GH GambleHub

Պարբերական ակնարկներ

1) Նպատակը և սկզբունքները

Պարբերական ակնարկները և հաշվարկները (Periodic Reviews) ստուգումների մեկնաբանված ցիկլ են, որը հաստատում է քաղաքական, հասանելի ճկունությունը, վերահսկման արդյունավետությունը և պատրաստման պատրաստակամությունը։

Սկզբունքները

Օրացույցը և կանխատեսելիությունը 'ֆիքսված պատուհաններ և dedline։

Ռիսկային կողմնորոշումը 'քննադատության և KRI-ի առաջնահերթությունները։

Automation-first 'ամենամեծ ավտոմեքենաների և ավտոսրահների։

Evidence by design: Ապացույցները ձևավորվում են ինքնաբերաբար և անփոփոխ (WORM)։

One owner: յուրաքանչյուր ձեռնարկություն ունի սեփականատեր, SLA և էսկալացիայի պլան։

2) Windows (պորտֆել)

ՏեսակըՀաճախականությունը (նվազագույն)ՆպատակըՀանգստյան օրերին արտեֆակտները
Քաղաքական/ընթացակարգերամեն տարի/Major-ումպահանջների արդիականացումըchangelog, apruva արձանագրություն
Հասանելի ստուգում (IAM/IGA)եռամսյակային (կրիտիկական)արտոնությունների սկզբունքը, SoD-ըre-com, ռևոկների ցուցակ
Ռիսկերի իրականացումը (RBA-lite)եբրայերենռիսկի սկորներ/KRIնորարարված Risk Register
Վերահսկման արդյունավետությունը (PPM)ամսականpass rate, dreef, FPR/TPRթեստերի հաշվետվությունը
Պրովայդերներ/աուտսորսինգ (VRM)ամեն տարի/ձգան/հավաստագրերի կարգավիճակը/SLA/DDվենդորական ակնարկ և հապա թերթ
Ռետենցիա և Legal HoldեբրայերենTTL, հեռացում/սառեցումհեռացման զեկույց/hold-log
DR/BCP վարժություններեբրայերեն/ամեն տարիՍտուգում RTO/RPO և գործընթացներուսմունքների և CAPA-ի ակտը
DSAR/մասնավորամսական/եռամսյակայինSLA, ամբողջական, բողոքներDSAR SLA/որակը
Աուդիտ պատրաստակամություն (www.y-run)եբրայերեն«audit pack կոճակով»evidence + քվիտանցիա
Լիցենզիաներ/հավաստագրերկարգավորիչի գրաֆիկի համաձայնհամապատասխանություն և scoom և scoomպարտավորությունների օրացույց

3) Դերեր և RACI

ՎերանայումըARCI
Քաղաքական/ընթացակարգերHead of CompliancePolicy OwnerLegal/DPO, SecOpsInternal Audit
IAM հասանելիCISO / IAM LeadIGA/OpsTeam LeadsInternal Audit
Ռիսկերի իրականացումըHead of RiskRisk OfficeCompliance, FinanceExec/Board
Վերահսկել (MSM)Compliance EngControl OwnersSecOps, DataCommittee
Պրովայդերներ (VRM)Vendor MgmtVRM AnalystLegal, SecurityInternal Audit
Retention/Legal HoldDPOData PlatformLegal, SecOpsCommittee
DR/BCPCTO/PlatformResilience LeadOps, VendorsExecutive
DSAR/PrivacyDPOPrivacy OpsData, ProductInternal Audit
Audit dry-runHead of ComplianceGRCOwnersExecutive

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Տարեկան օրացույցը (ձևանմուշների օրինակ)

Ամեն ամիս, SDAR SLA-ը, ամպերի/ծածկագրման զեկույցները, waiver-հիգիենան։

Եժեքվարտալ (Q1/Q2/Q3/Q4): IAM re-cript, Risk Register, DR ուսուցումներ, Audit noy-run, rentention/2019։

Ամեն տարի 'ամբողջական ռուսական քաղաքական/ընթացակարգեր, VRM քննադատական պրովայդերների ակնարկներ, BIA (բիզնես ազդեցություն), աուդիտի/հավաստագրման պլան։

5) Գործընթացը (SOP) ցանկացած ինտեգրման գործընթացը (SOP)

1. Նախաձեռնությունը 'քարտը (sco.ru, նպատակներ, չափանիշներ, dedline, սեփականատերեր)։

2. Տվյալների հավաքումը 'auto-istation/dashbords, evidence, նմուշներ։

3. Ստուգումներ և թեստեր 'վերահսկողական ցուցակ, pass/fail, severity շեղումներ։

4. SARA/remediation: gap-թերթ սեփականատերերի և ժամկետների հետ, որոնք փոխհատուցում են միջոցները։

5. Ապրուվ և ամրագրում 'լուծման արձանագրություն, հեշ-քվիտանիա, WORM արխիվը։

6. Հաղորդակցություն: one-pager + առաջադրանքներ ITSM/GRC; SLA-ի էսկալացիաները։

7. Հետադարձ հայացք ՝ դասեր, ստանդարտների/ձևանմուշների թարմացում։

6) Ցուցակների կոդավորման ձևանմուշները

6. 1 Քաղաքականություն/ընթացակարգ

  • Համապատասխան հղումների և տերմինների արդիականությունը
  • Չափումը www.l statements
  • Կապը SOP/ստանդարտների և MSM կանոնների հետ
  • Express/addendums համաժամեցված են
  • Changelog-ը և տարբերակը, Apruve Corporation

6. 2 IAM re-cert

  • Ակտիվ իրավունքների և սեփականատերերի ամբողջական ցուցակը
  • SoD կոնֆլիկտներ, orphan-հաշիվներ, JIT բացառություններ
  • Հետ կանչելու/նվազեցնելու ապացույցներ
  • Wendore հասանելի և SSO-ներ
  • Սերտիֆիկացման և չափումների արձանագրություն

6. 3 VRM

  • Իրական SOC/IV/PCI հաշվետվությունները, scope և բացառությունները
  • SLA/միջադեպեր/վարկեր ժամանակահատվածի համար
  • Ենթահամակարգեր և տվյալների վայրեր 'առանց դրեյֆի
  • Gap-Liste և ռեմեդիայի կարգավիճակը
  • Exit-պլանը և հայելային վերափոխման հաստատումը

6. 4 Retention/Legal Hold

  • TTL խախտումներ = 0 կրիտիկական
  • Հեռավոր հաշվետվություններ + հեշ-կամար
  • Ակտիվ Legal Hold - պատճառներ, ամսաթվերը, սեփականատերերը
  • Հայելային վերականգնումը պրովայդերների մոտ
  • DSAR տրամաբանությունը չի խախտվել

6. 5 DR/BCP

  • RTO/RPO թեստը և նմուշների վերականգնումը
  • Հաղորդակցման պլեյբուսներ և on-call
  • Ուսուցումների արդյունքները և CAPA-ի արդյունքները
  • Վենդորները մասնակցեցին/հաստատեցին պատրաստակամությունը
  • Փաստաթղթավորված post-mortem

7) Metriki և SLO վերանայման պորտֆելը

On-time Review Rate-ը 'ժամանակի ընթացքում ավարտված վերանայման տոկոսը (նպատակը 3695 տոկոսն է)։

Evidence Readiness: Վերանայման տոկոսը արտեֆակտների ամբողջական հավաքածուի հետ (նպատակը 100%)։

CAPA On-time-ը SLA-ով փակված արհեստների տոկոսն է (severity)։

Repeat Findings-ը 12 մեզի համար կրկնվող հաշվարկների մասն է (միտում)։

Windows Hygiene: հնացած իրավունքների մասնաբաժինը re-cript-ից հետո (4292%)։

Vendor Certificate Freshness-ը կրիտիկական պրովայդերների իրական հավաստագրերի տոկոսն է (նպատակը 100%)։

Audit-Ready Time: ժամանակ «audit pack» -ի հավաքման համար մրցույթի ավարտից հետո (368 ժամ)։

8) Dashbords (նվազագույն հավաքածու)

Calendar Live-ը 'SLA/Project-ի զանգվածների ստուգման քարտեզը։

Review Pipeline: статус (Planned → In Progress → CAPA → Closed).

Findings & CAPA: Բաց/ժամկետանց, սեփականատերեր, severity։

IAM Hygiene: orphan/SoD/JIT բացառություններ, միտումներ։

VRM Heatmap 'պրովայդերների ռիսկի սկլոր, հավաստագրեր, միջադեպեր։

Retention & Hold: TTL խախտումներ, հեռացման ծավալներ, ակտիվ hold։

Audit Readiness: completeness «կոճակի վրա», hash-2019 խարիսխ։

9) Արտեֆակտները և պահպանումը

Մրցույթի արձանագրությունը (agenda, եզրակացություններ, լուծումներ, owner/due)։

Ստուգումների/ընտրության և դրանց արդյունքները (pass/fail)։

Gap-թերթիկը և CAPA-ը հաջողության ամսաթվերով և մետրերով։

Բեռնման և բեռնման հեշ քվիտանտները։ WORM/Object Lock.

Քաղաքական/ընթացակարգերի նորացված տարբերակները և մեպինգը վերահսկման վրա։

10) Բացառությունների կառավարում (waivers)

Այն կազմված է յուրաքանչյուր բացահայտված gap-ով, եթե ուղղումը հնարավոր չէ ժամանակին։

Այն պարունակում է պատճառներ, որոնք փոխհատուցում են միջոցները, մրցույթի ամսաթիվը, սեփականատերը/պլանը։

Տեսանելի է դաշբորդում։ շարժասանդուղքը 14/7/1 օր առաջ։

11) Մոսկվան

MSM/Compliance-as-Code: Վերահսկման թեստերի կանոնները սկսում են մեքենա, երբ աշխատում են։

GRC: Ռուսական ստուգումներ, findings, CAPA, waivers, SLA և հաշվետվություններ։

Evidence Storage: Բոլոր նյութերի ավտոմատ արխիվացումը հեշ ամրագրմամբ։

ITSM 'առաջադրանքներ և էսկալացիա համակարգերի սեփականատերերին։

VRM 'պրովայդերների/հավաստագրերի ստատուսների ավելացում։

LTS: Դասընթացներ/հավաստագրեր Major-ի արդյունքների վրա։

12) Անտիպատերնի

Կարդացեք «վագոնի համար» առանց CAPA-ի և սեփականատերերի։

Օրացույցի և կանխատեսելիության բացակայությունը կատարվում է ուշացումով և հրդեհային ռեժիմով։

Առանց հեշ քվիտանտների և WORM-ի ձեռքով հանումը բացատրում է ապացույցների վիճաբանությունը։

Scope-ի խառնուրդը (քաղաքական գործիչները փոխում են պահանջները, բայց SOP/վերահսկումը չի նորարարվում)։

«Հավերժական» waivers առանց վճարման և փոխհատուցման։

Ռիսկի-ախորժակի/ռիսկի հետ կապ չկա, լուծումները չեն ավելանում։

13) Հասունության մոդելը (M0-M4)

M0 Ad-hoc: անկանոն ստուգումներ, Express-ի զեկույցներ, առանց owners։

M1 Պլանավորված 'օրացույց և հիմնական չեկի թերթիկներ, արտեֆակտների պահպանում։

M2 Կառավարվող ՝ GRC-105, dashbords, SLA/էսկալացիա, WORM արխիվը։

M3 Ինտեգրված ՝ SSM/ascod, evidence, www.y-run։

M4 Medinuous Assurance-ը 'կանխատեսելի KRI, Auto-վերափոխում, «CAPA-ի ռիսկերի» միջոցով։

14) Կապված հոդվածներ wiki

KPI և կոմպլանսի մետրերը

Ռիսկային աուդիտ (RBA)

Շարունակական կոմպոզիցիա (MSM)

Ապացույցների և փաստաթղթերի պահպանումը

Ամսագրեր և Audit Trail

Փոփոխությունների կառավարում կոմպլանսի քաղաքականության մեջ

Due Diligence-ը և աուտսորսինգի ռիսկերը

Ռիսկերի կառավարման հանձնաժողովը և կոմպլասենցան

Արդյունքը

Պարբերական ակնարկները և կոմպոզիցիաները «արձագանքից» վերածում են բարելավման թափանցիկ փոխակրիչի 'ֆիքսված օրացույցի, ավտոմատացված ստուգումների, բարձրորակ արտեֆակտների, ժամանակին CAPA-ի և կանխատեսելի պատրաստակամության ցանկացած մոդուլների համար։

Contact

Կապ հաստատեք մեզ հետ

Կապ հաստատեք մեզ հետ ցանկացած հարցի կամ աջակցության համար։Մենք միշտ պատրաստ ենք օգնել։

Telegram
@Gamble_GC
Սկսել ինտեգրացիան

Email-ը՝ պարտադիր է։ Telegram կամ WhatsApp — ըստ ցանկության։

Ձեր անունը ըստ ցանկության
Email ըստ ցանկության
Թեմա ըստ ցանկության
Նամակի բովանդակություն ըստ ցանկության
Telegram ըստ ցանկության
@
Եթե նշեք Telegram — մենք կպատասխանենք նաև այնտեղ՝ Email-ի дополнение-ով։
WhatsApp ըստ ցանկության
Ձևաչափ՝ երկրի կոդ և համար (օրինակ՝ +374XXXXXXXXX)։

Սեղմելով կոճակը՝ դուք համաձայնում եք տվյալների մշակման հետ։