定期的なレビューとリビジョン
1)目的と原則
定期的なレビュー(定期的なレビュー)は、ポリシーの関連性、アクセスの正確性、コントロールの有効性、監査の準備を確認するレビューの規制サイクルです。
原則:- カレンダーと予測可能性:固定ウィンドウと期限。
- リスク指向:重大性とKRIの優先順位。
- オートメーションファースト:最大のオートコレクションとオートチェック。
- デザインによるエビデンス:エビデンスは自動的かつ常に生成されます(WORM)。
- 1人のオーナー:各リビジョンにはオーナー、SLA、エスカレーションプランがあります。
2)定期的なレビューの種類(ポートフォリオ)
3)役割とRACI
(R-責任がある;A-説明責任がある;C-コンサルティング;I-Informed)
4)年間カレンダー(例テンプレート)
毎月:CCMコントロール、DSAR SLA、クラウドドリフト/暗号化レポート、放棄衛生。
四半期ごと(Q1/Q2/Q3/Q4): IAMリサーチ、リスクレジスタ、DR演習、監査ドライラン、保持/削除。
毎年:ポリシー/手順の完全な改訂、重要なプロバイダーのVRMレビュー、BIA(ビジネスインパクト)、監査/認証計画。
5)改訂のプロセス(SOP)
1.開始:リビジョンカード(範囲、目標、基準、期限、所有者)。
2.データ収集:自動アップロード/ダッシュボード、証拠ショーケース、サンプル。
3.チェックとテスト:チェックリスト、合格/失敗、偏差の重症度。
4.CAPA/修復:所有者と期限のギャップリスト、補償措置。
5.アップグレードと固定:ソリューションプロトコル、ハッシュレシート、WORMアーカイブ。
6.コミュニケーション:ITSM/GRCの1 pager+タスク;SLAによるエスカレーション。
7.レトロスペクティブ:レッスン、標準/テンプレートの更新。
6)チェックリストテンプレート
6.1ポリシー/プロシージャ
- 規制の参照と用語の関連性
- 測定可能性制御ステートメント
- SOP/スタンダードおよびCCMルールへのリンク
- 同期されたローカライズ/追加
- Changelogとバージョン、委員会更新
6.2 IAM re-cert
- アクティブな権利と所有者の完全なリスト
- SoD競合、孤児アカウント、JIT例外
- 失効/降格の証拠
- ベンダーのアクセスとSSOフェデレーション
- 再認定プロトコルと非行指標
6.3 VRM
- 現在のSOC/ISO/PCIレポート、スコープおよび例外
- 期間のSLA/インシデント/クレジット
- サブプロセッサとデータの場所-ドリフトなし
- ギャップリストと修復ステータス
- 出口計画とミラー保持の確認
6.4リテンション/リーガルホールド
- TTL違反=0クリティカル
- 削除レポート+ハッシュサマリー
- アクティブな法的保持-理由、日付、所有者
- プロバイダでのミラー保持
- DSARロジックはそのまま
6.5 DR/BCP
- RTO/RPOテストとサンプルリカバリ
- コミュニケーションプレイブックとオンコール
- 演習とCAPAの結果
- ベンダーが参加/準備を確認
- 文書化された死後
7)リビジョンポートフォリオメトリクスとSLO
オンタイムレビュー率:時間通りに完了した監査の%(目標≥ 95%)。
証拠準備:完全なアーティファクト(100%ターゲット)を含む%リビジョン。
CAPAオンタイム:SLAによって閉じられた修復の%(重大度による)。
Repeat Findings: 12か月の繰り返しコメントの割合(トレンド→)。
アクセス衛生:再発行後に廃止された権利のシェア(目標≤ 2%)。
ベンダー証明書の鮮度:重要なプロバイダからの現在の証明書の%(100%目標)。
Audit-Ready Time:監査後に「監査パック」を収集する時間(≤ 8時間)。
8)ダッシュボード(最小セット)
カレンダービュー:SLA/非行による四半期ごとのリビジョンのマップ。
Review Pipeline(計画中→進行中→CAPA→閉鎖中)。
調査結果とCAPA:オープン/期限切れ、所有者、重大度。
IAM衛生:孤児/SoD/JIT例外、傾向。
VRMヒートマップ:リスクレートプロバイダ、証明書、インシデント。
保持と保持:TTL違反、削除ボリューム、アクティブホールド。
Audit Readiness:完全性「by button」、ハッシュパッケージアンカー。
9)アーティファクトとストレージ
改訂プロトコル(議題、結論、決定、所有者/期限)。
チェック/サンプルとその結果のリスト(合格/失敗)。
日付と成功指標のギャップリストとCAPA。
アップロードとレポートのハッシュ受信。WORM/オブジェクトロック。
更新されたポリシー/プロシージャのバージョンとコントロールへのマッピング
10)例外管理(免除)
時間通りに修正できない場合に識別されたギャップごとに発行されます。
理由、補償措置、有効期限、所有者/計画が含まれています。
ダッシュボードで表示されます。自動エスカレーション14/7/1有効期限の前日。
11)統合
CCM/Compliance-as-Code-制御テストルールは、リビジョンで自動的に実行されます。
GRC:監査登録、調査結果、CAPA、免除、SLAおよび報告。
証拠の貯蔵:ハッシュ固定のすべての材料の自動アーカイブ。
ITSM:タスクとシステム所有者へのエスカレーション。
VRM:プロバイダ/証明書のステータスを引き上げます。
LMS:監査結果に基づく主要な変更コース/認定。
12) Antipatterns
CAPAと所有者なしの「ショーのための」改訂。
カレンダーと予測可能性の欠如→遅延と火災モード。
ハッシュレシートとWORMのない手動アップロード→物議を醸す証拠。
スコープミックス(ポリシーの要件は変更されますが、SOP/コントロールは更新されません)。
「永遠」は、有効期限と補償なしで免除されます。
リスクのある食欲/委員会へのリンクはありません-決定は拡大しません。
13)成熟度モデル(M0-M4)
M0ヘルホック:不規則なチェック、Excelでのレポート、所有者なし。
M1スケジュール:カレンダーと基本チェックリスト、アーティファクトの保存。
M2管理:GRCレジストリ、ダッシュボード、SLA/エスカレーション、 WORMアーカイブ。
M3統合:JMA/ascode、自動証拠、ドライランボタン監査。
M4継続保証:予測KRI、自動スケジュール変更、エンドツーエンドのCAPAリスク→CAPA→リビジョン。
14)関連するwiki記事
KPIとコンプライアンス指標
リスクベース監査(RBA)
コンプライアンス継続監視(CCM)
証拠と文書の保管
ロギングと監査証跡
コンプライアンスポリシー変更管理
デューデリジェンスとアウトソーシングリスク
リスクマネジメント・コンプライアンス委員会
合計
定期的なレビューと改訂は、コンプライアンスを「問題への対応」から、固定カレンダー、自動検査、品質アーティファクト、タイムリーなCAPA、あらゆる監査に対する予測可能な準備などの透明な改善パイプラインに変換します。