Kaynak · İç Denetim
ISO 42001 İç Denetim Kontrol Listesi
ISO 42001 iç denetimi — yaygın adıyla iç tetkik — hazırlığınız için hazır bir soru tabanı. Yapay zekâ yönetim sisteminizi kurarken kendi kendinize değerlendirin: yönetişimden güvenliğe, adillikten şeffaflığa nerede olduğunuzu görün. Liste 9 başlıkta 116 soru içerir; her soru için belgelendirme öncesi nerede kanıt hazırlamanız gerektiğini gösterir. ISO/IEC 42001 merkeze alınmış; NIST AI RMF, AB Yapay Zekâ Yasası ve KVKK gereklilikleriyle örtüşen sorular da eklenmiştir.
Nasıl kullanılır?
İşaretleyin
Her soruyu Uygun / Uygun değil / Uygulanamaz olarak yanıtlayın.
Not ekleyin
Kanıtın yerini veya aksiyonu ilgili soruya not düşün.
Boşlukları görün
“Uygun değil” maddeler boşluk listenizi oluşturur.
PDF kaydedin
Doldurduğunuz listeyi tek tıkla PDF olarak indirin.
Nerede olduğunuzu 10 dakikada ölçmek isterseniz ücretsiz gap analizi aracımız uyum skorunuzu ve zayıf kategorilerinizi verir.
Verileriniz tarayıcınızda kalır
Bu araçtaki tüm işaretlemeler, notlar ve aşağıdaki firma/denetçi bilgileri yalnızca kendi tarayıcınızda (localStorage) işlenir; hiçbir sunucuya gönderilmez. PDF de cihazınızda oluşturulur. “Tümünü sıfırla” ile verileri istediğiniz an silebilirsiniz.
İlerleme: 0/116 (0%)
1 Yapay Zekâ Yönetişimi ve Uyum 0/9 +
1.1 · Yapay Zekâ Yönetişim Politikaları
-
1.1.1 Kuruluşun belgelenmiş bir yapay zekâ yönetişim çerçevesi var mı?
Nasıl kontrol edilir · Yapay zekâ yönetişimine ilişkin yönetişim belgelerini, politikaları ve rolleri inceleyin.
-
1.1.2 Yapay zekâ risk yönetimi süreçleri ISO 42001, NIST AI RMF, KVKK ve GDPR ile uyumlu mu?
Nasıl kontrol edilir · Yapay zekâ risk yönetimi dokümantasyonunu değerlendirin ve ISO, NIST ve GDPR standartlarıyla karşılaştırın.
-
1.1.3 Yapay zekâ yönetişimini denetleyen bir yapay zekâ etik komitesi var mı?
Nasıl kontrol edilir · Yapay zekâ etik komitesinin toplantı tutanaklarını, yapısını ve karar alma yetkisini kontrol edin.
1.2 · Düzenleyici Uyum
-
1.2.1 Yapay zekâ sistemi GDPR, ISO 42001, CCPA, KVKK vb. veya sektöre özgü düzenlemelere uyuyor mu?
Nasıl kontrol edilir · Yasal uyum dokümantasyonunu ve düzenleyici denetim raporlarını inceleyin.
-
1.2.2 Yapay zekâ veri işleme faaliyetleri belgelenmiş ve yasal olarak gerekçelendirilmiş mi?
Nasıl kontrol edilir · Veri işleme politikalarını, kayıtları ve yapay zekâ veri kullanımının yasal dayanaklarını inceleyin.
-
1.2.3 Yapay zekâ modelleri şeffaflık, açıklanabilirlik ve hesap verebilirliği sağlayacak şekilde tasarlanmış mı?
Nasıl kontrol edilir · Yapay zekâ sistem dokümantasyonunu, model açıklamalarını ve hesap verebilirlik mekanizmalarını inceleyin.
1.3 · Yapay Zekâ Risk Yönetimi ve Denetimi
-
1.3.1 Yapay zekâ devreye alımı için bir risk değerlendirme çerçevesi var mı?
Nasıl kontrol edilir · Risk değerlendirme çerçevelerini, metodolojileri ve geçmiş risk raporlarını değerlendirin.
-
1.3.2 Yapay zekâ riskleri düzenli olarak izleniyor ve raporlanıyor mu?
Nasıl kontrol edilir · Yapay zekâ risk raporlarını, izleme panolarını ve periyodik risk değerlendirmelerini kontrol edin.
-
1.3.3 Kuruluşun resmî bir yapay zekâ denetim planı var mı?
Nasıl kontrol edilir · Yapay zekâ denetim politikalarını, geçmiş denetim raporlarını ve uyum inceleme takvimlerini inceleyin.
2 Önyargı Tespiti ve Adillik Denetimi 0/11 +
2.1 · Eğitim Verisi Önyargı Değerlendirmesi
-
2.1.1 Yapay zekâ eğitim verisi çeşitli ve farklı demografik grupları temsil ediyor mu?
Nasıl kontrol edilir · Veri seti bileşimini, demografik dağılımları ve veri toplama kaynaklarını inceleyin.
-
2.1.2 Yapay zekâ modeli ırksal, cinsiyet veya sosyoekonomik önyargılar açısından test edildi mi?
Nasıl kontrol edilir · Önyargı test raporlarını, adillik analizi sonuçlarını ve geçmiş önyargı azaltma çalışmalarını analiz edin.
-
2.1.3 Eşitlenmiş Olasılıklar, Orantısız Etki ve İstatistiksel Eşitlik gibi adillik metrikleri uygulanıyor mu?
Nasıl kontrol edilir · Adillik metriklerinin hesaplanıp hesaplanmadığını ve eşitsizliklerin düzeltici eylem için işaretlenip işaretlenmediğini kontrol edin.
-
2.1.4 Geçmiş önyargıları gidermek için veri ön işleme teknikleri kullanılıyor mu?
Nasıl kontrol edilir · Veri dengeleme, yeniden ağırlıklandırma veya düşmanca önyargı giderme gibi ön işleme metodolojilerini inceleyin.
2.2 · Model Adilliği ve Şeffaflığı
-
2.2.1 Yapay zekâ modeli düzenli önyargı denetimlerinden ve adillik testlerinden geçiyor mu?
Nasıl kontrol edilir · Düzenli izleme kanıtı için yapay zekâ denetim raporlarını ve adillik test kayıtlarını inceleyin.
-
2.2.2 Adillik sonuçları belgeleniyor ve uyum ekipleri tarafından inceleniyor mu?
Nasıl kontrol edilir · Adillik dokümantasyonunu, uyum raporlarını ve paydaş incelemelerini gözden geçirin.
-
2.2.3 Kararları açıklamak için yapay zekânın açıklanabilirlik araçları (SHAP, LIME) var mı?
Nasıl kontrol edilir · Yapay zekâ modellerinin SHAP, LIME veya diğer açıklanabilirlik araçlarıyla donatılıp donatılmadığını değerlendirin.
-
2.2.4 Yapay zekâ adilliği IBM AI Fairness 360, Fairlearn gibi harici araçlarla doğrulanıyor mu?
Nasıl kontrol edilir · Yapay zekâ modellerinin IBM AI Fairness 360, Fairlearn veya benzeri çerçevelerle test edilip edilmediğini kontrol edin.
2.3 · Karar İncelemesi ve İnsan Gözetimi
-
2.3.1 Yapay zekâ tarafından üretilen kararlar devreye alınmadan önce adillik açısından denetleniyor mu?
Nasıl kontrol edilir · Yapay zekâ karar denetim kayıtlarını ve devreye alma öncesi doğrulama raporlarını inceleyin.
-
2.3.2 Yapay zekâ kararlarını izlemek için bir insan-döngüde (human-in-the-loop) süreci var mı?
Nasıl kontrol edilir · İnsan gözetimi mekanizmalarını, iş akışlarını ve izleme prosedürlerini inceleyin.
-
2.3.3 Yüksek riskli uygulamalarda (ör. işe alım, kredilendirme) kullanıcılara kararlara itiraz imkânı tanınıyor mu?
Nasıl kontrol edilir · Yüksek riskli alanlarda yapay zekâ kararları için itiraz mekanizmalarının olup olmadığını doğrulayın.
3 Güvenlik ve Düşmanca Saldırı Koruması 0/12 +
3.1 · Model Güvenliği ve Erişim Kontrolleri
-
3.1.1 Yapay zekâ modelleri rol tabanlı erişim kontrolü (RBAC) ile korunuyor mu?
Nasıl kontrol edilir · Erişim kontrol politikalarını inceleyin ve RBAC uygulamasını doğrulayın.
-
3.1.2 Yapay zekâ sistemi erişim için çok faktörlü kimlik doğrulama (MFA) gerektiriyor mu?
Nasıl kontrol edilir · Kimlik doğrulama yapılandırmalarını ve MFA uygulaması için sistem kayıtlarını kontrol edin.
-
3.1.3 Yapay zekâ modelleri beklemede ve aktarımda şifreleniyor mu (ör. AES-256, TLS 1.3)?
Nasıl kontrol edilir · Şifreleme politikalarını inceleyin ve saklanan ile aktarılan verilerin şifrelemesini test edin.
-
3.1.4 Yapay zekâ erişim girişimlerinin günlükleme ve izlemesi yapılıyor mu?
Nasıl kontrol edilir · Yapay zekâ sistem erişim kayıtlarını ve izleme panolarını inceleyin.
3.2 · Düşmanca Saldırı ve Model Kurcalama Koruması
-
3.2.1 Yapay zekâ modelleri düşmanca saldırılara (kaçınma, zehirleme, model tersine çevirme vb.) karşı test ediliyor mu?
Nasıl kontrol edilir · Düşmanca sağlamlık test raporlarını ve güvenlik değerlendirmelerini analiz edin.
-
3.2.2 Yapay zekâ eğitim veri setleri veri zehirleme saldırılarına karşı korunuyor mu?
Nasıl kontrol edilir · Zehirleme saldırılarına karşı veri seti koruma önlemlerini ve güvenlik politikalarını inceleyin.
-
3.2.3 Yapay zekâ, düşmanca güvenlik araçlarıyla (ör. Microsoft Counterfit, CleverHans) sızma testinden geçti mi?
Nasıl kontrol edilir · Sızma testi raporlarını ve güvenlik değerlendirmelerini inceleyin.
-
3.2.4 Yapay zekâ çıktısı düşmanca girdilerin neden olduğu beklenmedik davranışlar açısından izleniyor mu?
Nasıl kontrol edilir · Model davranış kayıtlarını izleyin ve beklenmedik çıktı tespit mekanizmalarını doğrulayın.
3.3 · API ve Bulut Güvenlik Önlemleri
-
3.3.1 Yapay zekâ API'leri OAuth 2.0 kimlik doğrulaması ve hız sınırlama ile korunuyor mu?
Nasıl kontrol edilir · API kimlik doğrulama mekanizmalarını, güvenlik anahtarlarını ve hız sınırlama yapılandırmalarını inceleyin.
-
3.3.2 Yapay zekâ, yetkisiz sorguları önlemek için API izleme ve anomali tespiti kullanıyor mu?
Nasıl kontrol edilir · API izleme raporlarını ve anomali tespit kayıtlarını analiz edin.
-
3.3.3 Model ağırlıkları ve veri setleri bulutta (AWS, Azure, Google Cloud) şifreleme ve kısıtlı erişimle korunuyor mu?
Nasıl kontrol edilir · Bulut güvenlik yapılandırmalarını, şifreleme ayarlarını ve erişim kontrol politikalarını kontrol edin.
-
3.3.4 Yapay zekâ güvenliği ISO 27001, SOC 2 ve NIST Siber Güvenlik Çerçevesi'ne uyuyor mu?
Nasıl kontrol edilir · Siber güvenlik denetim raporlarını ve uyum dokümantasyonunu inceleyin.
4 Açıklanabilirlik ve Şeffaflık 0/12 +
4.1 · Model Yorumlanabilirliği ve Dokümantasyonu
-
4.1.1 Yapay zekâ model dokümantasyonu kapsamlı ve denetçiler için erişilebilir mi?
Nasıl kontrol edilir · Yapay zekâ model dokümantasyonunu, sistem tasarımını ve eğitim kayıtlarını inceleyin.
-
4.1.2 Yapay zekâ karar alma süreçleri için açık açıklamalar sunuyor mu?
Nasıl kontrol edilir · Model açıklanabilirlik raporlarını ve karar alma gerekçelerini analiz edin.
-
4.1.3 Model parametreleri, varsayımları ve öznitelik önemi iyi belgelenmiş mi?
Nasıl kontrol edilir · Model parametrelerinin, temel varsayımların ve öznitelik önemi analizinin dokümantasyonunu kontrol edin.
-
4.1.4 Açıklanabilirlik çerçeveleri (ör. SHAP, LIME, Integrated Gradients) kullanılıyor mu?
Nasıl kontrol edilir · Yorumlanabilirlik için SHAP, LIME veya benzeri çerçevelerin kullanılıp kullanılmadığını inceleyin.
4.2 · Kullanıcı ve Düzenleyici Açıklanabilirlik Gereksinimleri
-
4.2.1 Yapay zekâ sistemi GDPR/KVKK'nin 'Açıklama Hakkı'na uyuyor mu?
Nasıl kontrol edilir · Uyum politikalarını, GDPR/KVKK dokümantasyonunu ve 'Açıklama Hakkı' uygulamasını inceleyin.
-
4.2.2 Son kullanıcılar yapay zekâ kararlarını (ör. kredi onayları, işe alım) anlayabiliyor mu?
Nasıl kontrol edilir · Kararların anlaşılırlığını değerlendirmek için kullanıcı anketleri veya testleri yapın.
-
4.2.3 Denetçiler ve uyum ekipleri için bir açıklanabilirlik panosu var mı?
Nasıl kontrol edilir · Bir açıklanabilirlik panosunun varlığını ve işlevselliğini değerlendirin.
-
4.2.4 Yapay zekâ gerekçeleri tutarlı, önyargısız ve yeniden üretilebilir mi?
Nasıl kontrol edilir · Gerekçe kayıtlarını, karar tutarlılığı testlerini ve önyargı değerlendirmelerini inceleyin.
4.3 · Şeffaflık ve Etik Uyum
-
4.3.1 Yapay zekâ açık kaynaklı, yasal ve etik kaynaklı verilerle eğitiliyor mu?
Nasıl kontrol edilir · Veri seti lisanslarını, kaynak kayıtlarını ve etik veri edinme raporlarını inceleyin.
-
4.3.2 Yapay zekâ karar yolları uyum denetimleri için kaydediliyor ve izlenebiliyor mu?
Nasıl kontrol edilir · Karar yolları için denetim kayıtlarını ve izlenebilirlik mekanizmalarını kontrol edin.
-
4.3.3 Yapay zekâ, bir kararın yapay zekâ mı yoksa insan tarafından mı üretildiğini açıklıyor mu?
Nasıl kontrol edilir · Kullanıcı arayüzlerindeki ve karar raporlarındaki açıklamaları inceleyin.
-
4.3.4 Şeffaflık ilkeleri ISO 42001, AB Yapay Zekâ Yasası ve OECD İlkeleri ile uyumlu mu?
Nasıl kontrol edilir · Şeffaflık dokümantasyonunu ve düzenleyici ilkelerle uyumunu analiz edin.
5 Model Performansı ve Kayma İzleme 0/12 +
5.1 · Model Doğruluğu ve Kararlılık Kontrolleri
-
5.1.1 Yapay zekâ hassasiyet, duyarlılık, F1 skoru ve AUC-ROC ile düzenli doğruluk testinden geçiyor mu?
Nasıl kontrol edilir · Test raporlarını, karışıklık matrislerini ve performans metriği hesaplamalarını inceleyin.
-
5.1.2 Modeller aşırı uyumu (overfitting) önlemek için gerçek dünya veri setleriyle doğrulanıyor mu?
Nasıl kontrol edilir · Gerçek dünya veri setlerini kullanan doğrulama raporlarını analiz edin.
-
5.1.3 Yapay zekâ performansı zaman içinde eğilim analizi ve metriklerle izleniyor mu?
Nasıl kontrol edilir · Performans panolarını ve istatistiksel eğilim analizi raporlarını kontrol edin.
-
5.1.4 Modeller farklı koşullar ve uç durumlar altında test ediliyor mu?
Nasıl kontrol edilir · Test senaryolarını, düşmanca senaryoları ve uç durum test sonuçlarını inceleyin.
5.2 · Model Kayması ve Sürekli İzleme
-
5.2.1 Model performansı bozulmasını tespit etmek için otomatik kayma tespiti var mı?
Nasıl kontrol edilir · Kayma tespiti kayıtlarını ve otomatik izleme uyarılarını inceleyin.
-
5.2.2 Kaymayı tespit etmek için tahminler gerçek dünya sonuçlarıyla karşılaştırılıyor mu?
Nasıl kontrol edilir · Tahminleri gerçek dünya sonuçları ve geçmiş kıyaslamalarla karşılaştırın.
-
5.2.3 Modelleri taze verilerle güncellemek için bir yeniden eğitim takvimi var mı?
Nasıl kontrol edilir · Yeniden eğitim kayıtlarını ve takvime uyumu inceleyin.
-
5.2.4 İzleme araçları (ör. Evidently AI, AWS Model Monitor, Azure ML Monitoring) kullanılıyor mu?
Nasıl kontrol edilir · İzleme araçlarının uygulamasını ve uyarı yapılandırmalarını doğrulayın.
5.3 · Modeli Yeniden Eğitimi ve Yönetişimi
-
5.3.1 Resmî bir model yeniden eğitimi ve doğrulama politikası var mı?
Nasıl kontrol edilir · Yeniden eğitim politikalarını, ilkelerini ve yönetişim dokümantasyonunu inceleyin.
-
5.3.2 Güncellemeler ve yeniden eğitim kaydediliyor ve uyum ekiplerince inceleniyor mu?
Nasıl kontrol edilir · Güncelleme kayıtlarını, uyum ekibi kayıtlarını ve yeniden eğitim doğrulama raporlarını değerlendirin.
-
5.3.3 Denetçilere değerlendirme için geçmiş performans raporları sağlanıyor mu?
Nasıl kontrol edilir · Denetçilerin performans kayıtlarına kısıtlamasız erişimi olup olmadığını kontrol edin.
-
5.3.4 Model yaşam döngüsü yönetimi ISO 42001 ve NIST AI RMF ilkelerine uyuyor mu?
Nasıl kontrol edilir · ISO 42001 ve NIST AI RMF gereksinimlerine uyum için dokümantasyonu inceleyin.
6 Devreye Alma ve Uygulama Sonrası Risk Denetimi 0/12 +
6.1 · Devreye Alma Güvenliği ve Yönetişimi
-
6.1.1 Devreye alma ortamları yetkisiz değişikliklere karşı korunuyor mu?
Nasıl kontrol edilir · Devreye alma güvenlik politikalarını ve erişim kayıtlarını inceleyin.
-
6.1.2 Model değişikliklerini kısıtlamak için rol tabanlı erişim kontrolleri (RBAC) uygulanıyor mu?
Nasıl kontrol edilir · Sistem değişiklikleri için RBAC politikalarını ve kullanıcı rolü yapılandırmalarını değerlendirin.
-
6.1.3 Devreye alma bulut güvenlik standartları (ISO 27001, SOC 2, NIST CSF) ile uyumlu mu?
Nasıl kontrol edilir · Bulut güvenliğine uyum için dokümantasyonu ve denetim raporlarını kontrol edin.
-
6.1.4 Modeller veri sızıntılarını önlemek için beklemede ve aktarımda şifreleniyor mu?
Nasıl kontrol edilir · Şifreleme politikalarını analiz edin ve devreye alımda uygulamayı doğrulayın.
6.2 · Uygulama Sonrası İzleme
-
6.2.1 Yapay zekâ performansı gerçek zamanlı izleme panolarıyla izleniyor mu?
Nasıl kontrol edilir · İzleme panolarını, kayıtları ve performans izleme sistemlerini inceleyin.
-
6.2.2 Üretilen kararlar kaydediliyor ve anomaliler açısından inceleniyor mu?
Nasıl kontrol edilir · Karar kayıtlarını alışılmadık desenler açısından inceleyin ve anomali testleri yapın.
-
6.2.3 Yapay zekâ, önyargının yeniden ortaya çıkması veya model kayması açısından izleniyor mu?
Nasıl kontrol edilir · Önyargı izleme raporlarını ve model kayması analiz kayıtlarını analiz edin.
-
6.2.4 Devreye alma sonrası raporlar denetçilere ve uyum ekiplerine düzenli sunuluyor mu?
Nasıl kontrol edilir · Denetim sunum kayıtlarını ve uyum ekibi incelemelerini kontrol edin.
6.3 · Olay Müdahalesi ve Güvenli Durma Mekanizmaları
-
6.3.1 Sistem hataları durumunda önceden tanımlı yapay zekâ hata müdahale protokolleri var mı?
Nasıl kontrol edilir · Olay müdahale planlarını ve hata protokolü belgelerini inceleyin.
-
6.3.2 Modelleri önceki kararlı sürüme döndürmek için bir geri alma mekanizması var mı?
Nasıl kontrol edilir · Geri alma süreci dokümantasyonunu inceleyin ve mümkünse geri alma testi yapın.
-
6.3.3 Yapay zekâ uyarıları gerçek zamanlı anomali tespiti için güvenlik ekiplerine entegre mi?
Nasıl kontrol edilir · Güvenlik uyarısı yapılandırmalarını ve SOC/SIEM araçlarıyla entegrasyonunu doğrulayın.
-
6.3.4 Yüksek riskli uygulamalar için 'insan-döngüde' müdahale sistemi var mı?
Nasıl kontrol edilir · İnsan müdahale mekanizmalarını ve karar alma vaka çalışmalarını değerlendirin.
7 Etik Uyum ve Sorumlu Yapay Zekâ 0/12 +
7.1 · Etik İlkeleri ve Uyum
-
7.1.1 Kuruluş sorumlu yapay zekâ çerçevelerini (OECD, UNESCO, ISO 42001, AB YZ Yasası) uyguluyor mu?
Nasıl kontrol edilir · Yönetişim politikalarını ve sorumlu yapay zekâ çerçevelerine uyumu inceleyin.
-
7.1.2 Modeller adillik, hesap verebilirlik ve şeffaflık (FAT) ilkeleriyle tasarlanmış mı?
Nasıl kontrol edilir · Model tasarımı dokümantasyonunu FAT ilkeleri açısından inceleyin.
-
7.1.3 Karar alma kurumsal etik ve insan hakları ilkeleriyle uyumlu mu?
Nasıl kontrol edilir · Karar alma politikalarını ve etik uyum ilkelerini analiz edin.
-
7.1.4 Üretilen sonuçlar istenmeyen olumsuz sonuçlar açısından inceleniyor mu?
Nasıl kontrol edilir · Üretilen sonuçların istenmeyen zararlar açısından etki değerlendirmelerini inceleyin.
7.2 · İnsan Gözetimi ve Hesap Verebilirliği
-
7.2.1 Kararlar için insan-döngüde (HITL) veya insan-döngü üstünde (HOTL) mekanizma var mı?
Nasıl kontrol edilir · İnsan gözetimi mekanizmaları ve HITL/HOTL uygulamaları dokümantasyonunu kontrol edin.
-
7.2.2 Son kullanıcılar kararlara itiraz edip temyiz edebiliyor mu?
Nasıl kontrol edilir · Kullanıcı temyiz süreçlerini ve itiraz mekanizmalarını doğrulayın.
-
7.2.3 Yapay zekâ riskleri paydaşlara ve düzenleyicilere iletiliyor mu?
Nasıl kontrol edilir · Paydaş iletişim raporlarını ve risk açıklama beyanlarını değerlendirin.
-
7.2.4 Hatalar veya etik kaygılar için açık bir yükseltme (escalation) süreci var mı?
Nasıl kontrol edilir · Hata yükseltme iş akışlarını ve geçmiş olay raporlarını inceleyin.
7.3 · Önyargı, Kapsayıcılık ve Adillik Denetimleri
-
7.3.1 Yapay zekâ devreye alınmadan önce önyargı ve adillik testinden geçiyor mu?
Nasıl kontrol edilir · Önyargı ve adillik test raporlarını ve doğrulama süreçlerini inceleyin.
-
7.3.2 Veri setleri çeşitli ve tüm kullanıcı gruplarını temsil ediyor mu?
Nasıl kontrol edilir · Veri seti bileşimini ve çeşitlilik değerlendirme raporlarını analiz edin.
-
7.3.3 Adillik ve kapsayıcılık için harici üçüncü taraf denetimi yapılıyor mu?
Nasıl kontrol edilir · Harici denetim raporlarını ve adillik uyum sertifikalarını kontrol edin.
-
7.3.4 Yapay zekâ, Açıklama Hakkı'na, YZ Yasası risk sınıflandırmasına ve ayrımcılık karşıtı yasalara uyuyor mu?
Nasıl kontrol edilir · GDPR/KVKK, YZ Yasası ve ayrımcılık karşıtı uyum dokümantasyonunu değerlendirin.
8 Sürekli İzleme ve Otomatik Risk Tespiti 0/16 +
8.1 · Gerçek Zamanlı İzleme ve Uyarı Sistemleri
-
8.1.1 Performans gerçek zamanlı panolar ve anomali tespit araçlarıyla izleniyor mu?
Nasıl kontrol edilir · Gerçek zamanlı performans izleme için izleme panolarını ve kayıtları inceleyin.
-
8.1.2 Riskler makine öğrenmesi tabanlı denetim sistemleriyle otomatik işaretleniyor mu?
Nasıl kontrol edilir · Otomatik denetim sistemlerinden gelen risk tespit raporlarını inceleyin.
-
8.1.3 Modeller güvenlik izleme için SIEM araçlarıyla entegre mi?
Nasıl kontrol edilir · SIEM platformlarıyla güvenlik entegrasyonunu ve izleme kayıtlarını kontrol edin.
-
8.1.4 Hızlı giderim için uyum ve güvenlik ekiplerine otomatik uyarılar gönderiliyor mu?
Nasıl kontrol edilir · Güvenlik uyarısı yapılandırmalarını ve müdahale protokollerini analiz edin.
8.2 · Önyargı ve Kayma Tespiti Otomasyonu
-
8.2.1 Önyargı tespit araçları (ör. IBM AI Fairness 360, Fairlearn) sürekli denetim için entegre mi?
Nasıl kontrol edilir · Önyargı izleme aracı entegrasyonunu değerlendirin ve raporları inceleyin.
-
8.2.2 Yapay zekâ model kaymasını ve bozulmayı yeniden eğitim için otomatik işaretliyor mu?
Nasıl kontrol edilir · Kayma tespit mekanizmalarını ve yeniden eğitim tetikleyicilerini inceleyin.
-
8.2.3 Adillik kontrolleri otomatik raporlarla düzenli yapılıyor mu?
Nasıl kontrol edilir · Otomatik adillik denetim raporlarını ve uyum izleme kayıtlarını inceleyin.
-
8.2.4 Uyum izlemesi için temel adillik metrikleri tanımlanmış mı?
Nasıl kontrol edilir · Temel adillik metriği tanımlarını ve uygulama kanıtlarını inceleyin.
8.3 · Güvenlik ve Düşmanca Saldırı Tespiti
-
8.3.1 İzleme, düşmanca saldırılar için izinsiz giriş tespitini içeriyor mu?
Nasıl kontrol edilir · Güvenlik kayıtlarını analiz edin ve izinsiz giriş tespitinin etkinliğini doğrulayın.
-
8.3.2 Üretilen kayıtlar siber tehditlere işaret edebilecek anomaliler açısından inceleniyor mu?
Nasıl kontrol edilir · Sistem kayıtlarını inceleyin ve güvenlik risklerine işaret edebilecek anomalileri belirleyin.
-
8.3.3 Düşmanca saldırı tespit araçları (ör. Counterfit, CleverHans) güvenlik çerçevelerine entegre mi?
Nasıl kontrol edilir · Güvenlik politikalarını ve düşmanca saldırı savunma mekanizmalarını kontrol edin.
-
8.3.4 Hatalar durumunda otomatik bir geri alma veya kapatma mekanizması var mı?
Nasıl kontrol edilir · Geri alma mekanizmalarını doğrulayın ve geçmiş geri alma/kapatma vakalarını değerlendirin.
8.4 · Sürekli Uyum İzleme
-
8.4.1 Yapay zekâ GDPR, ISO 42001, AB YZ Yasası, NIST AI RMF'ye karşı otomatik uyum kontrollerinden geçiyor mu?
Nasıl kontrol edilir · Uyum otomasyonu raporlarını ve denetim geçmişini inceleyin.
-
8.4.2 Üretilen kararlar şeffaflık için otomatik kaydediliyor ve denetleniyor mu?
Nasıl kontrol edilir · Karar kayıtlarını inceleyin ve şeffaflık gereksinimlerini karşıladıklarını doğrulayın.
-
8.4.3 Uyum raporları düzenleyici denetimler için gerçek zamanlı oluşturuluyor mu?
Nasıl kontrol edilir · Uyum raporu oluşturma sıklığını ve içeriğini değerlendirin.
-
8.4.4 Uyum eşikleri aşıldığında yönetişim ekipleri uyarılıyor mu?
Nasıl kontrol edilir · Yönetişim uyarı mekanizmalarını kontrol edin ve geçmiş uyum uyarılarını inceleyin.
9 Denetim Raporu Yazımı ve Dokümantasyon 0/20 +
9.1 · Rapor Yapısı ve Dokümantasyonu
-
9.1.1 Rapor, temel bulguları içeren açık bir yönetici özeti içeriyor mu?
Nasıl kontrol edilir · Yönetici özetinin eksiksizliği ve netliği açısından raporları inceleyin.
-
9.1.2 Riskler etki düzeyine (düşük, orta, yüksek, kritik) göre sınıflandırılıyor mu?
Nasıl kontrol edilir · Raporlardaki risk sınıflandırma metodolojilerini analiz edin.
-
9.1.3 Tüm denetim bulguları veri, kanıt ve analizle destekleniyor mu?
Nasıl kontrol edilir · Bulguların destekleyici veri, kanıt ve analiz içerip içermediğini doğrulayın.
-
9.1.4 Düzeltici eylemleri ana hatlarıyla belirten bir öneri bölümü var mı?
Nasıl kontrol edilir · Düzeltici eylem önerileri bölümünün varlığını ve yapısını kontrol edin.
9.2 · Yönetişim ve Uyum Dokümantasyonu
-
9.2.1 Rapor, model uyum durumunu (GDPR, KVKK, ISO 42001, NIST AI RMF, AI Act) içeriyor mu?
Nasıl kontrol edilir · Belli başlı düzenleyici standartlar genelinde uyum durumu için dokümantasyonu inceleyin.
-
9.2.2 Yönetişim politikaları ve prosedürleri düzgün belgelenmiş mi?
Nasıl kontrol edilir · Yönetişim dokümantasyonunu eksiksizlik ve politika uyumu açısından değerlendirin.
-
9.2.3 Karar alma şeffaflığı kayıtlar ve model gerekçeleriyle açıklanıyor mu?
Nasıl kontrol edilir · Raporda yer alan şeffaflık kayıtlarını ve gerekçelerini inceleyin.
-
9.2.4 Uyum boşlukları ve düzenleyici kaygılar azaltma planlarıyla vurgulanıyor mu?
Nasıl kontrol edilir · Düzenleyici boşluklar ve önerilen azaltma stratejileri için raporları inceleyin.
9.3 · Önyargı, Adillik ve Performans Raporlaması
-
9.3.1 Rapor önyargı ve adillik değerlendirme sonuçlarını içeriyor mu?
Nasıl kontrol edilir · Raporda yer alan önyargı ve adillik test dokümantasyonunu analiz edin.
-
9.3.2 Performans metrikleri temel standartlarla karşılaştırılıyor mu?
Nasıl kontrol edilir · Performans kıyaslamalarını belirlenmiş temel standartlarla karşılaştırın.
-
9.3.3 Kayma tespiti eğilim analizi ve giderim adımlarıyla belgeleniyor mu?
Nasıl kontrol edilir · Kayma tespiti kayıtlarını ve eğilim analizi verilerini inceleyin.
-
9.3.4 Adillik denetim sonuçları grafikler ve istatistiksel özetlerle görselleştiriliyor mu?
Nasıl kontrol edilir · Sonuçların istatistiksel özetlerle görselleştirildiği raporları inceleyin.
9.4 · Güvenlik ve Risk Yönetimi Raporlaması
-
9.4.1 Rapor güvenlik açıklarını, düşmanca riskleri ve saldırı simülasyonlarını içeriyor mu?
Nasıl kontrol edilir · Açık testi, düşmanca risk analizi ve simülasyonlar için güvenlik kayıtlarını değerlendirin.
-
9.4.2 Güvenlik olayları etki değerlendirmesi için kaydediliyor ve analiz ediliyor mu?
Nasıl kontrol edilir · Güvenlik olay kayıtlarını ve etki analizi raporlarını inceleyin.
-
9.4.3 Güvenlik ve uyum boşlukları düzenleyici çerçevelerle eşleştiriliyor mu?
Nasıl kontrol edilir · Boşlukların ilgili çerçevelerle eşleştirilip eşleştirilmediğini kontrol edin.
-
9.4.4 Güvenlik iyileştirme önerileri eylem planlarıyla açıkça belirtiliyor mu?
Nasıl kontrol edilir · Güvenlik önerileri bölümünü açık ve uygulanabilir giderim adımları açısından doğrulayın.
9.5 · Sürekli İzleme ve Denetim Sonrası Takip
-
9.5.1 Yapay zekâ iyileştirmelerini incelemek için denetim sonrası bir takip planı var mı?
Nasıl kontrol edilir · Denetim sonrası iyileştirmeleri izlemeye yönelik takip planlarını inceleyin.
-
9.5.2 Denetim sonuçları yönetişim iyileştirmelerini izlemek için zaman içinde takip ediliyor mu?
Nasıl kontrol edilir · Sonuçların uzun vadeli takibi için yönetişim izleme kayıtlarını değerlendirin.
-
9.5.3 Sürekli uyum değerlendirmeleri otomatik izleme ile planlanıyor mu?
Nasıl kontrol edilir · Risk değerlendirmesi için otomatik uyum izleme araçlarını inceleyin.
-
9.5.4 Paydaşlara riskler ve yönetişim güncellemeleri hakkında düzenli raporlar sağlanıyor mu?
Nasıl kontrol edilir · Risk ve yönetişim raporlarının paydaşlara düzenli dağıtılıp dağıtılmadığını kontrol edin.
Kontrol listesinden belgeye
Bu liste, sistemi kuran ekip için öz-değerlendirme ve iç denetim hazırlığında güçlü bir başlangıçtır. Resmî iç denetim, kuruluşunuzun kapsamına ve Uygulanabilirlik Bildirgesi’ne (SoA) göre uyarlanmalıdır. Sonraki adımlar:
- · Skorunuzu ölçün: ücretsiz gap analizi uyum seviyenizi 10 dakikada verir.
- · Standardı tanıyın: ISO 42001 nedir ve belgelendirme süreci.
- · Riski yönetin: yapay zekâ risk değerlendirmesi metodolojisiyle boşlukları önceliklendirin.
SSS
Sık sorulan sorular
İç denetim kontrol listesi nedir, ne işe yarar? +
İç denetim (iç tetkik) kontrol listesi, kendi yapay zekâ yönetim sisteminizi (AIMS) yönetişim, risk, güvenlik, adillik, şeffaflık ve uyum açısından adım adım öz-değerlendirmenizi sağlayan soru setidir. Sistemi kuran ekibe belgelendirme öncesi somut bir yol haritası verir; eksik kontrolleri kanıta dayalı ortaya çıkarır. ISO literatüründe iç denetim ile iç tetkik aynı faaliyeti (Madde 9.2) tanımlar.
Bu liste ISO 42001 iç denetimi için yeterli mi? +
Kapsamlı bir öz-değerlendirme ve iç denetim hazırlığı aracıdır; ISO 42001 iç denetim programınızın soru tabanını oluşturur. Resmî iç denetim, kuruluşunuzun kapsamına ve Uygulanabilirlik Bildirgesi’ne (SoA) göre uyarlanmalıdır. Listeyi kendi kontrollerinizle eşleştirerek kullanın.
Hangi çerçeveleri kapsıyor? +
Liste ISO/IEC 42001’i merkeze alır; NIST AI RMF, AB Yapay Zekâ Yasası (EU AI Act), OECD Yapay Zekâ İlkeleri ve KVKK/GDPR gereklilikleriyle örtüşen soruları da içerir. Böylece tek listeyle birden çok çerçeveye hazırlanırsınız.
Sistemi kendimiz mi kurmalıyız, yoksa danışmanla mı? +
Öz-değerlendirmeyi ve sistemin çoğunu bu listeyle kendiniz yürütebilirsiniz. Belgelendirme öncesi bağımsız bir göz, bulguları önceliklendirmek ve düzeltici faaliyet planı çıkarmak deneme-yanılma turlarını kısaltır. İkisini birleştirmek en verimli yoldur.
Kontrol listesini nasıl kullanmalıyız? +
Her soruyu ‘Uygun / Uygun değil / Uygulanamaz’ olarak işaretleyin ve kanıtın yerini (belge, kayıt, ekran görüntüsü) nota düşün. ‘Uygun değil’ çıkan maddeler boşluk listenizi oluşturur; bunları risk düzeyine göre önceliklendirip düzeltici faaliyet planına dönüştürün.
Yanıtlarım nereye kaydediliyor? +
Yalnızca kendi tarayıcınıza. İşaretlemeleriniz ve notlarınız cihazınızda (localStorage) saklanır; hiçbir sunucuya gönderilmez. Sayfayı kapatıp geri döndüğünüzde kaldığınız yerden devam edersiniz. ‘Tümünü sıfırla’ ile verileri istediğiniz an silebilirsiniz.
Raporu nasıl PDF olarak alırım? +
‘PDF olarak kaydet’ butonuna basın; tarayıcınızın yazdırma penceresi açılır ve hedef olarak ‘PDF olarak kaydet’i seçtiğinizde doldurduğunuz liste (tüm cevaplar, notlar ve özet) cihazınıza indirilir. Sunucu veya e-posta gerekmez.