GH GambleHub

סקירות תקופתיות ותיקונים

1) מטרה ועקרונות

ביקורות מחזוריות (באנגלית: Periodic Reviews) הוא מחזור סקירות המאשר את הרלוונטיות של מדיניות, תקינות הגישה, יעילות השליטה ומוכנות הביקורת.

עקרונות:
  • לוח שנה ויכולת חיזוי: חלונות קבועים ותאריכי יעד.
  • אוריינטציית סיכון: ביקורתיות וסדרי עדיפויות של KRI.
  • אוטומציה-ראשונה: מקסימום אוספים אוטומטיים ובדיקות אוטומטיות.
  • ראיות לפי תכנון: ראיות נוצרות באופן אוטומטי וקבוע (WORM).
  • בעלים אחד: לכל שינוי יש בעלים, SLA ותוכנית הסלמה.

2) סוגים של ביקורות תקופתיות (תיק)

סוג עדכוןתדירות (מינימום)תכליתפריטי פלט
מדיניות/נהליםמדי שנה/במייג 'ורעדכון דרישותChangelog, פרוטוקול שדרוג
ביקורת גישה (IAM/IGA)רבעון (קריטי)עיקרון החיסיון הקטן ביותר, בן זונהדו "ח מחדש של הסריטה, רשימת הביטולים
רשום סיכונים (RBA-lite)רבעון רבעוניהתאמת רמת הסיכון/KRIרשימת סיכונים מעודכנת
יעילות הבקרה (CCM)חודש חודשיקצב מעבר, סחף, FPR/TPRדו "ח מבחן בקרה
ספקים/מיקור חוץ (VRM)שנה/על ידי טריגריםמצב תעודה/SLA/DDסקירת ספקים ורשימת פערים
שימור והחזקה משפטיתרבעון רבעוניTTL, הסרה/הקפאהדו "ח מחיקה/hold-log
תרגילי DR/BCPרבעון/שנהבדוק RTO/RPO ותהליכיםדיווח על פעילות גופנית ועל CAPA
DSAR/פרטיותחודשי/רבעוניSLA, שלמות, תלונותדוח/איכות של DSAR SLA
ביקורת חשבונות מוכנה (הפעלה יבשה)רבעון רבעוני”חבילת ביקורת על כפתור”חבילת ראיות + קבלה
רישיונות/תעודותלפי לוח הזמנים של הרגולטורפגישת מועדים והיקףלוח שנה של מחויבות

3) תפקידים ו ־ RACI

ביקורת חשבונותARCאני
מדיניות/נהליםראש ההיענותבעל מדיניותחוקי/DPO, SecOpsביקורת פנימית
גישות IAMעופרת CISO/IAMIGA/Opsמוביל צוותביקורת פנימית
רשימת סיכוניםראש הסיכוןמשרד סיכוניםציות, פיננסיםExec/Board
בקרות (CCM)Eng ציותבעלי שליטהמחסומים, נתוניםהוועדה
ספקים (VRM)ספק Mgmtאנליסט VRMחוקי, אבטחהביקורת פנימית
אחיזה חוזרת/חוקיתDPOפלטפורמת נתוניםחוקיים, מנגנונים משפטייםהוועדה
DR/BCPCTO/פלטפורמהעופרת עמידותמבצעים, ספקיםמנהל
DSAR/פרטיותDPOמבצע פרטיותנתונים, מוצרביקורת פנימית
ביקורת יבשה לרוץראש ההיענותGRCבעליםמנהל

(R - אחראי; א - דין וחשבון; C - ייעוץ; אני - מעודכן)

4) לוח שנה שנתי (תבנית לדוגמה)

בקרת CCM, DSAR SLA, דוחות סחיפת ענן/הצפנה, היגיינת ויתור.
רבעון (Q1/Q2/Q3/Q4): IAM re-cert, Risk Register, DR תרגילי DR, Audit Drun-Run, שימור/מחיקות.
מדי שנה: שחזור מלא של מדיניות/הליכים, סקירות VRM של ספקי קריטי, BIA (השפעה עסקית), ביקורת/תוכנית הסמכה.

5) תהליך (SOP) של כל שינוי

1. קבלה: כרטיס תיקון (היקף, מטרות, קריטריונים, מועדים, בעלים).
2. איסוף נתונים: העלאה אוטומטית/לוחות מחוונים, תצוגת ראיות, דגימות.
3. בדיקות ובדיקות: רשימה, מעבר/כישלון, חומרת סטיות.
4. CAPA/Reproduction: רשימת פערים עם בעלים ומועדים, אמצעי פיצוי.
5. שדרוג וקיבעון: פרוטוקול פתרון, קבלות חשיש, ארכיון תולעת.
6. תקשורת: 1-זימונית + משימות ב-ITSM/GRC; הסלמה על ידי SLA.
7. רטרוספקטיבה: שיעורים, עדכון תקנים/תבניות.

6) תבניות רשימת בדיקות

6. 1 מדיניות/נהלים

[ ] רלוונטיות של אזכורים רגולטוריים ומונחים
[ ] הצהרות בקרת מדידות
[ ] קישור לתקנים/תקנים וכללי CCM
[ ] מיקומים/נספחים מסונכרנים
[ ] Changelog and Version, עדכון ועדה

6. 2 IAM מחדש-Cert

[ ] רשימה מלאה של זכויות פעילים ובעלים

סכסוכי SoD, חשבונות יתומים, חריגות JIT

[ ] ראיות לשלילת מיקום/הורדה בדרגה
[ ] נגישות למספקים ופדרציות SSO
[ ] פרוטוקול הסמכה מחדש ומטריית עבריינות

6. 3 VRM

[ ] דוחות SOC/ISO/PCI נוכחיים, היקף וחריגים
[ ] סלאח/תקריות/קרדיטים לתקופה
[ ] מעבדי משנה ומיקום נתונים - אין סחף
[ ] רשימת גאפ ומעמד תיקון
[ ] תכנית יציאה ואישור של שמירת מראה

6. 4 אחיזה חוזרת/חוקית

[ ] הפרות TTL = 0 קריטי
[ ] דוחות מחיקה + תקציר Hash
[ ] אחיזה משפטית פעילה - סיבות, תאריכים, בעלים
[ ] שמירת מראה בספקים
[ ] היגיון DSAR שלם

6. 5 DR/BCP

[ ] בדיקת RTO/RPO והחלמה מדגמית
[ ] חוברות משחקים ותקשורת תורנית
[ פעילות גופנית ] ותוצאות CAPA
[ ] ספקים השתתפו/אושרה מוכנות
[ ] תועד לאחר המוות

7) תיקוני תיקי תיקונים ותיקוני SLOS

שיעור ביקורת בזמן:% מהביקורת הושלמה בזמן (95%).
מוכנות ראיות:% תיקונים עם סט מלא של חפצים (100% יעד).
CAPA בזמן:% מהתיקונים נסגרו על ידי SLA (בחומרה).
ממצאים חוזרים: שיעור ההערות החוזרות על עצמן תוך 12 חודשים (trend out).
Access Hygiene: נתח של זכויות מיושנות לאחר חידוש הסריטה (target lands 2%).
רעננות תעודות ספק:% מהתעודות הנוכחיות מספקים ביקורתיים (100% מטרה).
Audit-Ready Time: הגיע הזמן לאסוף את חבילת הביקורת לאחר הביקורת (8 שעות).

8) לוחות מחוונים (סט מינימלי)

תצוגת לוח שנה: מפה של תיקונים לפי רבעון עם SLAs/עבריינות.
Review Pipeline: Progress Support (מתוכנן = Progress # CAPA = סגור).
ממצאים & CAPA: פתוח/פג תוקף, בעלים, חומרה.
היגיינה: יתום/SOD/JIT יוצא דופן, מגמות.
מפת VRM: ספקי שיעור סיכון, תעודות, תקריות.
הפרות TTL, כרכי הסרה, אחיזה פעילה.
ביקורת מוכנות: שלמות ”על ידי כפתור”, עוגני חבילת חשיש.

9) חפצים ואחסון

פרוטוקול תיקון (סדר יום, מסקנות, החלטות, בעלים/בשל).
רשימת בדיקות/דגימות ותוצאותיהן (pass/fails).
רשימת פערים ו CAPA עם תאריכים ומדדי הצלחה.
קבלות של העלאות ודיווחים; נעילת אובייקט/תולעת.

גרסאות מדיניות/פרוצדורה ומיפוי עדכניים לשליטה

10) ניהול יוצא מן הכלל (ויתורים)

ניתן לכל פער אם תיקון אינו אפשרי בזמן.
מכיל סיבה, אמצעי פיצוי, תאריך תפוגה, בעלים/תוכנית.
נראה בלוח המחוונים; הסלמה אוטומטית 14/7/1 יום לפני תפוגה.

11) אינטגרציות

כללי מבחן בקרה (CCM/Complication-as-Code-Control Test Rules) מנוהלים באופן אוטומטי.
ביקורת רישום, ממצאים, CAPA, ויתורים, SLA ודיווח.
אחסון ראיות: ארכיון אוטומטי של כל החומרים עם קיבעון חשיש.
משימות והסלמה לבעלי מערכות.
VRM: מושך את המדינאות של ספקים/תעודות.
LMS: קורסים לשינוי משמעותי/תעודות המבוססות על תוצאות ביקורת.

12) תרופות אנטי ־ פטריות

תיקונים ”לתצוגה” ללא CAPA ובעלים.
חוסר לוח שנה ויכולת חיזוי = = עיכובים ומצב אש.
העלאות ידניות ללא קבלות חשיש ותולעים.
מיקס היקף (מדיניות משנה דרישות, אך SOPs/control אינו מעודכן).
ויתור ”נצחי” ללא תאריך תפוגה וללא פיצוי.
אין קשר לסיכון תיאבון/ועדה - החלטות לא בקנה מידה.

13) מודל בגרות (M0-M4)

צ 'קים לא סדירים, דוחות באקסל, ללא בעלים.
M1 מתוכנן: לוח שנה ורשימות בדיקה בסיסיות, אחסון חפצים.
M2 מנוהל: רישום GRC, לוחות מחוונים, SLA/הסלמה, ארכיון תולעת.
M3 משולב: JMA/ascode, ראיה אוטומטית, ביקורת כפתור יבש.
הבטחה רציפה M4: תחזית KRIS, שינוי מועד אוטומטי, סיכוני CAPA מקצה לקצה.

14) מאמרים הקשורים לוויקי

KPIs ומדדי ציות

ביקורת חשבונות מבוססת סיכון (RBA)

ניטור ציות רציף (CCM)

אחסון ראיות ותיעוד

רישום וביקורת שביל

ניהול שינוי מדיניות ציות

בדיקת נאותות וסיכוני מיקור חוץ

ועדת ניהול סיכונים וציות

סך הכל

סקירות תקופתיות ותיקונים הופכים ציות מ ”תגובה בעייתית” ל ”צינור שקוף של שיפורים”: לוח שנה קבוע, בדיקות אוטומטיות, חפצי איכות, CAPA בזמן, ומוכנות צפויה לכל ביקורת.

Contact

צרו קשר

פנו אלינו בכל שאלה או צורך בתמיכה.אנחנו תמיד כאן כדי לעזור.

Telegram
@Gamble_GC
התחלת אינטגרציה

Email הוא חובה. Telegram או WhatsApp — אופציונליים.

השם שלכם לא חובה
Email לא חובה
נושא לא חובה
הודעה לא חובה
Telegram לא חובה
@
אם תציינו Telegram — נענה גם שם, בנוסף ל-Email.
WhatsApp לא חובה
פורמט: קידומת מדינה ומספר (לדוגמה, +972XXXXXXXXX).

בלחיצה על הכפתור אתם מסכימים לעיבוד הנתונים שלכם.