跨部门检查
1)什么是跨部门检查
跨部门验证是对通过多个功能(例如,产品→工程→ SecOps → 法律/DPO →支付→支持→营销)进行的过程和控制进行联合验证。目的是确认端到端脚本是正确执行的,符合策略要求,并且可以进行审计。
关键价值:- 检测"对接"风险和SoD冲突;
- 统一解释要求和消除赔偿责任的灰色区域;
- 加快CAPA并防止重复。
2)何时启动(触发器)
新/修改的监管要求或管辖权。
基本版本/迁移(体系结构,付款,数据)。
事件(IB/隐私/付款)和后面。
准备进行外部审计/认证。
高风险域的常规日历(季度/半年)。
3)脚本(端到端)-要检查的内容
选择具有最大跨功能性的端到端桉例:- 隐私权/DSAR:请求实体→导出/删除→通知→日志。
- 可用性管理:→ apruv → provigining的权利请求→管理行为日志→重新认证。
- 付款回报/充电包:触发器→证据收集→对提供商→ CAPA的欺诈回应。
- 宣传活动:资料协调→目标→拒绝/同意→证据档桉。
- 安全事件:检测→隔离→法律保持→ →后太平间通知→ CAPA。
- 回顾/删除数据:启动TTL →确认子处理器中的销毁→报告。
4)角色和RACI
(R — Responsible;A — Accountable;C — Consulted;I — Informed)
5)方法: 如何进行
Walkthrough:展示从政治到逻辑的端到端桉例。
ToD(设计测试)-验证控制语句、角色、过程、指标的存在和质量。
ToE(操作效率测试):检查期间控制稳定性(30-90天采样)。
Reperform:独立重复操作(例如,DSAR导出、访问撤销、支付应用程序)。
Negative testing:试图绕过控制(SoD、限制、秘密扫描)。
6)样本和分层
基于风险:超过n的关键司法管辖区/角色/支付方法。
分层:按地区、客户类型、渠道(web/app)、时间/负载。
组合:随机+目标(阈值边界,边缘桉例)。
- 批评:每个域n ≥ 25+关键步骤的表述。
- High: n ≥ 15;Medium: n ≥ 8;Low: n ≥ 5.
7)依存关系管理和SoD
依存矩阵:服务、供应商、密钥、数据、角色。
分工规则(SoD):禁止在同一人物中兼容apruva和执行关键动作。
在关键轮廓测试期间更改冻结,或进行清晰的转换。
8)证据和不变性
所有工件(卸载、configs、screencasts、reports)都会保留在WORM/Object Lock中,并带有哈希收据。
Custody的链:谁/何时/为什么收集/阅读事件。
超时同步和跟踪ID (trace_id、request_id)。
将每个步骤绑定到Control Statement和度量。
9)与CAPA和re-audit的集成
对于每个finding-CAPA(Corrective/Preventive,时限,所有者,补偿措施)。
在关键案例中30-90天后强制进行re-audit。
更新policy/assurance-as-code: CCM规则、CI/CD门、度量阈值。
10)度量和KRI
Coverage Rate:季度测试的关键端到端场景的百分比。
First-Pass Close:没有关键提示的检查比例。
时间CAPA:按时执行措施的百分比(按severity)。
Repeat Findings (12个月):跨域/辖区的重播趋势。
Controls Pass Rate:与脚本相关的"绿色"CCM规则的份额。
Evidence Completeness:包的完整性(Critical/High的100%目标)。
SoD Violations:已确定/已解决的责任冲突。
Vendor Mirror SLA:向关键提供商确认镜像措施。
11)Dashbords(最低)
Scenario Pipeline: Planned → In Progress → Findings → CAPA → Re-audit.
跨域热图:按功能划分的风险/发现(IAM,隐私,付款,营销,支持)。
Dependency Map:节点/供应商/控制器,"红色"区域。
Evidence Readiness:通过桉例提供WORM/哈希/截图。
CAPA&Drift:度量状态,30-90天的漂移观察。
12) SOP(标准程序)
SOP-1: 规划
定义高风险主题→为季度选择2-4个端到端脚本→指定所有者→协调日历和冻结窗口。
SOP-2: 举行
Kick-off → walkthrough → ToD/ToE → reperform → negative testing →每日同步升级→收集事件。
SOP-3: 报告和决定
";标准→事实→影响→建议";的结构→委员会(Close/Extend/Escalate)→公布报告和指标。
SOP-4: CAPA和执行控制
将CAPA引入GRC →补偿措施(如果需要)→时间表和RACI →执行码。
SOP-5: 重新审核和观察
30-90天后-重新采样和人格检查更新SSM/策略规则 关闭周期。
13)工件模板
13.1个验证计划(单页)
情景,目的,管辖权
控制/审计政策
抽样和技术
风险/成瘾/SoD
时间线、角色、沟通渠道
13.2张寻找卡
标准(政策/控制) 事实 影响 建议
Severity,剩余风险
证据(参考/哈希)
CAPA: 措施,所有者,due,KPI,补偿控制
13.3 Evidence pack(目录)
1.政策/标准/SOP(版本、诽谤)
2.Log/Config样本(CSV/JSON,哈希收据)
3.截图/截图与时间轴
4.SSM报告/指标和测试
5.委员会的最后报告和决定
14)沟通与文化
单一通道(门户/GRC),查询编号和SLA响应。
外部会议/审核中的"One voice",复杂问题的脚本。
无指控:专注于流程和防止重播。
Shering最佳实践和模式,内部案例库。
15)反模式
在没有端到端跟踪的情况下检查"部门内部"。
"纸质"证明没有标记/哈希/WORM。
没有与control statements/度量(不可量化)的关联。
忽视SoD和依赖一个人。
CAPA没有预防措施/补偿措施,没有重新审核。
一次性检查,没有日历和风险优先级。
16)成熟度模型(M0-M4)
M0 Ad-Hoc:偶尔检查,没有技术/指标。
M1计划:季度日历,基本模式和角色。
M2可控制:基于风险的样本,WORM evidence,dashbords,CAPA镜头。
M3集成:policy/assurance-as-code, CI/CD门,自动报告。
M4连续保证:谓词KRI,推荐方案,连续的符号检查和漂移监视。
17)相关文章wiki
重复审计和执行情况监测
补救计划(CAPA)
连续合规性监控(CCM)
策略和规范存储库
跟踪法律更新/Alerta监管变更
日记和审计步道
第三方审计员的外部审计
合作伙伴合规指南
底线
跨部门检查将功能之间的"关节"从风险区域转变为控制区域:端到端情景,可测量的控制,不可变的证据以及CAPA →重新审核的闭环。这种方法使合规性可预测,加快了外部审计,并减少了重复违规的可能性。