MY Dijital Pazarlama Ajansı

MYDIJITAL OS Rehberi

işletme yetki matrisi: 7 Güvenli Uygulama Adımı

İşletme yetki matrisi, kimin hangi işlemi, hangi veri üzerinde, kimin onayıyla ve ne zamana kadar yapacağını görünür kılar; eski erişimleri ve kritik görev çatışmalarını azaltır.

rol, işlem ve veri kapsamını birleştiren işletme yetki matrisi.
rol, işlem ve veri kapsamını birleştiren işletme yetki matrisi.

işletme yetki matrisi: Yetki çatışması ve eski erişim noktalarını bulun

İşlem ve onay yetkilerini yöneten işletme sahibi, operasyon ve bilgi güvenliği sorumlusu için işletme yetki matrisi, kimin ne yapabileceğini kanıta bağlar. Rol, işlem, veri ve onay sınırları birlikte görüldüğünde hatalı erişim ve işlem riski azalır. Başlangıç noktası yeni izin dağıtmak değil, mevcut hesapları gerçek görevlerle eşleştirip açıklanamayan erişimleri görünür kılmaktır.

Yetki çatışması ve eski erişim noktalarını bulun çalışması, çalışan listesiyle uygulama hesaplarının karşılaştırılmasıyla başlar. Ayrılan kişinin açık hesabı, rol değiştiren çalışanın eski grubu ve sahibi bilinmeyen ortak kullanıcı ayrı işaretlenir. Son oturum tarihi tek başına karar kanıtı sayılmaz. Yönetici doğrulaması, iş ihtiyacı ve hesap sahibinin kimliği birlikte bulunmadan erişimin korunması uygun değildir.

Her rol tanım kartı rolün amacını, sorumlu yöneticisini, temel görevlerini, kullanacağı sistemleri ve inceleme tarihini göstermelidir. “Finans personeli” gibi geniş unvanlar yerine fatura kaydı açan veya ödeme önerisi hazırlayan görevler yazılır. Böylece aynı unvanı taşıyan iki kişinin farklı ihtiyaçları ayrılır. Kart doğrulanmadan işlem izni eklemek, yetki çatışmasını daha görünmez hale getirebilir.

Rol kartı kişinin neden eriştiğini, işlem listesi ise erişimle ne yapabildiğini açıklar. Karar sırasında önce görevin güncelliği doğrulanır, ardından her işlem bu görevle eşleştirilir. Görevi doğrulanan fakat işlemi açıklanamayan erişim kaldırma adayıdır. İşlemi gerekli görülen fakat sorumlusu bulunmayan rol ise sahip atanmasına kadar yeni kullanıcı kabul etmemeli ve yönetsel incelemeye taşınmalıdır.

İlk envanterde hesap adı, çalışan durumu, rol sahibi, kritik işlem, veri alanı ve son doğrulama tarihi kaydedilir. Yaygın hata, rol kartı bulunmadan eski erişimler hakkında yalnız kullanım sıklığına göre karar vermektir. Kullanılmayan hesap riskli olabilir; sık kullanılan hesap da gereksiz ayrıcalık taşıyabilir. Sonuç, korunacak, daraltılacak, askıya alınacak ve araştırılacak erişimlerin gerekçeli listesidir.

Rol, işlem ve veri kapsamını ayırın

Rol, işlem ve veri kapsamını ayırın ilkesi, bir görevin bütün kayıtlara erişmesi gerektiği varsayımını önler. Rol iş sorumluluğunu, işlem yapılabilecek eylemi, veri kapsamı ise eylemin hangi kayıtlarla sınırlı olduğunu belirtir. İşlem yetki listesi bu üç katmanı ayrı alanlarda tutar. Böylece görüntüleme, oluşturma, değiştirme, silme ve onaylama izinleri tek bir belirsiz erişim altında birleşmez.

Satın alma uzmanı tedarikçi tekliflerini görüntüleyebilir ve sipariş taslağı oluşturabilir; ancak tedarikçi banka bilgisini değiştirmesi gerekmeyebilir. Stok sorumlusu mal kabulü kaydedebilir, fakat ödeme onayına ulaşmamalıdır. Finans sorumlusu ödeme önerisini inceleyebilir, ancak tedarikçiyi tek başına oluşturamamalıdır. Bu ayrımlar görevin unvanından değil, işlem sonucunun doğuracağı etkiden çıkarılır.

İşlem yetki listesi için her satırda sistem, işlem, izin düzeyi, veri kümesi, rol sahibi ve onaylayan bulunur. Veri kümesi şube, depo, şirket, proje veya kayıt türüyle sınırlandırılabilir. “Tüm kayıtlar” seçeneği olağan varsayım değildir; gerekçesi ayrıca yazılır. Hassas alanları görüntüleme ile iş kaydını düzenleme izinleri ayrılarak kişisel veriye gereksiz erişim engellenir.

İşletme yetki matrisi hazırlanırken bir işlem için sorumlu olmak, o işlemin bütün aşamalarını yürütme hakkı vermez. Sipariş ihtiyacını açan kişi taslağı hazırlayabilir; belirlenen sınırı aşan siparişi başka kişi onaylar. Teknik yönetici erişimi tanımlar, fakat iş gerekliliğine tek başına karar vermez. Ayrıştırma, sorumluluğu dağıtmaz; karar ve uygulama kanıtlarını doğru sahiplerde toplar.

Kapsam kararı gerçek bir iş örneğiyle sınanır: kullanıcı hangi kaydı açacak, hangi alanı değiştirecek ve hangi sonucu üretecektir? Cevap rol kartında bulunuyor, işlem listesinde açıkça yazıyor ve veri sınırıyla daraltılıyorsa erişim savunulabilir. Bu bağlantılardan biri eksikse talep tamamlanmaz. Sınırsız yönetici erişimi, kolaylık gerekçesiyle kişisel veri veya kritik işlem kapsamına eklenmez.

talep eden, onaylayan ve uygulayan rolleri ayıran erişim haritası.
talep eden, onaylayan ve uygulayan rolleri ayıran erişim haritası.

Talep, onay, verme ve geri alma akışı kurun

Talep, onay, verme ve geri alma akışı kurun yaklaşımı, matris kararını günlük erişim yönetimine dönüştürür. Çalışan veya yöneticisi iş ihtiyacını tanımlar; rol sahibi uygunluğu, veri sahibi kapsamı ve ayrı onaylayan kritik görev ayrılığını değerlendirir. Teknik sorumlu yalnız onaylanan erişimi verir. Son adımda kullanıcı, verilen kapsamın taleple aynı olduğunu doğrular ve kayıt kapanır.

Talep kaydı görev, sistem, işlem, veri kapsam sınırı, başlangıç tarihi, bitiş tarihi ve gerekçe içermelidir. “İşini yapması için gerekli” açıklaması ölçülebilir değildir. Bunun yerine hangi siparişleri oluşturacağı, hangi depoyu göreceği veya hangi ödeme önerilerini inceleyeceği yazılır. Kapsam değişirse eski talep üzerine sessiz ekleme yapılmaz; yeni karar ve yeni onay kaydı oluşturulur.

ISO 9000 süreç yaklaşımı tanımlı rol, sorumluluk, kayıt ve gözden geçirmeyi işletme yetki matrisinin yönetişim döngüsüne genel çerçeve yapar. Buradan yapılan editoryal çıkarım, erişim akışının sahibi, girdisi, çıktısı ve değerlendirme noktasının açıkça yazılmasıdır. Bu genel çerçeve teknik yetkilendirme yöntemi belirlemez. Kayıt sonuçları, geciken kaldırmaları ve tekrarlanan istisnaları iyileştirme gündemine taşımaya yarar.

Onay ayrılığı kuralı, talep eden kişinin kendi kritik erişimini onaylamasını engeller. İş yöneticisi gerekliliği, veri sahibi kayıt sınırını, bilgi güvenliği sorumlusu ise çatışma ve süre riskini değerlendirir. Küçük ekipte ayrı kişi bulunamıyorsa durum gizlenmez. İşlem sonrası bağımsız kontrol, daha dar kapsam ve kısa bitiş tarihi gibi telafi önlemleri kayda bağlanarak eskalasyon yapılır.

Geri alma, çalışanın ayrılmasıyla sınırlı değildir. Rol değişikliği, proje kapanışı, vekâletin bitmesi ve veri sorumluluğunun değişmesi de kaldırma talebi üretir. İnsan kaynakları veya görev sahibi değişikliği bildirir, teknik sorumlu erişimi kapatır, başka bir kişi kapanışı doğrular. Talep numarası, kaldırma zamanı ve doğrulama kanıtı korunur; tamamlanmayan adım süreç sahibine gecikmeden bildirilir.

erişim talebinden süre sonu geri almaya uzanan akış.
erişim talebinden süre sonu geri almaya uzanan akış.

Kurgu geçici satın alma yetkisini sınayın

Kurgu geçici satın alma yetkisini sınayın çalışması, satın alma, stok ve finans işlemleri bulunan kurgusal bir KOBİ üzerinden yürütülür. Başlangıçta ayrılan çalışanın hesabı açıktır; satın alma sorumlusu tedarikçi oluşturup ödemeyi onaylayabilir. Ayrıca geçici vekâletin bitiş tarihi yoktur. Ekip, rolü, işlemi, veriyi, onayı, süreyi ve gözden geçirmeyi tek kayıt üzerinde yeniden kurmaya karar verir.

Kurgu vakada satın alma sorumlusu 5 Ağustos günü başlayan yıllık izin nedeniyle 5–16 Ağustos arasında vekil atanmasını ister. Vekil yalnız sipariş taslağı oluşturabilir ve mevcut tedarikçileri görüntüleyebilir. Yeni tedarikçi oluşturma ile ödeme onayı verilmez. Geçici yetki bitişi 16 Ağustos saat sonuna bağlanır; 17 Ağustos sabahı teknik kapanış ayrıca doğrulanır.

Onay ayrılığı kuralı üç kritik eylemi ayırır: tedarikçi oluşturmayı satın alma yöneticisi, mal kabulünü stok sorumlusu, ödeme onayını finans yöneticisi yürütür. Vekil sipariş taslağını hazırladığında kendi kaydını onaylayamaz. Ekip küçük olduğu için zorunlu istisna doğarsa işletme sahibi işlemi önceden onaylar, finans sorumlusu sonuç belgesini bağımsız inceler ve istisna sonlu tutulur.

Örnekte vekil 12 Ağustos günü mevcut bir tedarikçiye sipariş taslağı açar. Talep kaydı ilgili depo ve sipariş türünü gösteriyorsa işlem sürer. Vekil banka alanını değiştirmeye çalışırsa sistemsel engel beklenir; engel yoksa işlem durdurulur ve yetki sorumlusuna bildirilir. Matris ile teknik erişim farklıysa geniş izin kullanılmaz, düzeltme tamamlanana kadar kayıt bekletilir.

İşletme yetki matrisi kurgu vakanın kararlarını görünür kılsa da tek başına teknik kontrolün yerine geçmez ve tam siber güvenlik garantisi sunmaz. Ekip 17 Ağustos doğrulamasında vekâlet grubunun kaldırıldığını, ayrılan çalışanın hesabının kapandığını ve onay kayıtlarının ayrı kişilerce tamamlandığını arar. Kanıt eksikse süreç kapanmış sayılmaz; erişim askıya alınarak olay incelemesine gönderilir.

Kurgu senaryo — Kurgu vaka: satın alma, stok ve finans işlemleri olan kurgusal bir KOBİ: Ayrılan çalışanın hesabı açık kalıyor, aynı kişi tedarikçi oluşturup ödeme onaylayabiliyor ve geçici yetkinin bitiş tarihi yok. Ekip rol, işlem, veri kapsamı, onay ayrılığı, süre ve gözden geçirmeyi tek matriste tutup istisnayı kayıtlı ve sonlu yapacak.

Rolleri gereklilik ve ayrılık ilkesiyle tartın

Rolleri gereklilik ve ayrılık ilkesiyle tartın kararı, her erişimi iki soruyla değerlendirir: Görev için gerçekten gerekli mi ve kritik işlemi tek kişide mi birleştiriyor? Gerekli olmayan izin kaldırılır. Gerekli fakat çatışmalı izin daraltılır veya ayrı onaya bağlanır. Ayrılık kurulamıyorsa istisna, süre ve bağımsız kontrol sahibi açıkça belirlenmeden talep ilerletilmez.

Karar tablosunun sütunları senaryo, kanıt, eylem ve durdurma ya da eskalasyon sonucudur. “Yeni tedarikçi açma” satırında kanıt görev kartı ve onay kaydıdır; eylem oluşturma iznidir. Aynı kullanıcı ödeme onayına da sahipse durdurma hücresi devreye girer. Ayrı onaylayan atanır veya işlemlerden biri kaldırılır; sözlü mutabakat yeterli kanıt sayılmaz.

“İzin vekâleti” satırının kanıt hücresinde izin tarihleri, yönetici onayı ve görev kapsamı yer alır. Eylem hücresi yalnız gerekli işlemlerin verilmesini söyler. Geçici yetki bitişi bulunmuyorsa satır onaylanmaz. Tarih bulunduğunda teknik kaldırma görevi önceden planlanır. Kapanış doğrulanamazsa hesap askıya alınır, süreç sahibi bilgilendirilir ve kalıcı erişim talebi gibi yeniden değerlendirme yapılır.

“Rol değişikliği” satırında eski ve yeni rol kartları karşılaştırılır. Kanıt, yeni görevin başlangıcıyla önceki erişimlerin kapanış listesidir. Eylem, yeni rolü eklemeden önce gereksiz eski izinleri çıkarmaktır. İki rol geçiş süresince birlikte kalacaksa süre, işlem sınırı ve inceleyen kişi yazılır. Çatışma doğuran birliktelik, yönetici kolaylığı gerekçesiyle kabul edilmez ve üst onaya taşınır.

Erişim talep kaydı karar tablosundaki her hücreyi tek iz üzerinde birleştirir. Talep sahibi ihtiyacı, rol sahibi gerekliliği, veri sahibi kapsamı ve onaylayan ayrılığı doğrular. Teknik ekip karar üretmez; onaylı kararı uygular. Hücrelerden biri boşsa erişim verilmez. Bu yaklaşım hukuki veya iç kontrol danışmanlığının yerine geçmez; işletmenin kendi sorumluluk atamalarını uygulanabilir hale getirir.

işletme yetki matrisi için kanıt ve durdurma noktaları
Rolleri gereklilik ve ayrılık ilkesiyle tartın kararı erişim talep kaydı kanıtı periyodik gözden geçirme kabul koşulu yetki geri alma izi uyarısı
rol tanım kartı erişim talep kaydı yetki iş için gerekli en dar kapsamda olmalı ayrılan çalışanın hesabının açık kalması
işlem yetki listesi periyodik gözden geçirme kritik oluşturma ve onay rolleri ayrılmalı rol değişiminde eski yetkinin birikmesi
veri kapsam sınırı yetki geri alma izi geçici yetki otomatik gözden geçirme tarihi taşımalı aynı kişinin kritik işlemi oluşturup onaylaması
onay ayrılığı kuralı rol tanım kartı yetki iş için gerekli en dar kapsamda olmalı geçici erişimin süresiz hale gelmesi
geçici yetki bitişi işlem yetki listesi kritik oluşturma ve onay rolleri ayrılmalı ayrılan çalışanın hesabının açık kalması
gereklilik, görev ayrılığı ve geri alma gücünü karşılaştıran rol tablosu.
gereklilik, görev ayrılığı ve geri alma gücünü karşılaştıran rol tablosu.

Matrisi yedi erişim teslimiyle uygulayın

Matrisi yedi erişim teslimiyle uygulayın yaklaşımında her teslimin ayrı sorumlusu ve kabul çıktısı vardır. Birinci teslimde operasyon sorumlusu güncel rol kartlarını onaylar. İkinci teslimde sistem sahibi aktif hesap envanterini çıkarır. Üçüncü teslimde süreç sahibi işlem yetkilerini eşleştirir. Kabul, her hesabın doğrulanmış bir kişiye, role ve iş gereksinimine bağlanmasıdır; sahipsiz hesaplar ayrı kuyruğa alınır.

Dördüncü teslimde veri sahibi her işlem için şube, depo, şirket, proje veya kayıt türü sınırını belirler. Beşinci teslimde bilgi güvenliği sorumlusu kritik oluşturma ve onay rollerinin ayrıldığını sınar. Kabul çıktısı, çatışma içermeyen satırlar ile gerekçeli istisnaların ayrılmasıdır. Gerekçesi, sahibi veya telafi kontrolü olmayan istisnalar teknik uygulamaya gönderilmez.

Altıncı teslimde yönetici erişim talep kaydı üzerindeki görev, kapsam, süre ve onay alanlarını tamamlar; teknik sorumlu yalnız bu karara uygun izinleri verir. Kullanıcı verilen erişimi örnek bir kayıtla doğrular. Fazladan menü, veri alanı veya işlem görülürse teslim reddedilir. Eksiklik doğrudan geniş yetkiyle kapatılmaz; kayıt düzeltilir ve gerekli onay yeniden alınır.

Yedinci teslimde kontrol sahibi periyodik gözden geçirme takvimini kurar. Kritik ve geçici erişimler, olağan rollere göre daha yakın izlenebilir; kesin sıklık işletmenin riskine göre belirlenir. Kabul çıktısı, inceleme tarihi, erişim sahibi, doğrulayan yönetici ve alınan kararın kaydıdır. İnceleme geciktiğinde sessizce yeni tarih verilmez; gecikme süreç sahibine bildirilir ve riskli erişim askıya alınabilir.

İşletme yetki matrisi devreye alındığında ilk örneklem; ayrılan çalışan, rol değiştiren çalışan, geçici vekil ve kritik onay kullanıcısını kapsar. Her örnekte talep, onay, teknik verme, kullanıcı doğrulaması ve geri alma kanıtı aranır. Uyuşmazlıkların sayılması tek başına yeterli değildir; nedeni, sahibi ve düzeltme tarihi kaydedilir. Matris, teknik kayıtlarla karşılaştırıldığında güncel tutulabilir ve yönetilebilir hale gelir.

işletme yetki matrisi için yedi somut teslim:

  1. Yetki çatışması ve eski erişim noktalarını bulun: rol tanım kartı çıktısını sorumlusuyla tamamlayın.
  2. Rol, işlem ve veri kapsamını ayırın: işlem yetki listesi çıktısını sorumlusuyla tamamlayın.
  3. Talep, onay, verme ve geri alma akışı kurun: veri kapsam sınırı çıktısını sorumlusuyla tamamlayın.
  4. Kurgu geçici satın alma yetkisini sınayın: onay ayrılığı kuralı çıktısını sorumlusuyla tamamlayın.
  5. Rolleri gereklilik ve ayrılık ilkesiyle tartın: geçici yetki bitişi çıktısını sorumlusuyla tamamlayın.
  6. Matrisi yedi erişim teslimiyle uygulayın: erişim talep kaydı çıktısını sorumlusuyla tamamlayın.
  7. Yetki birikimi ve sahipsiz hesap riskini yönetin: periyodik gözden geçirme çıktısını sorumlusuyla tamamlayın.

Yetki birikimi ve sahipsiz hesap riskini yönetin

Yetki birikimi ve sahipsiz hesap riskini yönetin çalışması, yalnız yeni talepleri değil zamanla unutulan erişimleri inceler. Rol değiştiren çalışanın eski grupları, ayrılan kişinin açık hesabı, sahibi bilinmeyen ortak kullanıcı ve süresi geçen vekâlet öncelikli örneklerdir. Periyodik gözden geçirme, her erişim için hâlâ geçerli görev, hesap sahibi, veri kapsamı ve son kullanım gerekçesi arar.

İnceleme listesi insan kaynakları durumu, uygulama hesabı, rol kartı, son oturum, ayrıcalıklı işlem ve bitiş tarihini yan yana getirir. Ayrılan çalışan aktif görünüyorsa kullanım beklenmeden hesap askıya alınır ve olay sahibi atanır. Rol değişiminde eski izinler yeni görevle karşılaştırılır. Açıklanamayan ayrıcalık kaldırılır; iş kaybı riski varsa daha dar geçici erişimle süreç sahibine eskalasyon yapılır.

KVKK ilkeleri kişisel veriye erişimin belirli amaçla bağlantılı, sınırlı ve ölçülü tutulmasını yetki kapsamı kararında genel veri koruma sınırı yapar. Buradaki editoryal çıkarım, kişisel veri içeren rollerin amaç, alan ve saklama gereksinimi değiştiğinde yeniden incelenmesidir. Bu ilke sınırsız yönetici erişimini haklı kılmaz. Hukuki değerlendirme yerine geçmeden, gereksiz kapsamın daraltılması için yönetsel ölçüt sağlar.

Yetki geri alma izi, kaldırma talebinin açıldığı zamanı, onaylayan kişiyi, teknik kapanış anını ve bağımsız doğrulamayı içerir. Yalnız “kapatıldı” notu, alt hesapların ve grup üyeliklerinin kaldırıldığını kanıtlamaz. E-posta, uygulama, uzak erişim ve ortak kimlik bağlantıları ayrı kontrol edilir. Bir bileşen açık kalırsa vaka tamamlanmaz; teknik sorumlu düzeltir, kontrol sahibi kapanışı yeniden doğrular.

Olay incelemesinin amacı yalnız hatalı kişiyi bulmak değildir; bildirimin, sahipliğin veya teknik kaldırmanın nerede koptuğunu belirlemektir. Tekrarlanan gecikmeler akış tasarımını, sahipsiz hesaplar envanter sorumluluğunu, süresiz istisnalar ise onay kuralını yeniden değerlendirmeyi gerektirir. Sonuç olarak kaldırılan, daraltılan, doğrulanan ve eskalasyona taşınan erişimler kaydedilir; kalan riskin sahibi ile sonraki inceleme tarihi açıkça atanır.

yetki birikimi ve sahipsiz hesap uyarılarını gösteren denetim ekranı.
yetki birikimi ve sahipsiz hesap uyarılarını gösteren denetim ekranı.

işletme yetki matrisi hakkında uygulama soruları ve kısa yanıtlar

rol tanımı başlamadan önce hangi kanıt aranmalı?

Yetki çatışması ve eski erişim noktalarını bulun çalışmasına başlamadan önce görev sözleşmeleri, güncel organizasyon şeması, uygulama hesapları, son oturum kayıtları ve ayrılan çalışan listesi karşılaştırılmalıdır. Her rol tanım kartı, unvana değil fiilen yürütülen göreve dayanmalıdır. Kartın sahibi, geçerlilik tarihi ve beklenen işlemleri doğrulanamıyorsa yeni yetki verilmemeli; mevcut erişim, iş sahibiyle incelenmek üzere işaretlenmelidir.

işlem yetki listesi için sınır ve sorumlu nasıl belirlenir?

İşlem yetki listesi için sınır, görevin tamamlanması adına gereken en dar işlem ve kayıt kümesiyle belirlenir. Talep, onay, verme ve geri alma akışı kurun yaklaşımında iş sahibi gereksinimi, veri sahibi ise veri kapsam sınırı kararını doğrular. Sorumlu kişi; yetkiyi isteyen, onaylayan veya teknik olarak veren taraflardan hangisi olduğunu kayıtta açıkça belirtmeli, kritik görevler tek kişide birleşmemelidir.

onay ayrılığı sırasında hangi kayıt karar vermeyi kolaylaştırır?

Rolleri gereklilik ve ayrılık ilkesiyle tartın kararında en yararlı kanıt, işlem sahibi, onaylayan kişi, gerekçe, kapsam, başlangıç tarihi ve geçici yetki bitişi alanlarını birlikte gösteren erişim talep kaydıdır. Kayıt, aynı kişinin kritik işlemi oluşturup onaylayıp onaylamadığını görünür kılar. Ayrılık sağlanamıyorsa istisna sahibi, ek inceleme ve son tarih belirlenmeden erişim etkinleştirilmemelidir.

geçici yetki bitişi bozulduğunda önce hangi işaret incelenir?

Geçici yetki bitişi bozulduğunda önce planlanan kapanış tarihi ile hesabın güncel etkinlik durumu arasındaki uyumsuzluk incelenir. Yetki birikimi ve sahipsiz hesap riskini yönetin yaklaşımı, son oturumun yanında çalışan durumu, rol değişikliği ve açık istisna kaydını da arar. Periyodik gözden geçirme gecikmişse hesap sahibi ve yönetici doğrulaması alınır; gerekçe bulunamayan erişim askıya alınarak incelemeye yönlendirilir.

yetki geri alma izi hangi durumda yeniden değerlendirilmelidir?

Yetki geri alma izi; görev değişikliği, işten ayrılma, sistem geçişi, veri kapsamının daralması veya işlem sahibinin değişmesi halinde yeniden değerlendirilmelidir. İşlem yetki listesi kapanan yetkinin bütün uygulama ve alt hesaplarını göstermiyorsa iz eksik kabul edilir. İşletme yetki matrisi üzerindeki kapanış tarihi, teknik kaldırma kanıtı ve doğrulayan kişi uyuşmadığında süreç yeniden açılmalı; sahipsiz kalan erişim ayrı bir olay olarak incelenmelidir.