定期审查和审计
1)宗旨和原则
定期审查和审计(期刊)是规范的审计周期,可确认策略的相关性,可访问性,控制效率和审计准备情况。
原则:- 日历和可预测性:固定窗口和截止日期。
- 风险导向:临界优先级和KRI。
- 自动化第一:最大限度的自动交换和自动反驳。
- 设计:证明是自动且不可变的(WORM)。
- 一个主人:每个修订都有所有者、SLA和升级计划。
2)定期审查类型(组合)
3)角色和RACI
(R — Responsible;A — Accountable;C — Consulted;I — Informed)
4)年度日历(范本范例)
每月:CCM控制,DSAR SLA,云漂移/加密报告,waiver卫生。
季度(Q1/Q2/Q3/Q4):IAM重新认证,风险注册,DR演习,审计干扰,撤回/删除。
每年:全面修订政策/程序,关键提供商的VRM审查,BIA(业务影响),审计/认证计划。
5)任何修订程序(SOP)
1.启动:修订卡(scope,目标,标准,截止日期,所有者)。
2.数据收集:自动卸载/dashbords,evidence展示柜,样本。
3.检查和测试:核对清单,通过/失败,severity异常。
4.SARA/REMEDATION:与业主和最后期限的差距表,补偿措施。
5.Apruv和提交:解决方桉协议、哈希收据、WORM存档。
6.沟通:ITSM/GRC中的一包+任务;SLA升级。
7.回顾:经验教训,更新标准/模板。
6)检查清单模板
6.1政策/程序
- 规范性参考和术语的相关性
- 控制状态的可测量性
- 与SOP/标准和 CCM规则捆绑在一起
- 本地化/addendums同步
- Changelog和版本,委员会的附录
6.2 IAM re-cert
- 活跃权利和所有者的完整列表
- SoD冲突,orphan帐户,JIT例外
- 撤销/降级的证据
- Wendor Access和SSO联盟
- 重新认证协议和逾期指标
6.3 VRM
- 当前SOC/ISO/PCI报告,scope和例外
- SLA/事件/贷款期间
- 子处理器和数据位置-不漂移
- Gap清单和重整状态
- 退出计划和镜像复仇确认
6.4 Retentia/法律保留
- TTL违规行为=0
- 删除报告+哈希摘要
- Active Legal Hold-原因、日期、所有者
- 提供商的镜像回避
- DSAR逻辑未被破坏
6.5 DR/BCP
- RTO/RPO测试和样本恢复
- 通讯花花公子和电话
- 演习结果和CAPA
- 供应商参与/确认准备就绪
- mortem后记录的
7)审计组合的度量和SLO
时间审查率:按时完成审计的百分比(目标≥ 95%)。
Evidence Readiness:具有全套工件的修订版(目标100%)的百分比。
CAPA On Time: SLA (severity)关闭的修复百分比。
Repeat Findings:12个月内重复评论的比例(趋势↓)。
Access Hygiene: re-cert(目标≤ 2%)后过时权利的比例。
Vendor Certificate Freshness:关键提供商中当前证书的百分比(目标100%)。
审核准备时间:审核后收集"审核包"的时间(≤ 8小时)。
8)Dashbords(最低设置)
Calendar View:按季度分列的SLA/延迟审计地图。
Review Pipeline: статус (Planned → In Progress → CAPA → Closed).
Findings&CAPA: 开放/过期,业主,severity.
IAM Hygiene:orphan/SoD/JIT例外,趋势。
VRM Heatmap:风险识别提供商、证书、事件。
Retention&Hold:TTL违规行为,删除量,主动保留。
Audit Readiness: completeness"通过按钮",哈希包锚定。
9)文物和存储
审核协议(agenda,结论,解决方桉,owner/due)。
检查/样本列表及其结果(pass/fail)。
Gap列表和CAPA,具有成功日期和指标。
卸载和报告的散列收据;WORM/Object Lock.
更新的策略/过程版本和映射到控制。
10)例外管理(waivers)
如果无法及时修复,则为每个已识别的插槽排列。
包含补偿措施的原因,到期日期,所有者/计划。
在行车记录仪中可见;在到期前14/7/1天自动升级。
11)整合
CCM/Compliance-as-Code:审计时自动运行控制测试规则。
GRC:审核注册表,findings,CAPA,waivers,SLA和报告。
Evidence Storage:通过哈希提交自动归档所有材料。
ITSM:任务和升级到系统所有者。
VRM:拉起提供商/证书状态。
LMS:主要审计变更课程/认证。
12)反模式
没有CAPA和所有者的"复选"修订版。
缺乏日历和可预测性→延迟和火灾模式。
没有哈希收据和WORM的手动卸载→证据争议。
Scope混合(策略更改要求,但SOP/controls未更新)。
"永恒"的等待者没有到期日期和补偿。
与风险胃口/委员会没有联系-决定不会扩大。
13)成熟度模型(M0-M4)
M0地狱专用:不规则检查,在Excel中报告,没有所有者。
M1计划:日历和基本支票单,文物存储。
M2可管理:GRC注册表,dashbords,SLA/上报,WORM档案。
M3集成:SSM/ascode, auto-evidence, dry-run审计通过按钮。
M4持续保证:预测KRI,自动重建,端到端可用"CAPA →审计→风险"。
14)相关维基文章
KPI和合规度量
以风险为导向的审计(RBA)
连续合规性监控(CCM)
保管证据和文件
日记和审计步道
法规遵从性政策变更管理
尽职调查与外包风险
风险管理和合规委员会
底线
定期审查和审计将合规性从"问题应对"转变为透明的改进渠道:固定日历,自动检查,高质量的伪造品,及时的CAPA以及任何审计的可预测准备。