensibi ihlallerinden kaynaklanan
olay ve denetim bulgularının sayısı
3. İş işlemleri tam olarak ve kronolojik kayıtların gerektirdiği şekilde tutulur. • İzlenebilir işlem kronolojik kaydının tam olma yüzdesi
• İşlem geçmişinin kurtarılamadığı olayların sayısı
199
DSS06 SMDB Tablosu




Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
DSS06.01
İş süreçlerine yerleşik kontrol
faaliyetlerini kurum amaçlarıyla D D D M S B B D D D D D D D
hizala
DSS06.02
Bilgi işlenmesini kontrol et S S S M S B B D D D D D D
DSS06.03
Görevler, sorumluluklar, erişim
ayrıcalıkları ve yetki seviyesini S M S B B D D D D D S D
yönet
DSS06.04
Hata ve istisnaları yönet B B M D D B D S
DSS06.05
Bilgi olayları ve
yükümlülüklerine ait izleme D M B D D D D D D
sağla
DSS06.06
Bilgi varlıkları güvenliğini sağla D D D M B B D D D D D D D

DSS06.01 İş süreçlerine yerleşik kontrol Kaynak Açıklama Açıklama Hedef
faaliyetlerini kurum amaçlarıyla hizala APO01.06 • Veri bütünlüğü İşleme etkinliği gözden MEA02.04
İşleme kontrollerinin iş ihtiyaçlarıyla uyumlu olduğundan prosedürleri geçirme sonuçları
emin olmak amacıyla, iş süreç faaliyetleri ve ilgili • Veri sınıflandırma
kontrollerin uygulanmasını kurum riski bazında sürekli Kök neden analizleri ve BAI06.01
kuralları tavsiyeler MEA02.04

olarak değerlendir ve izle.
MEA02.07
MEA02.08
Faaliyetler
1. Stratejik, operasyon, raporlama ve uyum amaçlarına dair kontrol gereksinimlerini karşılamak amacıyla ana iş süreçlerinin kontrol faaliyetlerini belirle
ve belgele.
2. Kontrol faaliyetlerini işe yönelik doğal risk bazında önceliklendir ve ana kontrolleri belirle.
3. Ana kontrol faaliyetlerinin sahiplendirildiğinden emin ol.
4. İyileştirme fırsatlarını belirlemek amacıyla, kontrol faaliyetlerini baştan sona sürekli olarak izle.
5. İş süreç kontrollerinin tasarım ve çalışmasını sürekli olarak iyileştir.
200
Bölüm 5

DSS06.02 Bilgi işlenmesini kontrol et Kaynak Açıklama Açıklama Hedef
Bilgi işlemenin geçerli, tam, doğru, zamanında ve BAI05.05 Operasyon ve kullanım İşleme kontrol raporları İçsel
güvenli (yani, yasalara uygun ve yetkilendirilmiş iş planı
kullanımını yansıtan) olduğundan emin olmak amacıyla
kurum riski bazında iş süreç faaliyetleri ve ilgili BAI07.02 Geçiş planı
kontrollerin uygulanmasını yönet.
Faaliyetler
1. İşlemleri, yetkilendirilmiş kişilerle birlikte uygun olduğu takdirde, bu işlemlerin oluşturulması ve onaylanmasına ilişkin olarak uygun görevler ayrılığı
prensibini içeren yerleşik prosedürleri izleyerek oluştur.
2. İşlem oluşturucusunu onayla ve bu kişinin işlemi oluşturmaya yetkisi olduğunu doğrula.
3. İşlemleri zamanında gir. İşlemlerin doğru, tam ve geçerli olduğunu doğrula. Girilen verileri doğrula ve düzenle veya uygun olduğu takdirde düzeltilmek
üzere mümkün olan en yakın oluşturma noktasına geri gönder.
4. Hatalı şekilde girilmiş olan verileri orijinal işlem yetki seviyelerinden ödün vermeksizin düzelt ve yeniden sun. Yeniden oluşturma uygun olduğu
takdirde, orijinal kaynak belgelerini uygun bir süre boyunca tut.
5. İşleme döngüsü boyunca verilerin bütünlük ve doğruluklarını sürdür. Hatalı işlemlerin tespitinin, doğru işlemlerin işlenmesini kesintiye uğratmadığından
emin ol.
6. İş süreçlerinde beklenmedik kesintiler boyunca veri bütünlüğünü sürdür ve işleme hatalarından sonra veri bütünlüğünü teyit et.
7. Sonuçları yetkilendirilmiş şekilde ele al, uygun alıcılara ilet ve aktarım sırasında bilgileri koru. Sonuçların doğruluk ve tamlığını doğrula.
8. İç uygulamalar ve iş/operasyon fonksiyonları (kurum içi veya dışı) arasında işlem verilerinin aktarılmasından önce, doğru adresleme, içerik kaynak ve
bütünlüğünün doğrulanmasını kontrol et. Aktarma veya gönderilme sırasında doğruluk ve bütünlüğü sürdür.
DSS06.03 Görevler, sorumluluklar, erişim Kaynak Açıklama Açıklama Hedef
ayrıcalıkları ve yetki seviyesini yönet EDM04.02 Kaynak yönetimine tahsis Tahsis edilen makamlar ve APO01.02
İş süreç amaçlarını desteklemek için gereken iş edilen sorumluluklar sorumluluklar
görevleri, sorumlulukları, yetki seviyeleri ve görevler
ayrılığını yönet. İş, BT ve üçüncü şahısların velayeti APO11.01 Kalite yönetim sistemi Tahsis edilen yetki APO01.02
altında bulunanlar dahil olmak üzere iş bilgi süreçleriyle (QMS) görevleri, seviyeleri
Bağlantılı her türlü bilgi varlığına erişimi yetkilendir. Bu, sorumlulukları ve karar
işin verilerin nerede olduğunu ve verileri kendi adına hakları
kimin ele aldığını bilmesini sağlar. APO13.01 Bilgi güvenliği yönetim Tahsis edilmiş erişim APO07.04
sistemi (ISMS) kapsam hakları
bildirisi
DSS05.05 Erişim kronolojik kayıtları
Faaliyetler
1. Onaylanmış iş açıklamaları ve tahsis edilmiş iş süreç faaliyetleri bazında görev ve sorumlulukları tahsis et.
2. İş süreçleriyle ilgili işlemler, sınırlar ve her türlü kararların onaylanması için, onaylanmış iş görevleri bazında yetki seviyeleri tahsis et.

3. Ön tanımlanmış iş görevlerine göre, iş faaliyetlerini gerçekleştirmek için sadece gerekli olanlar bazında erişim hakları ve ayrıcalıklarını tahsis et. İş
görevi değiştiği veya bir personel iş süreç alanından ayrıldığında erişim haklarını kaldır veya düzelt. Erişimin güncel tehditler, risk, teknoloji ve iş ihtiyacı
için uygun olduğundan emin olmak amacıyla düzenli gözden geçirmeler gerçekleştir.
4. Hassas faaliyetlere ait görevleri, açık bir görevler ayrılığı olacak şekilde tahsis et.
5. Herkes kendi sorumluluğunu, kontrollerin önemini ve her türlü formdaki şirket bilgileri bütünlük, gizlilik ve mahremiyetini kavrayacak şekilde düzenli
aralıklarla görev ve sorumluluklarla ilgili farkındalık ve eğitim sağla.
6. Tüm erişim ayrıcalıklarının geçerli ve güncel personel ve bunların görevleriyle uyumlu olduğundan emin olmak amacıyla erişim kontrol tanımları,
kronolojik kayıtlar ve istisna raporlarını düzenli olarak gözden geçir.
201

DSS06.04 Hata ve istisnaları yönet Kaynak Açıklama Açıklama Hedef
İş süreç istisnaları ve hatalarını yönet ve düzeltilmelerine Hata düzeltme ve MEA02.04
destek ol. İş süreç hataları ve istisnalarına ve iyileştirme kanıtları
tanımlanmış düzeltici aksiyonların yönetimine dair üst
bildirime yer ver. Bu, iş bilgi süreçlerinin doğruluk ve Hata raporları ve kök İçsel
bütünlüğüne dair güvence sağlar. neden analizi
Faaliyetler
1. Sahiplikleri tahsis etmek, hataları düzeltmek, hatalara engel olmak ve dengesiz koşulları ele almak üzere prosedürler tanımla ve sürdür.
2. Hatalar, istisnalar ve sapmaları gözden geçir.
3. Kaynak belgeler ve işlemleri takip et, düzelt, onayla ve yeniden sun.
4. İyileştirme aksiyonları kanıtını sürdür.
5. Kök neden ve eğilim analizi gerçekleştirmek amacıyla, ilgili iş bilgi süreci hatalarını zamanında rapor et.
DSS06.05 Bilgi olayları ve yükümlülüklerine ait Kaynak Açıklama Açıklama Hedef
izleme sağla Saklama gereksinimleri İçsel
İş bilgilerinin, iş olayının kaynağına ve mesul kişilere
kadar izlenebildiğinden emin ol. Bu, bilginin yaşam İşlem kayıtları İçsel
döngüsü ve ilgili süreçler boyunca izlenebilmesini sağlar.
Bu, işin güvenilir olmasını ve tanımlanmış amaçlara
uygun şekilde işlenmesini sağlayan bilginin güvence
altına alınmasını sağlar.
Faaliyetler
1. Operasyon, finansal raporlama ve uyum ihtiyaçlarını karşılamak amacıyla iş gereksinimleri bazında saklama gereksinimlerini tanımla.
2. Kaynak bilgileri, destekleyici kanıt ve işlem kayıtlarını elde et.
3. Kaynak bilgileri, destekleyici kanıt ve işlem kayıtlarını, saklama politikasına uygun şekilde elden çıkar.
DSS06.06 Bilgi varlıkları güvenliğini sağla Kaynak Açıklama Açıklama Hedef
Elektronik formdaki bilgiler (her türlü formda yeni varlık İhlal raporları DSS05.03
oluşturan yöntemler, taşınabilir medya aygıtları, kullanıcı
uygulamaları ve saklama aygıtları gibi), fiziksel formdaki
bilgiler (kaynak belgeleri veya çıktı raporları gibi) ve
aktarma sırasındaki bilgi dahil olmak üzere onaylanmış
yöntemlerle iş tarafından erişebilecek bilgi varlıklarının
güvenliğini sağla. Bu, baştan sona bilginin korunmasını
sağlayarak işe fayda sağlar.
Faaliyetler
1. İş kontrolü altındaki bilgi varlıklarını korumak amacıyla veri sınıflandırma ve uygun kullanım ve güvenlik politikaları ve prosedürlerini uygula.
2. Uygun kullanım farkındalığı ve eğitimi sağla.
3. Bilgilerin kullanım, dağıtım ve fiziksel erişimini, sınıflandırmasına uygun şekilde sınırlandır.
4. Uyumu mantık çerçevesinde doğrulamak amacıyla süreçler, araçlar ve teknikler belirle ve uygula.
5. İhlaller ve sapmalar durumunda iş ve diğer paydaşlara rapor ver.

Yok
202
Bölüm 5
İZLE, TESPİT ET ve DEĞERLENDİR

(MEA)
01 Performans ve uyum sağlamayı izle, tespit et ve değerlendir
02 İç kontrol sistemini izle, tespit et ve değerlendir
03 Dış gereksinimlerle uyumu izle, tespit et ve değerlendir
203

204
Bölüm 5
Alan: Yönetim
MEA01 Performans ve Uyum Sağlamayı İzle, Tespit Et ve Değerlendir Etki alanı: İzle, Tespit Et ve Değerlendir
İş, BT ve süreç hedefleri ve ölçütleri topla, doğrula ve değerlendir. Süreçlerin, üzerinde anlaşılmış olan performans ve uyum hedefleri ve ölçütlerine uygun
şekilde gerçekleştirilip gerçekleştirilmediğini izle ve sistematik ve zamanında raporlama sağla.
Performans ve uyum konusunda şeffaflık sağla ve hedeflerin gerçekleştirilmesini sağla.
• Kabul edilebilir risk seviyesinigüncelleme sıklığı
yüzdesi
• BT-Bağlantılı maliyetler ve imkanlar konusunda iş idarecileri
1. Hedefler ve ölçütler paydaşlar tarafından onaylanır. • Paydaşlar tarafından onaylanan hedefler ve ölçütlerin yüzdesi
2. Süreçler, üzerinde anlaşılmış olan hedefler ve ölçütlere göre ölçülür. • Tanımlanmış hedefler ve ölçütlere sahip süreçlerin yüzdesi
3. Kurumsal izleme, tespit etme ve bilgilendirme yaklaşımı etkili ve operasyoneldir. • Etkinliği gözden geçirilmiş ve iyileştirilmiş hedefler ve ölçütlere
sahip süreçlerin yüzdesi
• İzlenen kritik süreçlerin yüzdesi
4. Hedefler ve ölçütler kurum izleme sistemi ile entegredir. • Kurum izleme sistemine hizalanmış hedefler ve ölçütlerin
yüzdesi
5. Performans ve uyum konusunda süreç raporlaması faydalı ve zamanındadır. • Programlandığı üzere iletilen performans raporlarının yüzdesi
205
MEA01 SMDB Tablosu




Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
MEA01.01
Bir izleme yaklaşımı oluştur. M S S S B D B D D D S B D D B D B B B
MEA01.02
Performans ve uyum hedefleri B B B M S B D D D S S B S B B B
belirle
MEA01.03
Performans ve uyum verilerini
topla ve işle D S B D M S S B S B B B
MEA01.04
Performansı analiz et ve raporla M S D D D D D D S S D S D D D
MEA01.05
Düzeltici aksiyonların B B B B D S D D D D M D S S D S D D D
uygulandığından emin ol
MEA01 Süreç Uygulamaları, Girdiler/Çıktılar ve Faaliyetler

MEA01.01 Bir izleme yaklaşımı oluştur Kaynak Açıklama Açıklama Hedef
İş çözümü ve hizmet tedariği ve kurum amaçlarına EDM05.01 • Raporlama ve iletişim İzleme gereksinimleri İçsel
katkıyı ölçmek üzere hedefler, kapsam ve yöntemi prensipleri
tanımlamak amacıyla bir izleme yaklaşımı oluştur Onaylanmış izleme İçsel
• Kurum raporlama hedefleri ve ölçütler
ve sürdürülmesi için paydaşlarla bir araya gel. Bu gereksinimlerinin
yaklaşımı, kurum performans yönetim sistemiyle değerlendirilmesi
entegre hale getir.
EDM05.02 Zorunlu raporları
doğrulama ve onaylama
kuralları
EDM05.03 Raporlama etkinliğinin
değerlendirmesi
Faaliyetler
1. Paydaşları (ör., yönetim, süreç sahipleri ve kullanıcılar) belirle.
2. İzleme, birleştirme ve raporlama, ortak tanımlar (ör., kurumsal sözlük, veri hakkında veri ve taksonomi) kullanma, referans değer oluşturma ve
karşılaştırmalı değerlendirmeler için kurum gereksinimleri ve amaçlarına dair paydaşlarla bir araya gel ve iletişime geç.
3. İzleme ve değerlendirme yaklaşımını, kurumsal yaklaşımla ve verinin toplanması için kullanılacak araçlarla ve kurumsal raporlama (ör., iş zekası
uygulamaları) ile hizala ve sürekliliğini sürdür.
4. Hedefler ve ölçütler (ör., uyum sağlama, performans, değer, risk), taksonomi (sınıflandırma ve hedefler ve ölçütler arasındaki ilişki) ve veri (kanıt) tutma
üzerinde anlaş.
5. İzleme ve raporlamaya dair yaşam döngüsü yönetimi ve değişiklik kontrol süreci üzerinde anlaş. Raporlama, ölçütler, yaklaşım, referans değer
oluşturma ve karşılaştırmalı değerlendirmeye dair iyileştirme fırsatlarına yer ver.
6. İzleme için kaynak talep et, önceliklendir ve tahsis et (uygunluk, verimlilik, etkinlik ve gizliliği dikkate al).
7. Kullanılan yaklaşımı düzenli olarak doğrula ve yeni veya değişen paydaşları, gereksinimleri ve kaynakları belirle.
206
Bölüm 5
MEA01 Süreç Uygulamaları, Girdiler/Çıktılar ve Faaliyetler (devamı)

MEA01.02 Performans ve uyum sağlama hedeflerini Kaynak Açıklama Açıklama Hedef
belirle APO01.07 Süreç gelişimini izlemek Hedeflerin izlenmesi Tüm APO Tüm
Performans ölçme sistemi dahilinde performans ve için performans hedefleri BAI Tüm DSS
uyum hedeflerini tanımlamak, düzenli şekilde gözden ve ölçütleri Tüm MEA
geçirmek, güncellemek ve onaylamak amacıyla
paydaşlarla birlikte çalış.
Faaliyetler
1. Her türlü eksik öğeyi belirlemek ve hedefler ve toleransların akla yatkınlığını tespit etmek amacıyla hedefler ve ölçütleri paydaşlarla birlikte tanımla ve
düzenli aralıklarla gözden geçir.
2. Performans ve uyum sağlama hedefleri ve toleranslarında (ölçütlere ilişkin) öngörülen değişiklikleri ana durum tespitiyle birlikte paydaşlara (ör., hukuk,
denetim, insan kaynakları, ahlak, uyum, finans) bildir.
3. Değişen hedefler ve toleransları bu bilgiyi kullanacak kullanıcılara yayınla.
4. Hedefler ve ölçütlerin uygun, yani özgün, ölçülebilir, gerçekleştirilebilir, konuyla ilgili ve zaman kısıtlamalı (SMART) olup olmadığını değerlendir.
MEA01.03 Performans ve uyum verisini topla ve işle Kaynak Açıklama Açıklama Hedef
Kurum yaklaşımlarıyla uyumlu olan güncel ve doğru APO01.07 Süreç yetkinlik İşlenmiş izleme verileri İçsel
verileri topla ve işle. değerlendirmeleri
APO05.04 Yatırım portföyü
APO09.04 Hizmet seviyesi
APO10.05 Tedarikçi uyum izleme
BAI01.06 Program performansı
gözden geçirme sonuçları
BAI04.04 Kullanılabilirlik, performans
ve kapasite izleme gözden
geçirme raporları
sonuçlar
DSS01.05 Hizmet araçları
değerlendirme raporları
ve eğilim raporu
raporu
Faaliyetler
1. Uygun olduğu takdirde otomatik şekilde olmak üzere, tanımlanmış süreçlerden veri topla.
2. Toplanan verin verimlilik (sağlanan anlayışa ilişkin çaba) ve uygunluğunu (fayda ve anlam) değerlendir ve bütünlüğünü (doğruluk ve tamlık) doğrula.
3. Üzerinde anlaşılmış olan ölçütlerin ölçümünü desteklemek amacıyla verileri birleştir.
4. Birleştirilen verileri kurum raporlama yaklaşımı ve amaçlarına hizala.
5. Analiz verilerinin işlenmesi ve formatlanması için uygun araçlar ve sistemler kullan.
207

MEA01.04 Performansı analiz ve rapor et Kaynak Açıklama Açıklama Hedef
Kurum izleme sistemine BT performans ve uyumuna Performans raporları EDM01.03
ait çepeçevre açık bir görüş sağlayan bir yöntem Tüm APO Tüm
kullanarak, performansı düzenli aralıklarla hedeflere BAI
kıyasla gözden geçir ve rapor et. Tüm DSS Tüm
MEA
Faaliyetler
1. Çeşitli yönetim ihtiyaçları ve hedef kitle açısından az ve öz, anlaşılması kolay ve özel tasarlanmış olan süreç performans raporları tasarla. Etkili,
zamanında karar almayı (ör., puan çizelgesi, trafik ışıkları raporları) destekle ve hedefler ve ölçütler arasındaki sebep ve sonucun anlaşılabilecek
şekilde iletildiğinden emin ol.
2. Performans değerlerini kurum içi hedefler ve karşılaştırmalı değerlendirmelerle ve mümkün olduğu takdirde, kurum dışı karşılaştırmalı
değerlendirmelerle kıyasla.
3. Uygun olduğu takdirde, hedefler ve ölçütlere yönelik değişiklikler öner.
4. Raporları ilgili paydaşlara dağıt.
5. Hedeflerle ilgili sapma nedenlerini analiz et, iyileştirici aksiyonlar uygula, iyileştirmeye yönelik sorumluluklar tahsis et ve izle. Tüm sapmaları uygun
zamanlarda gözden geçir ve gerekli olduğu takdirde, kök nedenleri araştır. Problemin tekrar ortaya çıkması durumunda rehberlik sağlaması açısından
sorunları belgele. Sonuçları belgele.
6. Uygulanabilir olduğunda, performans hedefleri başarısını organizasyon mükâfat tazmin sistemine birleştir.
MEA01.05 Düzeltici aksiyonların uygulanmasını Kaynak Açıklama Açıklama Hedef
sağla EDM05.02 Üst bildirim kılavuzu İyileştirici aksiyonlar ve Tüm APO Tüm
Anormallikleri ele almak amacıyla düzeltici aksiyonların görevler BAI
belirle, başlatılması ve izlenmesine yardımcı ol. Tüm DSS Tüm
MEA
APO01.08 Uyumsuzluk iyileştirici Aksiyonların durumu ve EDM01.03
aksiyonlar sonuçları
Faaliyetler
1. Sorunları ve büyük sapmaları ele almak amacıyla yönetim tepkileri, seçenekler ve önerileri gözden geçir.
2. Düzeltici aksiyona yönelik sorumluluk tahsisinin sürdürüldüğünden emin ol.
3. Taahhüt edilen aksiyonların sonuçlarını izle.
4. Sonuçları paydaşlara rapor et.
MEA01 İlgili Rehber

ISO/IEC 20000 6.2 Hizmet raporlama
ITIL V3 2011 Sürekli Hizmet İyileştirme, 4.1 7 Aşamalı İyileştirme Süreci
208
Bölüm 5
Alan: Yönetim
MEA02 İç Kontrol Sistemini İzle, Tespit Et ve Değerlendir Etki alanı: İzle, Tespit Et ve Değerlendir
Öz-değerlendirmeler ve bağımsız güvence gözden geçirmeleri dahil olmak üzere, kontrol ortamını sürekli olarak izle ve değerlendir. Yönetimi iyileştirici
aksiyonları başlatması için ve kontrol eksikliklerini ve yetersizliklerini belirlemesi için etkin kıl. İç kontrol değerlendirme ve güvence faaliyetlerine yönelik
standartların planla, organize et ve sürekliliğini sağla.
Ana paydaşlar için, İç kontrol sistemlerinin yeterliliği ve dolayısıyla operasyonlara güven, kurum hedeflerinin gerçekleştirilmesinde öz güven ve yeterli
artık risk anlayışının sağlanması konusunda şeffaflık sağla.
02 İşin dış kanun ve yönetmeliklerle uyumlu olması için BT uyumu ve desteği • Ödemeler ve para cezaları ve itibar kaybı etkisi dahil BT
uyumsuzluklarının maliyeti
uyumsuzluk sorunlarının sayısı
uyumsuzluk sorunlarının sayısı
• Uyum değerlendirmelerinin kapsamı
1. Süreçler, kaynaklar ve bilgiler kurum iç kontrol sistemi gereksinimlerini karşılar. • Hedeflere toleranslar dahilinde ulaşan güvence altına alınmış
çıktıları olan süreçlerin yüzdesi
• İç kontrol hedeflerine uyumlu olarak güvence altına alınmış
süreçlerin yüzdesi
2. Tüm güvence insiyatifleri planlıdır ve etkili şekilde gerçekleştirilir. • Onaylanmış güvence programı ve plan standartlarını izleyen
güvence insiyatiflerinin yüzdesi
3. İç kontrol sistemi operasyonel ve etkili olacak şekilde bağımsız güvence sağlanır. • Bağımsız gözden geçirme alan süreçlerin yüzdesi
4. İç kontrol tesis edilir ve eksiklikler belirlenir ve raporlanır. • Kurum dışı kalifikasyon ve sertifikasyon raporlarıyla belirlenen
zayıf yönlerin sayısı
• Büyük iç kontrol ihlallerinin sayısı
• İç kontrol eksikliğinin ortaya çıkması ve raporlama arasındaki
süre
209
MEA02 SMDB Tablosu




Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
MEA02.01
İç kontrolleri izle B D B D S S S S S M B S S S S S S S
MEA02.02
İş süreç kontrolleri etkinliğini B B S B M S B B B S S D D D D D
gözden geçir
MEA02.03
Kontrol öz değerlendirmelerini B D B D S S S S S M B S S S S S S S
gerçekleştir.
MEA02.04
Kontrol eksikliklerini belirle ve B D B D S S B B S S M B S S S S S S S
rapor et.
MEA02.05
Güvence sağlayıcıların bağımsız S M M S
ve kalifiye olması sağla.
MEA02.06
Güvence insiyatiflerini planla M D S D D D S D D D D D D D D
MEA02.07
Güvence insiyatifleri kapsamını S S S D D M S D D D D D D D D
belirle
MEA02.08
Güvence insiyatiflerini yürüt B B D S D B B D M S D D D D D D D D

MEA02.01 İç kontrolleri izle Kaynak Açıklama Açıklama Hedef
Organizasyon amaçlarını karşılamak amacıyla BT APO12.04 Üçüncü şahıs risk İç kontrol izleme ve EDM01.03
kontrol ortamı ve kontrol çerçevesini sürekli olarak izle, değerlendirmelerinin gözden geçirmelerinin Tüm APO Tüm BAI
karşılaştırmalı olarak değerlendir ve iyileştir. sonuçları sonuçları Tüm DSS Tüm MEA
APO13.03 ISMS denetleme raporları Karşılaştırmalı ve diğer EDM01.03
COBIT dışında Endüstri standartları ve iyi değerlendirmelerin Tüm APO Tüm BAI
uygulamaları sonuçları Tüm DSS Tüm MEA
Faaliyetler
1. Organizasyon yönetişim standartları ve endüstri tarafından kabul görmüş çerçeveler ve uygulamalar bazında, iç kontrol izleme ve değerlendirme
faaliyetleri gerçekleştir. Yönetimin denetleyici gözden geçirmelerine dair verimlilik ve etkinliğin izlenmesi ve değerlendirilmesine yer ver.
2. İç kontrol sisteminin bağımsız değerlendirmelerini (ör., iç denetim veya eşdeğerleri tarafından) göz önünde bulundur.
3. BT iç kontrol sisteminin sınırlarını (ör., organizasyon BT iç kontrollerinin dış tedarikli ve/veya sınır ötesi geliştirme veya üretim faaliyetlerini nasıl hesaba
kattığını akla getir) belirle.
4. Kontrol faaliyetlerinin yerleşik olduğu ve istisnaların acilen raporlandığı, izlendiği ve analiz edildiği ve uygun düzeltici aksiyonların risk yönetim profiline
(ör., belirli istisnaları önemli risk olarak ve diğerlerini ise önemli olmayan risk olarak sınıflandır) uygun şekilde önceliklendirildiği ve uygulandığından
emin ol.
5. İş ve BT riski, organizasyon kontrol ortamı, ilgili iş ve BT süreçleri ve BT riskinde devam eden değişiklikleri göz önünde bulundurarak BT iç kontrol
sistemini sürdür. Boşluklar mevcut olduğu takdirde, değişiklikleri değerlendir ve öner.
6. BT kontrol çerçevesi performansı, endüstri tarafından kabul görmüş standartlar ve iyi uygulamalara kıyasla karşılaştırmalı değerlendirmeleri düzenli
olarak değerlendir. İç kontrol izlemesine yönelik sürekli iyileştirme yaklaşımının resmi olarak benimsenmesini göz önünde bulundur.
7. Kurum dışı hizmet sağlayıcılarına ait iç kontrolleri değerlendir ve hizmet sağlayıcılarının yasa ve yönetmelik şartlarına ve sözleşme zorunluluklarına
uyduğunu teyit et.
210
Bölüm 5

MEA02.02 İş süreç kontrolleri etkinliğini gözden Kaynak Açıklama Açıklama Hedef
geçir BAI05.06 Uyum denetim sonuçları Kontrol etkinliği kanıtı İçsel
İş süreçlerindeki kontrollerin etkili şekilde çalıştığından
emin olmak amacıyla, bir izleme ve test kanıtı gözden BAI05.07 Operasyonel kullanım
geçirmesi dahil olmak üzere kontrol faaliyetlerini gözden geçirmeleri
gözden geçir. Kontrollerin periyodik testi, kontrollerin
sürekli izlenmesi, bağımsız değerlendirmeler, komuta
ve kontrol merkezleri ve ağ operasyon merkezleri gibi
mekanizmalar aracılığıyla etkili kontrol operasyonları
kanıtını sürdürmeye yönelik faaliyetlere yer ver. Bu, iş,
yönetmelik ve sosyal sorumluluklarla ilgili gereksinimleri
karşılamak amacıyla, işe kontrol etkinliği güvencesi
sağlar.
Faaliyetler
1. Organizasyon hedefleri açısından riski anla ve önceliklendir.
2. Ana kontrolleri belirle ve kontrollerin doğrulanmasına yönelik uygun bir strateji oluştur.
3. İç kontrol ortamının etkili şekilde çalışıp çalışmadığını ikna edici bir şekilde gösterecek bilgileri belirle.
4. İkna edici bilgilerin bilgi kriterlerine dayandığını belirlemek amacıyla düşük maliyetli prosedürler oluştur ve uygula.
5. Kontrolün etkinliğine ilişkin kanıtın sürekliliğini sağla
MEA02.03 Kontrol öz değerlendirmelerini Kaynak Açıklama Açıklama Hedef
gerçekleştir Öz-değerlendirme planları Tüm APO Tüm
Yönetim ve süreç sahiplerini süreçler, politikalar ve ve kriterleri BAI Tüm DSS
sözleşmeler üzerinde yönetim kontrolünün tamlık ve Tüm MEA
etkinliğini değerlendiren öz değerlendirme programını
sürdürerek, kontrol iyileştirmenin tam sahipliğini Öz-değerlendirme İçsel
almaları yönünde teşvik et. sonuçları
Öz-değerlendirme gözden EDM01.03
geçirme sonuçları Tüm APO Tüm
BAI Tüm DSS
Tüm MEA
Faaliyetler
1. Planların sürekliliğini sağlasürdür ve öz değerlendirmeleri gerçekleştirmek için kapsam ve değerlendirme kriterlerini belirle. İş, BT ve genel yönetim ve
yönetim kurulunun öz değerlendirme süreci sonuçlarının bildirimlerini planla. Öz değerlendirmelerin tasarımında iç denetim standartlarını göz önünde
bulundur.
2. Devam eden izlemelerin genel etkinlik ve verimliliğini göz önünde bulundurarak, düzenli öz değerlendirmelerin sıklığını belirle.
3. Tarafsızlık ve yetkinlik sağlamak amacıyla uygun kişilere öz değerlendirme sorumluluğu tahsis et.
4. Öz değerlendirme tarafsızlığını sağlamak amacıyla bağımsız gözden geçirmeler sağla ve iç kontrol iyi uygulamalarının diğer kurumlarla paylaşılmasını
sağla.
5. Öz değerlendirmelerin sonuçlarını endüstri standartları ve iyi uygulamalara kıyasla karşılaştır.
6. Öz değerlendirme ve karşılaştırmalı değerlendirmelerin sonuçlarını, iyileştirici aksiyonlar için özetle ve rapor et.
7. Kontrol öz değerlendirmelerinin gerçekleştirilmesi ve iç ve dış denetimlerle koordine edilmesine dair üzerinde anlaşılmış, tutarlı bir anlayışı tanımla.
211

MEA02.04 Kontrol eksikliklerini belirle ve rapor et Kaynak Açıklama Açıklama Hedef
Kontrol eksikliklerini belirle ve altta yatan kök APO11.05 Kalite tedarik Kontrol yetersizlikleri Tüm APO Tüm
nedenlerini analiz et ve belirle. Kontrol eksikliklerinin üst başarısızlıklarına dair kök BAI Tüm DSS
bildirimini yap ve paydaşlara rapor et. nedenler Tüm MEA
APO12.06 Riskle Bağlantılı kök
nedenler
DSS06.01 • Kök neden analizleri ve İyileştirici aksiyonlar Tüm APO Tüm
tavsiyeler BAI Tüm DSS
• İşlem etkinliği gözden Tüm MEA
DSS06.04 Hata düzeltme ve
iyileştirme kanıtları
Faaliyetler
1. Kontrol istisnalarını belirle, rapor et ve kronolojik kaydını tut ve çözülmelerine ve raporlanmalarına yönelik sorumluluklar tahsis et.
2. Kontrol istisnaları ve ihlallerinin üst bildirimi için eşik değerleri oluşturmak amacıyla ilişkili kurum riskini göz önünde bulundur.
3. Kontrol istisnalarının üst bildirimi, kök neden analizi ve raporlama prosedürlerini süreç sahipleri ve BT paydaşlarına bildir.
4. Hangi kontrol istisnasının fonksiyonundan sorumlu olduğu kişiye bildirilmesi ve hangi istisnaların üst bildiriminin yapılması gerektiğine karar ver.
Etkilenmiş süreç sahipleri ve paydaşları bilgilendir.
5. Üzerinde anlaşılmış olan aksiyonların gerçekleştirildiğinden emin olmak amacıyla tüm istisnaları takip et.
6. Kontrol değerlendirmeleri ve raporlamadan kaynaklanan iyileştirici aksiyonları belirle, başlat, izle ve uygula.
MEA02.05 Güvence sağlayıcıların bağımsız ve Kaynak Açıklama Açıklama Hedef
kalifiye olmasını sağla. Güvence sağlayıcılara ait İçsel
Güvence sağlayan kuruluşların faaliyet alanı bakımından değerlendirme sonuçları
fonksiyon, gruplar veya organizasyonlardan bağımsız
olduğundan emin ol. Güvence sağlayan bu kuruluşlar,
güvence sağlamak için gerekli beceriler ve bilgi
birikiminde yetkinlik, etik kurallar ve profesyonel
standartlar açısından uygun bir davranış ve görünüş
sergilemelidir.
Faaliyetler
1. Uygun etik kurallar ve standartlarına (ör., ISACA Profesyonel Ahlak Kuralları) ve (endüstri- ve coğrafyaya özgü) güvence standartlarına, ör., ISACA BT
Denetim ve Güvence Standartları ve Uluslararası Denetim ve Güvence Standartları Kurulu (IAASB), Uluslararası Güvence Sözleşmeleri Çerçevesi›ne
(IAASB Güvence Çerçevesi) uygunluk sağla.
2. Güvence sağlayıcıların bağımsızlığını sağla.
3. Güvence sağlayıcıların yetkinlik ve kalifikasyonunu sağla.
MEA02.06 Güvence insiyatiflerini planla Kaynak Açıklama Açıklama Hedef
Kurum amaçları ve stratejik öncelikler, doğal risk, BAI01.05 Program denetim planları Yüksek seviyeli İçsel
kaynak kısıtlamaları ve yeterli kurum bilgi birikimi değerlendirmeler
bazında güvence insiyatiflerini planla.
DSS01.02 Bağımsız güvence planları Güvence planları EDM01.03
Tüm APO Tüm
BAI Tüm DSS
Tüm MEA
Değerlendirme kriterleri İçsel
Faaliyetler
1. Güvence insiyatif çıktısı ve gözden geçirme amacını hedefleyen kullanıcıları belirle.
2. Riski teşhis etmek ve kritik BT süreçlerini belirlemek amacıyla yüksek seviyeli risk değerlendirmesi ve/veya süreç yetkinliği değerlendirmesi
gerçekleştir.
3. Kontrol değerlendirmesine temel oluşturan kritik süreçlerin kontrol hedeflerini seç, özelleştir ve üzerlerinde anlaşmaya var.
212
Bölüm 5

MEA02.07 Güvence insiyatifleri kapsamını belirle. Kaynak Açıklama Açıklama Hedef
Güvence insiyatifleri kapsamını, güvence hedefleri APO11.05 Kalite tedarik Güvence gözden geçirme İçsel
bazında tanımla ve bu konuda yönetim ile anlaş. başarısızlıklarına dair kök kapsamı
nedenler
APO12.06 Riskle Bağlantılı kök Dahil olma planı İçsel
nedenler
DSS06.01 Kök neden analizleri ve Güvence gözden geçirme İçsel
tavsiyeler uygulamaları
MEA03.04 Uyumsuzluk sorunları ve
kök neden raporları
Faaliyetler
1. Gözden geçirilen ortam, BT süreç ve kaynakları grubu ve mevcut olduğu takdirde, kurum içi ve kurum dışındaki (ör., hizmet sağlayıcılar) ilgili tüm
denetlenebilir bölümlere yönelik kurum ve BT hedeflerini belirleyerek gerçek kapsamı tanımla.
2. Dahil olma planı ve kaynak gereksinimlerini tanımla.
3. Doğrulanacak kontrollerin belirlenmesi için gözden geçirilen süreçlerden gelen bilgilerin ve güncel bulguların (hem olumlu güvence ve hem de her türlü
eksiklikler) toplanması ve değerlendirilmesine yönelik uygulamalar tanımla.
4. Kontrol tasarımı ve sonuçları doğrulamak ve etkinlik seviyesinin kabul edilebilir riski (organizasyon veya süreç risk değerlendirmesi gereğince)
destekleyip desteklemediğini belirlemek amacıyla uygulamalar tanımla.
5. Kontrol etkinlik seviyesi kabul edilebilir olmadığı takdirde, artık riski (raporlama hazırlığında) belirlemek için uygulamalar tanımla.
MEA02.08 Güvence insiyatiflerini yürüt Kaynak Açıklama Açıklama Hedef
Planlanmış güvence insiyatifini yürüt. Tespit edilen APO11.05 Kalite tedarik Arıtılmış kapsam Tüm APO Tüm
bulguları rapor et. Belirlenmiş operasyonel performansı, başarısızlıklarına dair kök BAI Tüm DSS
kurum dışı uyum ve iç kontrol sistemi artık riski ile nedenler Tüm MEA
Bağlantılı iyileştirme için uygun olduğunda olumlu
güvence fikirleri ve önerileri ver. APO12.04 Paydaşlara ait risk analizi Güvence gözden geçirme EDM05.01
ve risk profil raporları sonuçları EDM05.03
APO12.06 Riskle Bağlantılı kök Tüm APO Tüm
nedenler BAI Tüm DSS
Tüm MEA
DSS05.02 Sızma testleri sonuçları
DSS06.01 Kök neden analizleri ve Güvence gözden geçirme EDM05.03
öneriler raporu Tüm APO Tüm
MEA03.03 Belirlenmiş uyum BAI Tüm DSS
açıklıkları Tüm MEA
Faaliyetler
1. BT güvence konusuna dair bir anlayış geliştir.
2. BT güvence konusuna dair ana kontrol hedeflerinin kapsamını geliştir.
3. Ana kontrol hedeflerinin kontrol tasarımı etkinlik seviyesini test et.
4. Alternatif olarak/ek olarak, ana kontrol hedeflerine dair sonuçları test et.
5. Kontrole ait zayıf yönlerin etkisini belgele.
6. İnsiyatifin yürütülmesi sırasında, gerçekleştirilen işe dair açık bir anlayış ve ilk bulgular ve öneriler üzerinde bir anlaşma ve onaylama olacak şekilde
yönetim ile iletişime geç.
7. Güvence faaliyetlerini denetle ve yapılan işin tam olmasını, hedefleri karşılamasını ve uygun bir kalitede olmasını sağla.
8. Yönetime, insiyatif sonuçlarını destekleyen bir rapor (şartname, kapsam ve üzerinde anlaşılan raporlama standartlarına uygun) ver.


Yok
213

214
Bölüm 5
Alan: Yönetim
MEA03 Dış Gereksinimler İle Uyumu İzle, Tespit Et ve Değerlendir Etki alanı: İzle, Tespit Et ve Değerlendir
BT süreçleri ve BT desteklenmiş iş süreçlerinin yasa, yönetmelik ve anlaşma şartlarıyla uyumlu olduğunu değerlendir. Gereksinimlerin belirlendiği ve
uyumlu olduğuna dair güvence sağla ve BT uyumu ile genel kurum uyumunu entegre et.
Kurumun, mevcut tüm kurum dışı gereksinimlerle uyumlu olmasını sağla.
02 İşin dış kanun ve yönetmeliklerle uyumlu olması için BT uyumu ve desteği • Ödemeler ve para cezaları ve itibar kaybı etkisi dahil BT’ye uygun
olmamanın maliyeti
• Yönetim kuruluna rapor edilen veya kamuoyu açıklamasına veya
toplum önünde küçük düşmeye yol açan BT-Bağlantılı uygun
olmama sorunlarının sayısı
olayların sayısı
1. Tüm kurum dışı uyum gereksinimleri belirlenir. • Kurum dışı uyum sorunlarının belirlenmesi ve çözümü arasında
geçen ortalama süre
• Uyum gözden geçirme sıklığı
2. Kurum dışı uyum gereksinimleri yeterince ele alınır. • Bir yılda belirlenen kritik uyumsuzluk sorunlarının sayısı
• Uyumu işaret eden, teyit eden süreç sahiplerinin yüzdesi
MEA03 SMDB Tablosu





Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
MEA03.01 M S S S S S
Kurum dışı uyum
gereksinimlerini belirle
MEA03.02 S S S M S B S S S S B S S S S S S S
Kurum dışı gereksinimlere yanıtı
optimize et
MEA03.03
B S S S S S B B D M B S D D D D D D D S
Kurum dışı uyumu teyit et
MEA03.04 B B B B D D B D D M S D D D D D D D D
Kurum dışı uyum güvencesini
elde et
215

MEA03.01 Kurum dışı uyum gereksinimlerini belirle Kaynak Açıklama Açıklama Hedef
BT perspektifinden uyumlu olunması gereken, yerel COBIT dışında Yasa ve yönetmelik uyum Uyum gereksinimleri kaydı İçsel
ve uluslararası yasa, yönetmelik ve diğer kurum dışı gereksinimleri
gereksinimlerdeki değişiklikleri kesintisiz bir esasta Gerekli uyum İçsel
belirle ve izle. aksiyonlarının kronolojik
kaydı
Faaliyetler
1. Kurumun iş ve BT operasyonları dahilinde BT kaynaklarının kullanımı ve bilgi işlenmesiyle ilgili yasa, yönetmelik ve diğer kurum dışı anlaşma
gereksinimlerinde her türlü değişikliği belirle ve izleme sorumluluğu tahsis et.
2. Olası tüm uyum gereksinimleri ve veri akışı, mahremiyet, iç kontroller, finansal raporlama, sanayi koluna özgü yönetmelikler, fikri mülkiyet, sağlık ve
güvenlik gibi alanlarda BT faaliyetleri üzerindeki etkilerini belirle ve değerlendir.
3. BT operasyonları, hizmet sağlayıcılar ve iş ticaret ortaklarıyla ilgili üçüncü şahıs anlaşmaları üzerinde BT-Bağlantılı yasa ve yönetmelik
gereksinimlerinin etkisini değerlendir.
4. Uygun olduğu takdirde, mevcut yasa, yönetmelik ve standartlardaki değişiklikler konusunda bağımsız danışmanlık al.
5. İlgili tüm yasa, yönetmelik ve anlaşma gereksinimleri, bunların etkileri ve gerekli aksiyonların eksiksiz kronolojik kaydını tut.
6. Kuruma yönelik kurum dışı uyum gereksinimlerine dair uyumlu ve entegre edilmiş genel kaydı tut.
MEA03.02 Kurum dışı şartlara yanıtı optimize et Kaynak Açıklama Açıklama Hedef
Yasa, yönetmelik ve anlaşma gereksinimlerinin ele Güncellenmiş politikalar, APO01.07
alındığı ve bildirildiğinden emin olmak amacıyla prensipler, prosedürler ve APO01.08
politikalar, prensipler, standartlar, prosedürler ve standartlar
metodolojileri gözden geçir ve düzenle. Benimseme ve
uyuma yönelik olarak endüstri standartları, iyi uygulama Değiştirilmiş uyum EDM01.01
ilkeleri ve iyi uygulama rehberini dikkate al. gereksinimleri bildirimleri Tüm APO Tüm
BAI Tüm DSS
Tüm MEA
Faaliyetler
1. Gerektiğinde kurum içi ve dışındaki uzmanlardan faydalanarak, politikalar, prensipler, standartlar, prosedürler ve metodolojilerin, gerekli uyumu sağlaı
ve kurum riskinin ele alınması üzerindeki etkinliklerini düzenli aralıklarla gözden geçir ve düzenle.
2. Yeni ve değiştirilmiş gereksinimleri ilgili tüm personele bildir.
MEA03.03 Kurum dışı uyumu teyit et Kaynak Açıklama Açıklama Hedef
Politikalar, prensipler, standartlar, prosedürler BAI05.06 Uyum denetim sonuçları Belirlenmiş uyum MEA02.08
ve metodolojilerin yasa, yönetmelik ve anlaşma açıklıkları
gereksinimlerine uyumunu teyit et.
BAI09.05 Kurulmuş lisans Uyum onayları EDM01.03
denetimleri sonuçları
BAI10.05 Lisans farkları
DSS01.04 Sigorta politikası raporları
Faaliyetler
1. Bilgilerin işlenmesiyle Bağlantılı olarak ilgili yasa ve yönetmelik gereksinimleriyle uyumu sağlamak amacıyla, kurumun tüm fonksiyonlarındaki
organizasyon politikaları, standartları, prosedürleri ve metodolojisini düzenli aralıklarla değerlendir.
2. Politikalar, standartlar ve prosedürlerdeki uyum açıklıklarını zamanında ele al.
3. Mevcut yasa, yönetmelik ve anlaşma gereksinimlerine uygunluğu sağlamak amacıyla iş ve BT süreçleri ve faaliyetlerini düzenli olarak değerlendir.
4. Tekrarlayan uyum başarısızlıklarını düzenli aralıklarla gözden geçir. Gerekli olduğu takdirde, politikalar, standartlar, prosedürler, metodolojiler ve ilişkili
süreçler ve faaliyetleri iyileştir.
216
Bölüm 5

MEA03.04 Kurum dışı uyum güvencesini elde et Kaynak Açıklama Açıklama Hedef
Politikalar, prensipler, standartlar, prosedürler ve EDM05.02 Zorunlu raporları Uyum güvence raporları EDM01.03
metodolojilere uyum ve uygunluğu sağla ve rapor doğrulama ve onaylama
et. Uyum açıklıklarını ele almaya yönelik düzeltici kuralları
aksiyonların zamanında kapatıldığını teyit et.
EDM05.03 Raporlama etkinliği Uyumsuzluk sorunları ve EDM01.03
değerlendirmesi kök neden raporları MEA02.07
Faaliyetler
1. İç politikalara uyumun düzenli teyidini, iş ve BT süreç sahipleri ve birim başkanlarından al.
2. Uyum seviyesini tespit etmek amacıyla düzenli (ve uygun olduğu takdirde bağımsız) iç ve dış gözden geçirmeler gerçekleştir.
3. Gerektiği takdirde, mevcut yasa ve yönetmeliklere uyum seviyeleri konusunda üçüncü şahıs BT hizmet sağlayıcılarından teyit al.
4. Gerektiği takdirde, şirketler arası elektronik işlemlerle Bağlantılı olmaları nedeniyle iş ortaklarından mevcut yasa ve yönetmeliklere uyum seviyeleri
konusunda teyit al.
5. Uyumsuzluk sorunlarını izle ve rapor et ve gerektiğinde kök nedeni araştır.
6. Yasa, yönetmelik ve anlaşma gereksinimlerine dair raporları tüm iş birimlerini dahil edecek şekilde kurum çapında bir seviyede entegre et.

Yok
217

218
Ek A
COBIT 5 VE ESKİ ISACA ÇERÇEVELERİ ARASINDA EŞLEŞTİRME
Ek A: COBIT 5 VE ESKİ ISACA ÇERÇEVELERİ ARASINDA

EŞLEŞTİRME
Şekil 13, COBIT 5’te yer alan ISACA çerçevelerini göstermektedir.
Şekil 13 – COBIT 5’te Yer Alan ISACA Çerçeveleri
COBIT 4.1 Eșleștirme

Kontrol Araçları
COBIT 5
Val IT 2.0 Yönetișim ve
Ana Yönetim Eșleștirme
Yönetim
Uygulamaları Uygulamaları
Risk IT
Yönetim Eșleștirme
Uygulamaları
COBIT 4.1, Val IT ve Risk IT öğelerinin COBIT 5 ile eşleştirilmesi Şekil 14, 15 ve 16’da gösterilmektedir.
Şekil 14 – COBIT 5 ile eşleştirilen COBIT 4.1 Kontrol Amaçları

COBIT 4.1 Kontrol Hedefi COBIT 5 içinde kapsandığı yer
AC1 Kaynak Veri Hazırlama ve Yetkilendirme DSS06.02; DSS06.03; BAI03.02; BAI03.03; BAI03.05; BAI03.07
AC2 Kaynak Veri Toplama ve Girme DSS06.02
AC3 Doğruluk, Tamlık ve Gerçeklik Kontrolleri DSS06.02
AC4 İşleme Bütünlüğü ve Doğruluğu DSS06.02
AC5 Sonuç Gözden Geçirme, Mutabakat ve Hata Ele Alma DSS06.02
AC6 İşlem Gerçeklik ve Bütünlüğü DSS06.02
PO1.1 BT Değer Yönetimi EDM02
PO1.2 İş-BT Uygunluğu APO02.01
PO1.3 Güncel Yetkinlik ve Performans Değerlendirmesi APO02.02
PO1.4 BT Stratejik Planı APO02.03-05
PO1.5 BT Taktik Planı APO02.05
PO1.6 BT portföy Yönetimi APO05.05
PO2.1 Kurum Bilgi Mimari Modeli APO03.02
PO2.2 Kurum Veri Sözlüğü ve Veri Söz Dizim Kuralları APO03.02
PO2.3 Veri Sınıflandırma Şeması APO03.02
PO2.4 Bütünlük Yönetimi APO01.06
PO3.1 Teknolojik Yönlendirme Planlaması APO02.03; APO04.03
PO3.2 Teknik Altyapı Planı APO02.03-05; APO04.03-05
PO3.3 Gelecek Eğilimleri ve Yönetmelikleri İzleme EDM01.01; APO04.03
PO3.4 Teknoloji Standartları APO03.05
PO3.5 BT Mimari Yönetim Kurulu APO01.01
PO4.1 BT Süreç Çerçevesi APO01.03; APO01.07
PO4.2 BT Strateji Kurulu APO01.01
219

PO4.3 BT Yönlendirme Kurulu APO01.01
PO4.4 BT Fonksiyonunun Organizasyona Yerleştirilmesi APO01.05
PO4.5 BT Organizasyon Yapısı APO01.01
PO4.6 Görevler ve Sorumlulukları Oluşturulması APO01.02
PO4.7 BT Kalite Güvence Sorumluluğu APO11.01
PO4.8 Risk, Güvenlik ve Uyum Sorumluluğu Çıkarıldı- bu özel görevler artık bir uygulama olarak açıkça
belirtilmemektedir.
PO4.9 Veri ve Sistem Sahipliği APO01.06
PO4.10 Gözetim APO01.02
PO4.11 Görevler Ayrılığı APO01.02
PO4.12 BT İstihdamı APO07.01
PO4.13 Ana BT Personeli APO07.02
PO4.14 Sözleşmeli Personel Politikaları ve Prosedürleri APO07.06
PO4.15 İlişkiler APO01.01
PO5.1 Finansal Yönetim Çerçevesi APO06.01
PO5.2 BT Bütçesinde Önceliklendirme APO06.02
PO5.3 BT Bütçelendirme APO06.03
PO5.4 Maliyet Yönetimi APO06.04-05
PO5.5 Fayda Yönetimi APO05.06
PO6.1 BT Politikası ve Kontrol Ortamı APO01.03
PO6.2 Kurum BT Risk ve Kontrol Çerçevesi EDM03.02; APO01.03
PO6.3 BT Politika Yönetimi APO01.03; APO01.08
PO6.4 Politika, Standartlar ve Prosedürler Lansmanı APO01.03; APO01.08
PO6.5 BT Amaçlar ve Doğrultusunun Bildirimi APO01.04
PO7.1 Personel İşe Alma ve Elde Tutma APO07.01; APO07.05
PO7.2 Personel Yetkinlikleri APO07.03
PO7.3 Görevlerin İstihdamı APO01.02; APO07.01
PO7.4 Personel Eğitimi APO07.03
PO7.5 Kişilere Bağımlılık APO07.02
PO7.6 Personel Tasfiye Prosedürleri APO07.01; APO07.06
PO7.7 Çalışan İş Performans Değerlendirmesi APO07.04
PO7.8 İş Değişikliği ve Sonlandırma APO07.01
PO8.1 Kalite Yönetim Sistemi APO11.01
PO8.2 BT Standartları ve Kalite Uygulamaları APO11.02
PO8.3 Geliştirme ve Tedarik Standartları APO11.02; APO11.05
PO8.4 Müşteriye Odaklanma APO11.03
PO8.5 Sürekli İyileştirme APO11.06
PO8.6 Kalite Ölçümü, İzleme ve Gözden Geçirme APO11.04
PO9.1 BT Risk Yönetim Çerçevesi EDM03.02; APO01.03
PO9.2 Risk İçerik Belirleme APO12.03
PO9.3 Olay Belirleme APO12.01; APO12.03
PO9.4 Risk Değerlendirme APO12.02; APO12.04
PO9.5 Risk Yanıtı APO12.06
PO9.6 Risk Eylem Planını Sürdürme ve İzleme APO12.04-05
PO10.1 Program Yönetim Çerçevesi BAI01.01
PO10.2 Proje Yönetim Çerçevesi BAI01.01
PO10.3 Proje Yönetim Yaklaşımı BAI01.01
PO10.4 Paydaş Bağlılığı BAI01.03
PO10.5 Proje Kapsam Bildirisi BAI01.07
220
Ek A

PO10.6 Proje Fazı Başlatma BAI01.07
PO10.7 Entegre Proje Planı BAI01.08
PO10.8 Proje Kaynakları BAI01.08
PO10.9 Proje Risk Yönetimi BAI01.10
PO10.10 Proje Kalite Planı BAI01.09
PO10.11 Proje Değişiklik Kontrolü BAI01.11
PO10.12 Güvence Modelleri Proje Planlaması BAI01.08
PO10.13 Proje Performans Ölçme, Raporlama ve İzleme BAI01.06; BAI01.11
PO10.14 Proje Kapanışı BAI01.13
AI1.1 İş Fonksiyonel ve Teknik Gereksinimlerin Tanımı ve Sürdürülmesi BAI02.01
AI1.2 Risk Analiz Raporu BAI02.03
AI1.3 Alternatif Hareket Tarzı Fizibilite Çalışması ve Formülasyonu BAI02.02
AI1.4 Gereksinimler ve Fizibilite Karar ve Onayı BAI02.04
AI2.1 Yüksek-seviyeli Tasarım BAI03.01
AI2.2 Detaylı Tasarım BAI03.02
AI2.3 Uygulama Kontrol ve Denetlenebilirlik BAI03.05
AI2.4 Uygulama Güvenlik ve Kullanılabilirliği BAI03.01-03; BAI03.05
AI2.5 Tedarik Edilen Uygulama Yazılımı Konfigürasyon ve Uygulaması BAI03.03; BAI03.05
AI2.6 Mevcut Sistemlere Büyük İyileştirmeler BAI03.10
AI2.7 Uygulama Yazılımı Geliştirme BAI03.03-04
AI2.8 Yazılım Kalite Güvencesi BAI03.06
AI2.9 Uygulama Gereksinimleri Yönetimi BAI03.09
AI2.10 Uygulama Yazılım Bakımı BAI03.10
AI3.1 Teknolojik Altyapı Tedarik Planı BAI03.04
AI3.2 Altyapı Kaynak Koruma ve Kullanılabilirlik BAI03.03; DSS02.03
AI3.3 Altyapı Bakımı BAI03.10
AI3.4 Fizibilite Test Ortamı BAI03.07-08
AI4.1 Operasyon Çözümleri Planlama BAI05.05
AI4.2 İş Yönetimine Bilgi Transferi BAI08.01-04
AI4.3 Son Kullanıcılara Bilgi Transferi BAI08.01-04
AI4.4 Operasyonlar ve Destek Personeline Bilgi Transferi BAI08.01-04
AI5.1 Satın Alma Kontrol BAI03.04
AI5.2 Tedarikçi Sözleşme Yönetimi APO10.01; APO10.03
AI5.3 Tedarikçi Seçimi APO10.02
AI5.4 BT Kaynak Tedariği APO10.03
AI6.1 Değişiklik Standartları ve Prosedürleri BAI06.01-04
AI6.2 Etki Değerlendirme, Önceliklendirme ve Yetkilendirme BAI06.01
AI6.3 Acil Değişiklikler BAI06.02
AI6.4 Değişiklik Durumu İzleme ve Raporlama BAI06.03
AI6.5 Değişiklik Kapatma ve Belgeleme BAI06.04
AI7.1 Eğitim BAI05.05
AI7.2 Test Planı BAI07.01; BAI07.03
AI7.3 Uygulama Planı BAI07.01
AI7.4 Test Ortamı BAI07.04
AI7.5 Sistem ve Veri Dönüştürme BAI07.02
AI7.6 Değişikliklerin Test Edilmesi BAI07.05
AI7.7 Son Onay Testi BAI07.05
AI7.8 Üretime Geçiş BAI07.06
AI7.9 Uygulama Sonrası Gözden Geçirme BAI07.08
221

DS1.1 Hizmet Seviyesi Yönetim Çerçevesi APO09.01-06
DS1.2 Hizmetlerin Tanımı APO09.01-03
DS1.3 Hizmet Seviyesi Anlaşmaları APO09.04
DS1.4 Operasyon Seviyesi Anlaşmaları APO09.04
DS1.5 Hizmet Seviyesi Başarılarını İzleme ve Raporlama APO09.05
DS1.6 Hizmet Seviyesi Anlaşmaları ve Sözleşmelerini Gözden Geçirme APO09.06
DS2.1 Tüm Tedarikçi İlişkilerini Belirleme APO10.01
DS2.2 Tedarikçi İlişki Yönetimi APO10.03
DS2.3 Tedarikçi Risk Yönetimi APO10.04
DS2.4 Tedarikçi Performans İzleme APO10.05
DS3.1 Performans ve Kapasite Planlama BAI04.03
DS3.2 Güncel Performans ve Kapasite BAI04.01-02
DS3.3 Gelecekteki Performans ve Kapasite BAI04.01
DS3.4 BT Kaynak Kullanılabilirliği BAI04.05
DS3.5 İzleme ve Raporlama BAI04.04
DS4.1 BT Süreklilik Çerçevesi DSS04.01-02
DS4.2 BT Süreklilik Planları DSS04.03
DS4.3 Kritik BT Kaynakları DSS04.04
DS4.4 BT Süreklilik Planı Bakımı DSS04.02; DSS04.06
DS4.5 BT Süreklilik Planını Test Etme DSS04.05
DS4.6 BT Süreklilik Planı Eğitimi DSS04.07
DS4.7 BT Süreklilik Planı Dağıtımı DSS04.03
DS4.8 BT Hizmet Kurtarma ve Devam Etme DSS04.04
DS4.9 Saha Dışı Yedek Saklama DSS04.08
DS4.10 Devam Etme Sonrası Gözden Geçirme DSS04.09
DS5.1 BT Güvenlik Yönetimi APO13.01; APO13.03
DS5.2 BT Güvenlik Planı APO13.02
DS5.3 Kimlik Yönetimi DSS05.04
DS5.4 Kullanıcı Hesap Yönetimi DSS05.04
DS5.5 Güvenlik Testi, Gözlem ve İzleme DSS05.07
DS5.6 Güvenlik Olay Tanımı DSS02.01
DS5.7 Güvenlik Teknolojisi Koruma DSS05.05
DS5.8 Kriptografik Anahtar Yönetimi DSS05.03
DS5.9 Kötü amaçlı Yazılım Engelleme, Tespit ve Düzeltme DSS05.01
DS5.10 Ağ Güvenliği DSS05.02
DS5.11 Hassas Veri Alışverişi DSS05.02
DS6.1 Hizmetlerin Tanımı APO06.04
DS6.2 BT Muhasebe APO06.01
DS6.3 Maliyet Modelleme ve Ücretlendirme APO06.04
DS6.4 Maliyet Modeli Sürdürme APO06.04
DS7.1 Öğretim ve Eğitim İhtiyaçlarını Belirleme APO07.03
DS7.2 Öğretim ve Eğitim Sağlama APO07.03
DS7.3 Alınan Eğitimi Değerlendirme APO07.03
DS8.1 Hizmet Masası Çıkarıldı- ITIL 3 Hizmet Masası'nı bir süreç olarak adlandırmaz.
DS8.2 Müşteri Sorgularını Kaydetme DSS02.01-03
DS8.3 Olay Üst Bildirimi DSS02.04
DS8.4 Olay Kapatma DSS02.05-06
DS8.5 Raporlama ve Eğilim Analizi DSS02.07
DS9.1 Konfigürasyon Havuzu ve Referans Değerleri BAI10.01-02; BAI10.04; DSS02.01
222
Ek A

DS9.2 Konfigürasyon Öğeleri Belirleme ve Bakımı BAI10.03
DS9.3 Konfigürasyon Bütünlüğü Gözden Geçirme BAI10.04-05; DSS02.05
DS10.1 Problemleri Belirleme ve Sınıflandırma DSS03.01
DS10.2 Problem İzleme ve Çözme DSS03.02
DS10.3 Problem Kapatma DSS03.03-04
DS10.4 Konfigürasyon, Olay ve Problem Yönetimi Entegrasyonu DSS03.05
DS11.1 Veri Yönetimi İş Gereksinimleri DSS01.01
DS11.2 Saklama ve Elde Tutma Düzenlemeleri DSS04.08; DSS06.04
DS11.3 Ortam Kütüphanesi Yönetim Sistemi DSS04.08
DS11.4 İmha DSS05.08
DS11.5 Yedekleme ve Onarım DSS04.08
DS11.6 Veri Yönetimi Güvenlik Gereksinimleri DSS01.01; DSS05.08; DSS06.05
DS12.1 Site Seçimi ve Düzen Tasarımı DSS01.04-05; DSS05.05
DS12.2 Fiziksel Güvenlik Önlemleri DSS05.05
DS12.3 Fiziksel Erişim DSS05.05
DS12.4 Çevre Faktörlerine Karşı Koruma DSS01.04
DS12.5 Fiziksel Hizmet Araçları Yönetimi DSS01.05
DS13.1 Operasyon Prosedür ve Talimatları DSS01.01
DS13.2 İş Zaman Planlaması DSS01.01
DS13.3 BT Altyapısını İzleme DSS01.03
DS13.4 Hassas Belgeler ve Çıktı Aygıtları DSS05.06
DS13.5 Donanım Koruyucu Bakım BAI09.02
ME1.1 Yaklaşım İzleme MEA01.01
ME1.2 İzleme Verileri Tanımı ve Toplama MEA01.02-03
ME1.3 İzleme Yöntemi MEA01.03
ME1.4 Performans Değerlendirme MEA01.04
ME1.5 Yönetim Kurulu ve Üst Düzey Yönetici Raporlama MEA01.04
ME1.6 İyileştirici Aksiyonlar MEA01.05
ME2.1 İç Kontrol Çerçevesi İzleme MEA02.01-02
ME2.2 Denetsel Gözden Geçirme MEA02.01
ME2.3 Kontrol İstisnaları MEA02.04
ME2.4 Kontrol Öz Değerlendirme MEA02.03
ME2.5 İç Kontrol Güvencesi MEA02.06-08
ME2.6 Üçüncü Şahıslarda İç Kontrol MEA02.01
ME2.7 İyileştirici Aksiyonlar MEA02.04
ME3.1 Kurum Dışı Yasa, Yönetmelik ve Sözleşme Uyum Gereksinimleri MEA03.01
ME3.2 Kurum Dışı Gereksinimlere Cevap Optimizasyonu MEA03.02
ME3.3 Kurum Dışı Gereksinimlere Uyumu Değerlendirme MEA03.03
ME3.4 Uyum Pozitif Güvencesi MEA03.04
ME3.5 Entegre Raporlama MEA03.04
ME4.1 BT Yönetişim Çerçevesi Oluşturma EDM01
ME4.2 Stratejik Uyumlandırma Çıkarıldı- COBIT 5'te uyumlandırma, tüm yönetişim ve yönetim
faaliyetlerinin sonucu olarak görülür.
ME4.3 Değer Yaratma EDM02
ME4.4 Kaynak Yönetimi EDM04
ME4.5 Risk Yönetimi EDM03
ME4.6 Performans Ölçme EDM01.03; EDM02.03; EDM03.03; EDM04.03
ME4.7 Bağımsız Güvence MEA02.05-07; MEA02-08
223
Şekil 15 – COBIT 5 Tarafından kapsanan Val IT 2.0 Ana Yönetim Uygulamaları

Val IT 2.0 Ana Yönetim Uygulaması COBIT 5 içinde kapsandığı yer
VG1.1 BT önemi ve yönetişim görevine dair bir anlayış geliştir EDM01.01
VG1.2 Etkili raporlama yolları oluştur EDM01.01
VG1.3 Bir liderlik forumu oluştur EDM01.02; APO01.01
VG1.4 Kuruma yönelik değeri tanımla EDM02.02
VG1.5 İş ve BT stratejilerinin ana iş hedefleriyle hizala ve entegrasyonunu APO02.01
sağla
VG2.1 Değer yönetişim çerçevesini tanımla EDM01.02
VG2.2 Güncel süreçlerin kalite ve kapsamını değerlendir APO01.07
VG2.3 Süreç gereksinimlerini belirle ve önceliklendir APO01.07
VG2.4 Süreçleri tanımla ve belgele APO01.07
VG2.5 Görevler, sorumluluklar ve yükümlülükleri oluştur, uygula ve bildir APO01.02
VG2.6 Organizasyon yapılarını oluştur EDM01.02; APO01.02
VG3.1 Portföy tiplerini tanımla EDM02.02
VG3.2 Kategorileri tanımla (portföylerdeki) EDM02.02
VG3.3 Değerlendirme kriterlerini (her kategori için) oluştur ve bildir EDM02.02
VG3.4 Kriterlere ağırlıklandırmalar ata EDM02.02
VG3.5 Aşama bitişleri ve diğer gözden geçirmelere (her kategori için) EDM02.02
yönelik gereksinimleri tanımla
VG4.1 Güncel kurum bütçelendirme uygulamalarını gözden geçir APO06.03
VG4.2 Değer yönetimi finansal planlama uygulaması gereksinimlerini APO06.01
tanımla
VG4.3 Gerekli değişiklikleri belirle APO06.01
VG4.4 Değer yönetimi optimum finansal planlama uygulamalarını APO06.01
gerçekleştir
VG5.1 Ana ölçütleri belirle EDM02.03
VG5.2 Bilgi elde etme süreçleri ve yaklaşımlarını tanımla EDM02.03
VG5.3 Raporlama yöntemleri ve teknikleri tanımla EDM02.03
VG5.4 Performans iyileştirme aksiyonlarını belirle ve izle EDM02.03
VG6.1 Öğrenilen dersleri uygula EDM02.03
PM1.1 İş stratejisi ve hedeflerin netliğini gözden geçir ve sağla APO05.01
PM1.2 İş stratejisini etkileyen ve destekleyen BT'ye yönelik fırsatları belirle APO05.01
PM1.3 Uygun bir karma yatırım tanımla APO05.01
PM1.4 İş strateji ve hedeflerini BT strateji ve hedeflerine dönüştür APO05.01
PM2.1 Genel yatırım fonlarını belirle APO05.02
PM3.1 İş insan kaynakları envanteri oluştur ve sürdür APO07.01
PM3.2 Şimdiki ve gelecekteki talebi anla (iş insan kaynakları için) APO07.01
PM3.2 Eksiklikleri belirle (şimdiki ve gelecekteki iş insan kaynakları talebi APO07.01
arasındaki)
PM3.4 Taktik planlar oluştur ve sürdür (iş insan kaynakları için) APO07.01
PM3.5 İzle, gözden geçir ve düzenle (iş fonksiyonu tahsisi ve istihdamı) APO07.05
PM3.6 BT insan kaynakları envanteri oluştur ve sürdür APO07.05
PM3.7 Şimdiki ve gelecekteki talebi anla (BT insan kaynakları için) APO07.05
PM3.8 Eksiklikleri belirle (şimdiki ve gelecekteki BT insan kaynakları talebi APO07.05
arasındaki)
PM3.9 Taktik planlar oluştur ve sürdür (BT insan kaynakları için) APO07.05
PM3.10 İzle, gözden geçir ve düzenle (BT fonksiyonu tahsisi ve istihdamı) APO07.05
224
Ek A

PM4.1 İş gerekçelerini programlamak için nispi skorları değerlendir ve APO05.03
tahsis et
PM4.2 Bir genel yatırım portföy görüşü oluştur APO05.03
PM4.3 Yatırım kararları al ve bildir APO05.03
PM4.4 Aşama bitişleri belirle ve seçili programlara fon tahsis et APO05.03
PM4.5 İş hedefleri, tahminleri ve bütçeleri ayarla APO05.03
PM5.1 Yatırım portföy performansını izle ve rapor et APO05.04
PM6.1 Yatırım portföy performansını optimize et APO05.04
PM6.2 Yatırım portföyünü yeniden önceliklendir APO05.04
IM1.1 Yatırım fırsatlarının farkına var APO05.03
IM1.2 Başlangıç program konsepti iş gerekçesi oluştur BAI01.02
IM1.3 Başlangıç program konsepti iş gerekçesi değerlendir APO05.03
IM2.1 Aday programa dair net ve tam bir anlayış oluştur BAI01.02
IM2.2 Alternatiflere dair analiz gerçekleştir BAI01.02
IM3.1 Program planını oluştur BAI01.04
IM4.1 Tam yaşam döngüsü maliyetleri ve faydalarını belirle BAI01.04
IM4.2 Fayda gerçekleştirme planı oluştur BAI01.04
IM4.3 Uygun gözden geçirmeler gerçekleştir ve onay al BAI01.03-04
IM5.1 Detaylı program iş gerekçesi oluştur BAI01.02
IM5.2 Açık yükümlülük ve sahiplik ata BAI01.02
IM5.3 Uygun gözden geçirmeler gerçekleştir ve onay al BAI01.02-03
IM6.1 Projeleri planlama ve kaynaklandırma ve programı başlat BAI01.05
IM6.2 Programı yönet BAI01.05
IM6.3 Faydaları izleme ve yönet BAI01.05
IM7.1 Operasyonel BT portföylerini güncelle APO05.05
IM8.1 İş gerekçesini güncelle BAI01.04
IM9.1 Program (çözüm tedariği) performansını izle ve rapor et BAI01.06
IM9.2 İş (fayda/sonuç) performansını izle ve rapor et BAI01.06
IM9.3 Operasyonel (hizmet tedariği) performansı izle ve rapor et BAI01.06
IM10.1 Programı sonlandır BAI10.14
RG1.1 Kurumsal BT risk değerlendirmesi gerçekleştir EDM03.01; APO12.02-03
RG1.2 BT risk tolerans eşik değerlerini öngör EDM03.01
RG1.3 BT risk toleransını onayla EDM03.01-02
RG1.4 BT risk politikasını hizala EDM03.01-02
RG1.5 BT risk farkındalığı kültürünü teşvik et EDM03.02
RG1.6 BT riski etkili iletişimini destekle EDM03.03
RG2.1 BT risk yönetimine dair yükümlülük oluştur ve sürdür EDM03.02
RG2.2 BT risk stratejisi ve iş risk stratejisini koordine et EDM03.01-02
RG2.3 BT risk uygulamalarını kurum risk uygulamalarına uyarla EDM03.01-02
RG2.4 BT risk yönetimi için yeterli kaynaklar sağla EDM04.01; APO07.01; APO07.03
RG2.5 BT risk yönetimi için bağımsız güvence sağla EDM03.03
RG3.1 BT risk analizi yaklaşımı için yönetim ortağı al EDM01.01-02; EDM03.02
RG3.2 BT risk analizini onayla EDM03.01
RG3.3 BT risk konularını stratejik iş karar alma içine yerleştir EDM03.01
225

RG3.4 BT riskini kabul et EDM03.01
RG3.5 BT risk yanıt faaliyetlerini önceliklendir EDM03.02
RE1.1 Veri toplama modeli oluştur ve sürdür APO12.01
RE1.2 Çalışan ortamdan veri topla APO12.01
RE1.3 Risk durumlarında veri topla APO12.01
RE1.4 Risk faktörlerini belirle APO12.01
RE2.1 BT risk analizi kapsamını tanımla APO12.02
RE2.2 BT riskini tahmin et APO12.02
RE2.3 Risk yanıt seçeneklerini belirle APO12.02
RE2.4 BT risk analizi emsal değerlendirmesi gerçekleştir APO12.02
RE3.1 BT kaynaklarını iş süreçlerine eşleştir APO12.02
RE3.2 BT kaynaklarının iş kritikliğini belirle APO12.03
RE3.3 BT yetkinliklerini anla APO12.03
RE3.4 BT risk senaryosu bileşenlerini güncelle APO12.03
RE3.5 BT risk kaydı ve BT risk haritasını sürdür APO12.03
RE3.6 BT risk göstergeleri oluştur APO12.03
RR1.1 BT risk analizi sonuçlarını bildir APO12.04
RR1.2 BT risk yönetim faaliyetleri ve uyum durumunu rapor et APO12.04
RR1.3 Bağımsız BT değerlendirme bulgularını yorumla APO12.04
RR 1.4 BT-Bağlantılı fırsatları belirle APO12.04
RR2.1 Envanter kontrolleri APO12.05
RR2.2 Risk tolerans eşik değerleriyle operasyonun hizalanmasını izle APO12.05
RR2.3 Bulunan riske maruz kalma seviyesi ve fırsata yönelik tepki ver APO12.05
RR2.4 Kontroller uygula APO12.05
RR2.5 BT risk eylem planı ilerlemesini rapor et APO12.05
RR3.1 Olaya yanıt planlarını sürdür APO12.06
RR3.2 BT riskini izle APO12.06
RR3.3 Olaya yanıtı başlat APO12.06
RR3.4 Risk olaylarından öğrenilen dersleri bildir APO12.06
226
Ek B: KURUM HEDEFLERİ ve
BT-BAĞLANTILI HEDEFLERİN DETAYLI EŞLEŞTİRİLMESİ
Ek B: KURUM HEDEFLERİ ve BT-BAĞLANTILI HEDEFLERİN

DETAYLI EŞLEŞTİRİLMESİ
COBIT 5 hedef basamakları bölüm 2’de açıklanmıştır. Şekil 17 aşağıdakileri içermektedir:
• Sütunlarda, COBIT 5’te tanımlanan BSC boyutuna göre gruplandırılmış 17 genel kurum hedefinin tamamı
• Satırlarda, yine BT BSC boyutlarına göre gruplandırılmış 17 BT-bağlantılı hedefin tamamı
•Her kurum hedefinin BT-bağlantılı hedeflerle nasıl desteklendiğini gösteren bir eşleştirme. Bu eşleştirme aşağıdaki ölçek
kullanılarak ifade edilir:
– “P, önemli bir ilişki mevcut olduğu takdirde, yani, BT-bağlantılı hedef, kurum hedefi için birincil destek olduğunda
birincil terimini temsil eder.
– “S, yine kuvvetli ancak daha az önemli bir ilişki mevcut olduğu takdirde, yani, BT-bağlantılı hedef, kurum hedefi için
ikincil destek olduğunda ikincil terimini temsil eder.
Bu tablo aşağıdaki girdiler bazında oluşturulmuştur:

• Antwerp Yönetim Okulu Üniversitesi BT Hizalama ve Yönetişim Araştırma Enstitüsü tarafından gerçekleştirilen
araştırma
• COBIT 5 geliştirme ve gözden geçirme süreçleri sırasında elde edilen ek gözden geçirmeler ve uzman görüşleri
227
Şekil 17’deki tablo kullanılırken, lütfen COBIT 5 hedef basamaklarının nasıl kullanılacağına dair bölüm 2’de yapılan
açıklamaları dikkate al.
Şekil 17 – COBIT 5 Kurum Hedeflerinin BT-Bağlantılı Hedeflere Eşleştirilmesi

Kurum Hedefi
Dış kaynaklı yasa ve düzenlemeler ile uyumluluk
Servis tedarik maliyetlerinin optimizasyonu
İş süreç fonksiyonelliğinin optimizasyonu

Yönetilen iş riski (varlıkların korunması)
İş hizmet sürekliliği ve kullanılabilirliği
İş süreç maliyetlerinin optimizasyonu

Rakip ürünler ve hizmetler portföyü
Yönetilen iş değişikliği programları

Değişen iş ortamına çevik tepkiler
Bilgi esaslı stratejik karar alma
Operasyon ve kadro verimliliği

İş yatırımlarının paydaş değeri
Müşteri odaklı hizmet kültürü
Yetenekli ve istekli insanlar
Ürün ve iş yenilik kültürü

İç politikalara uygunluk
1. 2. 3. 4. Finansal şeffaflık
5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17.
Sürekli
Öğrenme
BT-Bağlantılı Hedef Finansal Müşteri İçsel ve Büyüme
01 BT ve iş stratejisinin hizalanması P P S P S P P S P S P S S
02 İşin dış kanun ve yönetmeliklerle uyumlu
S P P
olması için BT uyumu ve desteği
03 BT-Bağlantılı kararların verilmesinde
P S S S S S P S S
Financial
yönetici kadronun uyumu

04 Yönetilen BT-Bağlantılı iş riski P S P S P S S S
05 BT etkin yatırım ve hizmet
portföylerinden gerçekleştirilen P P S S S S P S S
kazanımlar
06 BT maliyet, fayda ve riskinde şeffaflık S S P S P P
07 BT hizmetlerinin iş gereksinimlerine göre
P P S S P S P S P S S S S
Customer
sağlanması
08 Uygulama, bilgi ve teknoloji çözümlerinin
S S S S S S S P S P S S
yeterli kullanımı
09 BT Çevikliği S P S S P P S S S P
10 Bilgi, süreç altyapısı ve uygulamaların
P P P P
güvenliği
11 BT varlık, kaynak ve yetkinliklerinin
P S S P S P S S S
optimizasyonu
12 Uygulamalar ve teknolojinin iş
süreçlerine entegre edilmesiyle iş
S P S S S S P S S S S
Internal
süreçlerinin gerçekleştirilmesi ve
desteklenmesi
13 Fayda sağlayan programların zamanında,
bütçe dahilinde, gereksinimleri
P S S S S S P S
karşılayacak şekilde ve kalite
standartlarına uygun olarak sunulması
14 Karar alma için güvenilir ve yararlı
S S S S P P S
bilgilerin kullanılabilirliği
15 İç politikalarla BT uyumu S S P
16 Yetkin ve istekli iş ve BT personeli S S P S S P P S
Learning
Growth
and
17 İşte yenilik için bilgi birikimi, uzmanlık ve

S P S P S S S S P
girişimcilik
228
EK C: BT-BAĞLANTILI HEDEFLER VE
BT-BAĞLANTILI SÜREÇLERİN DETAYLI EŞLEŞTİRMESİ
EK C: BT-BAĞLANTILI HEDEFLER VE BT-BAĞLANTILI

SÜREÇLERİN DETAYLI EŞLEŞTİRMESİ
Şekil 18 aşağıdakileri içerir:
• Sütunlarda, BT BSC boyutlarına göre gruplandırılmış bölüm 2’de açıklanan 17 genel BT-bağlantılı hedefin tamamı
• Sıralarda, etki alanına göre gruplandırılmış 37 COBIT 5 sürecinin tamamı
• Her BT-bağlantılı hedefin, bir COBIT 5 BT-bağlantılı süreç ile nasıl desteklendiğine dair bir eşleştirme. Bu eşleştirme
aşağıdaki ölçek kullanılarak ifade edilir:
“P, önemli bir ilişki mevcut olduğu takdirde, yani, COBIT 5 süreci, BT-bağlantılı kurum hedefinin başarılması için
birincil destek olduğunda birincil terimini temsil eder.
“S, yine kuvvetli ancak daha az önemli bir ilişki mevcut olduğu takdirde, yani, COBIT 5 süreci, BT-bağlantılı hedef için
ikincil destek olduğunda ikincil terimini temsil eder.
Bu tablo aşağıdaki girdiler bazında oluşturulmuştur:

• University of Antwerp Management School IT Alignment and Governance Research Institute tarafından gerçekleştirilen
araştırma
• COBIT 5 geliştirme ve gözden geçirme süreçleri sırasında elde edilen ek gözden geçirmeler ve uzman görüşleri
Şekil 18’deki tablo kullanılırken, lütfen COBIT 5 hedef basamaklarının nasıl kullanılacağına dair bölüm 2’de yapılan
açıklamaları dikkate al.
Şekil 18 – COBIT 5 BT-Bağlantılı Hedeflerin Süreçlere Eşleştirilmesi
BT-Bağlantılı Hedef
Uygulama, bilgi ve teknoloji çözümlerinin yeterli kullanımı
BT-Bağlantılı kararların verilmesinde yönetici kadronun
dahilinde, gereksinimleri karşılayacak şekilde ve kalite

BT hizmetlerinin iş gereksinimlerine göre sağlanması
Iİşin dış kanun ve yönetmeliklerle uyumlu olması için
İşte yenilik için bilgi birikimi, uzmanlık ve girişimcilik

BT varlık, kaynak ve yetkinliklerinin optimizasyonu
Uygulamalar ve teknolojinin iş süreçlerine entegre
Fayda sağlayan programların zamanında, bütçe

Bilgi, süreç altyapısı ve uygulamaların güvenliği
edilmesiyle iş süreçlerinin gerçekleştirilmesi ve
Karar alma için güvenilir ve yararlı bilgilerin

BT etkin yatırım ve hizmet portföylerinden

BT maliyet, fayda ve riskinde şeffaflık
Yetkin ve istekli iş ve BT personeli

BT ve iş stratejisinin hizalanması
Yönetilen BT-Bağlantılı iş riski
İç politikalarla BT uyumu
gerçekleştirilen faydalar
BT uyumu ve desteği
kullanılabilirliği
desteklenmesi
BT Çevikliği
uyumu
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17
Sürekli
Öğrenme
COBIT 5 Süreci Finansal Müşteri İçsel ve Büyüme
EDM01 Yönetişim Çerçevesi
Evaluate, Direct and Monitor
Kurulum ve P S P S S S P S S S S S S S S S
Sürdürülmesini Sağla
EDM02 Fayda Yaratımı Sağla P S P P P S S S S S S P
EDM03 Risk Optimizasyonu Sağla S S S P P S S P S S P S S
EDM04 Kaynak Optimizasyonu
S S S S S S S P P S P S
Sağla
EDM05 Paydaş Şeffaflığı Sağla S S P P P S S S S
229
Şekil 18 – COBIT 5 BT-Bağlantılı Hedeflerin Süreçlere Eşleştirilmesi (devamı)

BT etkin yatırım ve hizmet portföylerinden gerçekleştirilen



Uygulamalar ve teknolojinin iş süreçlerine entegre



kullanılabilirliği
desteklenmesi
BT Çevikliği
faydalar
uyumu
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17
Sürekli
Öğrenme
ve
COBIT 5 Süreci Finansal Müşteri İçsel Büyüme
APO01 BT Yönetim Çerçevesini
P P S S S P S P S S S P P P
Yönet
APO02 Stratejiyi Yönet P S S S P S S S S S S S S P
APO03 Kurum Mimarisini Yönet P S S S S S S P S P S S S
APO04 Yeniliği Yönet S S P P P P S S P
Align, Plan and Organise
APO05 Portföyü Yönet P S S P S S S S S P S

APO06 Bütçe ve Maliyeti Yönet S S S P P S S S S
APO07 İnsan Kaynaklarını Yönet P S S S S S S P P S P P
APO08 İlişkileri Yönet P S S S S P S S P S S S P
APO09 Hizmet Anlaşmalarını
S S S S P S S S S S P S
Yönet
APO10 Tedarikçileri Yönet S P S S P S P S S S S S S
APO11 Kaliteyi Yönet S S S P P S S S P S S S S
APO12 Riski Yönet P P P S S S P P S S S S
APO13 Güvenliği Yönet P P P S S P P
BAI01 Program ve Projeleri Yönet P S P P S S S S P S S
BAI02 Gereksinim Tanımlarını
P S S S S P S S S S P S S S
Yönet
BAI03 Çözüm Belirleme ve
S S S P S S S S S S
Build, Acquire and Implement
Oluşturmayı Yönet
BAI04 Kullanılabilirlik ve
S S P S S P S P S
Kapasiteyi Yönet
BAI05 Organizasyon Değişikliği
S S S S P S S S P S P
Gerçekleştirmeyi Yönet
BAI06 Değişiklikleri Yönet S P S P S S P S S S S S S
BAI07 Değişiklik Kabul ve
S S S P S P S S S S
Dönüşümü Yönet
BAI08 Bilgi Birikimini Yönet S S S S P S S S S P
BAI09 Varlıkları Yönet S S P S S S P S S
BAI10 Konfigürasyonu Yönet P S S S S S P P S
230
Align, Plan and Organise
DSS06
DSS05
DSS04
DSS03
DSS02
DSS01
MEA03
MEA02
MEA01
Yönet
Yönet
Değerlendir
COBIT 5 Süreci
Sürekliliği Yönet
Problemleri Yönet
Operasyonu Yönet
Dış Gereksinimler İle

Güvenlik Hizmetlerini
Uyumu İzle, Tespit Et ve

Tespit Et ve Değerlendir
Hizmet Talep ve Olayları
İç Kontrol Sistemini İzle,

Tespit Et ve Değerlendir t
İş Süreç Kontrollerini Yönet
Performans ve Uyumu İzle,
S
S
S
01
P
P
S
S
P
S
S
S
02
S
03
uyumu
Finansal
P
P
P
P
P
P
P
P
P
04
BT etkin yatırım ve hizmet portföylerinden gerçekleştirilen
S
S
S
S
S
05
faydalar
S
S
06
S
S
P
P
S
P
P
P
P
07
S
S
S
S
S
S
S
S
08

Müşteri

S
S
S
S
09
BT Çevikliği
S
S
S
S
P
S
S
S
10
P
S
S
S
P
P
11

S Uygulamalar ve teknolojinin iş süreçlerine entegre

S
S
S
12

desteklenmesi
Şekil 18 – COBIT 5 BT-Bağlantılı Hedeflerin Süreçlere Eşleştirilmesi (devamı)

İçsel
S
13

S
S
S
S
P
P
S
S
14
S kullanılabilirliği
S
P
P
S
S
S
S
S
15
S
S
S
S
16

S
S
S
S
S
S
S
S
Sürekli
17
Büyüme

Öğrenme ve
231
BT-BAĞLANTILI SÜREÇLERİN DETAYLI EŞLEŞTİRMESİ
EK C: BT-BAĞLANTILI HEDEFLER VE
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA
Phone: +1.847.253.1545
Fax: +1.847.253.1443
Email: info@isaca.org
Web site: www.isaca.org

Gerçekleştirme Süreçleri

Uploaded by

Copyright:

Available Formats

You might also like

Gerçekleştirme Süreçleri

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Gerçekleştirme Süreçleri

Uploaded by

Copyright:

Available Formats

Gerçekleştirme Süreçleri

Personal Copy of: Dr. Ali Ozkaya

ISACA Geri bildirim: www.isaca.org/cobit

COBIT® 5: Gerçekleştirme Süreçleri

COBIT 5 Türkçe Tercüme Grubu

COBIT 5 Özel Görev Grubu (2009-2011)

ISACA Yönetim Kurulu

Çerçeve Komitesi (2009-2012)

ISACA ve BT Yönetişim Enstitüsü (ITGI®) İştirakleri ve Sponsorları

Sayfa Özellikleri Boş Bırakılmıştır

Bölüm 1. Giriş ......................................................................................................................................................................................................................................................................................13

Bölüm 3 – COBIT 5 Süreç Modeli ....................................................................................................................................................................................................................21

Bölüm 4 – COBIT 5 Süreç Referans Modeli ....................................................................................................................................................................................25

Bölüm 5 – COBIT 5 Süreç Referans Kılavuzu İçerikleri .............................................................................................................................................27

Ek A: COBIT 5 ve Eski ISACA Çerçeveleri Arasında Eşleştirme .......................................................................................................................219

Ek B. Kurum Hedefleri ve BT-Bağlantılı Hedeflerin Detaylı Eşleştirmesi ...........................................................................................227

Ek C. BT-Bağlantılı Hedefler ve BT-Bağlantılı Süreçlerin Detaylı Eşleştirmesi .......................................................................229

Sayfa Özellikleri Boş Bırakılmıştır

Şekil 1 COBIT 5 Ürün ailesi............................................................................................................................................... 13

Sayfa Özellikleri Boş Bırakılmıştır

Şekil 1 – COBIT 5 Ürün ailesi

COBIT 5 Profesyonel Rehberler

COBIT 5 Çevrim-içi İșbirliği Ortamı

COBIT 5 ürün ailesi kapsamında aşağıdaki ürünler yer alır:

Bu yayın aşağıdaki şekilde yapılandırılmıştır:

Sayfa Özellikleri Boş Bırakılmıştır

Kurumların birçok paydaşı vardır ve “değer

bulundurmalıdır. Her kararda, aşağıdaki sorular

Paydaşlar, eyleme geçirilebilecek kurum stratejisi

COBIT 5 hedef basamakları Şekil 3’te gösterilmiştir.

Aşama 1. Paydaşları Etkileyen Etmenler Paydaşların İhtiyaçlarını Etkiler

Şekil 3 – COBIT 5 Hedef Basamaklarına Genel Bakış

Paydașları Etkileyen Etmenler

Bir sonraki basamak Ek D, COBIT 5

Kurum Hedefleri Șekil 4

Bir sonraki basamak Ek B

BT-bağlantılı Hedefler Șekil 5

Bir sonraki basamak Ek C

Şekil 4 – COBIT 5 Kurum Hedefleri

Aşama 3. Kurum Hedefleri BT-bağlantılı Hedeflere Basamak Oluşturur

Şekil 5- BT-bağlantılı Hedefler

Aşama 4. BT-bağlantılı Hedefler Gerçekleştirici Hedeflere Basamak Oluşturur

• Prensipler, politikalar ve çerçeveler

COBIT 5 Hedef Basamaklarının Kullanımı

• Farklı sorumluluk seviyelerinde ilgili ve somut hedef ve amaçları tanımlar

COBIT 5 Hedef Basamaklarının Dikkatli Kullanımı

COBIT 5 Hedef Basamaklarının Uygulamada Kullanımı

Kurum Hedef Ölçütleri

Şekil 6 – Kurum Hedefi Örnek Ölçütleri

BSC Boyutu Kurum Hedefi Ölçüt

Finansal 1. İş yatırımlarının •Paydaş beklentilerini karşılayan yatırımların yüzdesi

Şekil 6 – Kurum Hedefi Örnek Ölçütleri (devamı)

BT-bağlantılı Hedef Ölçütleri

Şekil 7 – BT-bağlantılı Hedef Örnek Ölçütleri (devamı)

Şekil 8 – COBIT 5 Gerçekleştirici:Süreçler

Paydașlar Hedefler Yașam Döngüsü İyi Uygulamalar

• Dıș Paydașlar • İçeriksel Kalite • Tasarım Faaliyetleri,

Süreçler için Genel

Paydașların İhtiyaçları Gerçekleștirici Hedeflerine Yașam Döngüsü İyi Uygulamalar