בדיקות מחלקתיות

1) מה הן בדיקות מחלקתיות

אימות מחלקתי (באנגלית: Cross-Departmental Valuidation) הוא אימות משותף של תהליכים ובקרה העוברים דרך מספר פונקציות (לדוגמה, Product # SecOps # Legal/DPO # Properties # Support Ach Marketing). המטרה היא לאשר שהתסריט מקצה לקצה פועל נכון, דרישות המדיניות נענות, והראיות מוכנות לביקורת.

• גילוי סיכוני ”תחת” וקונפליקטים של ”סו-די”;
• פרשנות אחידה של דרישות וסילוק ”תחומים אפורים” של אחריות;
• מאיץ קאפא ומונע חזרות.

2) מתי להתחיל (טריגרים)

דרישות רגולטוריות חדשות/שונו או תחום שיפוט.
שחרור משמעותי/נדידה (ארכיטקטורה, תשלומים, נתונים).
תקריות (אבטחת מידע/פרטיות/תשלומים) ותשלומים שלאחר המוות.
הכנה לביקורת חיצונית/אישור.
לוח שנה רגיל (רבע/חצי שנה) על ידי תחומים בסיכון גבוה.

3) תסריטים (מקצה לקצה) - מה לבדוק

• Privacy/DSAR: בקשת הנושא * export/delete ac.ac.
• ניהול גישה: בקשה = זכות לעדכון * provisioning log ach re-cert.
• Chargback: tergress process lection process process to CAPA ac d
• קמפיין פרסום: אישור חומרים * מיקוד = מעקב אחר סירובים/קונסולנטים * ארכיון ראיות.
• תקרית בטיחות: איתור = בידוד * * Ligal Hold = = = = = = = הודעות = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
• שמירת/מחיקת נתונים: השקת TTL # אישור השמדת תת-מעבדים * דיווח.

4) תפקידים ו ־ RACI

(R - אחראי; א - דין וחשבון; C - ייעוץ; אני - מעודכן)

5) מתודולוגיה: כיצד להתנהל

ווק-תרו: הדגמה של תיק ”מפוליטיקה ליומנים”.
ToD (מבחן עיצוב) - בדוק את הזמינות ואיכות הצהרות בקרה, תפקידים, נהלים, מדדים.
ToE (מבחן אפקטיביות תפעולית): אימות יציבות השליטה בתקופה (דגימה במשך 30-90 יום).
רפורמה: חזרה עצמאית על המבצע (לדוגמה, ייצוא DSAR, שלילת גישה, צעדי תשלום).
בדיקה שלילית: ניסיונות לעקוף את השליטה (SoD, גבולות, סריקה סודית).

6) דגימה וסטרטיזציה

מבוסס סיכון: יותר n עבור שיפוט קריטי/תפקידים/שיטות תשלום.
סטרטיפיקציה: על ידי אזור, סוג הלקוח, ערוץ (web/app), זמן של יום/עומס.
צירופים: מטרה אקראית + (גבולות סף, מקרי קצה).

• קריטי: n/25 לכל תחום + שלב מפתח חוזר.
• גבוה: n/15; מדיום: n/8; נמוך: n/5.

7) תלות וניהול זונות

מטריצת תלות: שירותים, ספקים, מפתחות, נתונים, תפקידים.
חוק הפרדת החובות (SoD): איסור על שילוב אפרוב ופעולות ביקורתיות באדם אחד.
שינוי הקפאה במהלך בדיקות מעגל קריטיות או ויסות ברור.

8) ראיות וחוסר תזוזה

כל החפצים (העלאות, תצורות, צרחות, דיווחים) מאוחסנים בנעילת תולעת/אובייקט עם קבלות חשיש.
שרשרת משמורת: מי/מתי/למה אסף/קרא ראיות.
סינכרון זמן ואיתור תעודות זהות (trace_id, request_id).
קושר כל צעד להצהרת בקרה ומדד.

9) אינטגרציה עם CAPA וביקורת מחדש

לכל מציאה - CAPA (תיקון/מניעה, מונחים, בעלים, אמצעי פיצוי).
ביקורת חובה בעוד 30-90 יום למקרים קריטיים.
עדכון מדיניות -/הבטחה-כקוד: חוקי CCM, שערי CI/CD, סף מטרי.

10) מדדים ו ־ KRI

שיעור הכיסוי:% מתרחישי המפתח מקצה לקצה שנבחנו ברבעון.
מעבר ראשון קרוב: פרופורציה של בדיקות ללא ממצאים קריטיים.
CAPA בזמן:% השלמת אמצעים בזמן (בחומרה).
ממצאים חוזרים (12 חודשים): מגמה של חזרות לפי תחום/תחום שיפוט.
קצב מעבר בקרה: הפרופורציה של חוקי CCM ירוקים הקשורים לתסריט.
השלמות ראיות (100% יעד עבור קריטי/גבוה).
הפרות סדר: סכסוכים מזוהים/פתורים של חובה.
ספק Mirror SLA: אישור של אמצעי מראה מספקים קריטיים.

11) לוחות מחוונים (מינימום)

Scription Pipeline: Progress lough Progress # Extress Ac.CAPA # ביקורת מחדש.
Cross-Domain Heatmap: סיכונים/ממצאים לפי פונקציה (IAM, פרטיות, תשלומים, שיווק, תמיכה).
מפת התלות: צמתים/ספקים/בקרות, אזורים ”אדומים”.
מוכנות ראיות: נוכחות של תולעת/חשיש/צווחות לפי מקרה.
CAPA & Drift: מצב של אמצעים, תצפית על סחף 30-90 ימים.

12) SOP (נהלים סטנדרטיים)

SOP-1: תכנון

הגדרת נושאים בסיכון גבוה * בחר 2-4 תרחישים מקצה לקצה לרבעון * * בעלי הקצאה * מסכימים על לוח שנה והקפיא חלונות.

SOP-2: התנהגות

Kick-off # walkthrough * ToD/TOE # reform # בדיקות שליליות * איסוף ראיות * עדכוני סינכרון יומיים.

SOP-3: דיווח ופתרונות

Criteria lough Fact # Impact # Extension Framework # Close/Extreme/Escalate # Report and Metrics Publishing.

SOP-4: CAPA ו מעקב

Record CAPA ב- GRC = אמצעים פיצויים (במידת הצורך) # lathlines and RACI # לוח מחוונים לביצוע.

SOP-5 ביקורת מחדש ומעקב

לאחר 30-90 יום - דחיפה מחודשת ובדיקת שפיות * עדכון כללי JMA/פוליסות * סגירת המעגל.

13) תבניות חפץ

13. 1 תוכנית בדיקה (איתורית אחת)

תרחיש, מטרות, תחום שיפוט

בקרת ביקורת/מדיניות

דוגמאות ושיטות

סיכונים/תלויות/זון

ציר זמן, תפקידים, ערוצי תקשורת

13. 2 מציאת קלפים

קריטריון (מדיניות/בקרה) # Actual # Impact Action

חומרה, סיכון שיורי

ראיות (קישורים/חשיש)

אמצעים, בעלים, בשל, KPIs, פיצוי בקרות

13. חבילת ראיות 3

1. מדיניות/תקנים/SOPs (גרסאות, דיפוסים)

2. דגימות רישום/הגדרה (CSV/JSON, קבלות חשיש)

3. צעקות/צילומי מסך עם מחנות זמן

4. JMA/Metrics ו ־ Test Reports

5. דו "ח סופי והחלטות הוועדה

14) תקשורת ותרבות

ערוץ אחד (portal/GRC) עם מספר בקשות ותגובות SLAs.
”קול אחד” על מפגשים/ביקורת חיצונית, תסריטים של נושאים מורכבים.
אין חיובים: התמקד בתהליכים ומניעת שידור חוזר.
שיתוף פרקטיקות ודפוסים טובים ביותר, ספריית מקרה פנימית.

15) תרופות אנטי ־ פטריות

בדיקת ”בתוך המחלקה” ללא איתור מקצה לקצה.
הגהות ”נייר” ללא יומנים/חשיש/תולעת.
אין התחייבות לשלוט בהצהרות/מדדים (חוסר מידתיות).
התעלמות מזון ותלות באדם אחד.
CAPA ללא אמצעי מניעה/פיצוי, ללא ביקורת מחדש.
בדיקות חד פעמיות ללא לוח שנה ועדיפות לפי סיכון.

16) מודל בגרות (M0-M4)

בדיקת M0 אד-הוק: מדי פעם, אין שיטה/מדדים.
לוח השנה הרבעוני המתוכנן M1, תבניות ותפקידים בסיסיים.
M2 מנוהלת: דגימה מבוססת סיכון, ראיית תולעת, לוחות מחוונים, קישור CAPA.
M3 Integrated: policy-/assurance-as-code, CI/CD Gates, דיווחים אוטומטיים.
M4 הבטחה רציפה: חיזוי KRIS, תרחישי המלצה, בדיקת שפיות רציפה, וניטור סחף.

17) מאמרים הקשורים לוויקי

ביקורת מחדש ומעקב

תוכניות תיקון (CAPAs)

ניטור ציות רציף (CCM)

מדיניות ומאגר ציות

עדכון משפטי מעקב/התראות לשינוי רגולטורי

רישום וביקורת שביל

ביקורת חיצונית על ידי רואי חשבון חיצוניים

מדריך ציות לשותפים

סך הכל

צ 'קים חוצים מחלקתיים הופכים את ה ”ממשקים” בין פונקציות מאזור סיכון לאזור בקרה: תרחישים מקצה לקצה, בקרות ניתנות למדידה, ראיות בלתי ניתנות לשינוי ולולאה סגורה CAPA. גישה זו עושה ציות צפוי, מאיץ את הביקורת החיצונית, ומפחית את הסבירות של הפרות חוזרות.