GH GambleHub

პერიოდული მიმოხილვები და გადასინჯვები

1) მიზანი და პრინციპები

პერიოდული მიმოხილვები და გადასინჯვები (Periodic Reviews) არის რეგულირებული შემოწმების ციკლი, რომელიც დაადასტურებს პოლიტიკოსის აქტუალობას, წვდომის სისწორეს, კონტროლების ეფექტურობას და აუდიტის მზადყოფნას.

პრინციპები:
  • კალენდარი და პროგნოზირება: ფიქსირებული ფანჯრები და ვადები.
  • რისკზე ორიენტაცია: პრიორიტეტები კრიტიკაზე და KRI.
  • Automation-first: მაქსიმალური მანქანების შეგროვება და მანქანის შეკეთება.
  • Evidence by Design: მტკიცებულებები ავტომატურად და უცვლელად იქმნება (WORM).
  • One owner: თითოეულ გადასინჯვას ჰყავს მფლობელი, SLA და ესკალაციის გეგმა.

2) პერიოდული მიმოხილვების ტიპები (პორტფელი)

გადასინჯვის ტიპისიხშირე (მინიმალური)მიზანიშაბათ არტეფაქტები
პოლიტიკა/პროცედურებიყოველწლიურად/მაიორშიმოთხოვნების განახლებაchangelog, aprow პროტოკოლი
წვდომის გადასინჯვა (IAM/IGA)კვარტალურად (კრიტიკული)მინიმალური პრივილეგიების პრინციპი, SoDანგარიში re-cert, მდინარეების სია
რისკების რეესტრი (RBA-lite)კვარტალურადრისკის კორექტირება/KRIგანახლებული Risk Register
კონტროლის ეფექტურობა (CCM)ყოველთვიურადpass rate, დრიფტი, FPR/TPRტესტის ანგარიში
პროვაიდერები/აუთსორსინგი (VRM)ყოველწლიურად/ტრიგერებისთვისსერთიფიკატის სტატუსი/SLA/DDვენდორის მიმოხილვა და გაპ სია
Retentia და Legal HoldკვარტალურადTTL, მოცილება/გაყინვაანგარიში წაშლის/ჰოლდ-ლოგის შესახებ
DR/BCP სავარჯიშოებიკვარტალი/ყოველწლიურადRTO/RPO და პროცესების შემოწმებასავარჯიშოების აქტი და CAPA
DSAR/კონფიდენციალურობაყოველთვიურად/კვარტალურადSLA, სისრულე, საჩივრებიDSAR SLA ანგარიში/ხარისხი
აუდიტის მზადყოფნა (dry-run)კვარტალურად„ღილაკის ღილაკი“evidence პაკეტი + ქვითარი
ლიცენზია/სერტიფიკატირეგულატორის გრაფიკითვადების დაცვა და სკოპივალდებულებების კალენდარი

3) როლები და RACI

გადასინჯვაARCI
პოლიტიკა/პროცედურებიHead of CompliancePolicy OwnerLegal/DPO, SecOpsInternal Audit
წვდომა IAMCISO / IAM LeadIGA/OpsTeam LeadsInternal Audit
რისკების რეესტრიHead of RiskRisk OfficeCompliance, FinanceExec/Board
კონტროლერი (CCM)Compliance EngControl OwnersSecOps, DataCommittee
პროვაიდერები (VRM)Vendor MgmtVRM AnalystLegal, SecurityInternal Audit
Retentia/Legal HoldDPOData PlatformLegal, SecOpsCommittee
DR/BCPCTO/PlatformResilience LeadOps, VendorsExecutive
DSAR/PrivacyDPOPrivacy OpsData, ProductInternal Audit
Audit dry-runHead of ComplianceGRCOwnersExecutive

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) წლიური კალენდარი (შაბლონის მაგალითი)

ყოველთვიურად: CCM კონტროლი, DSAR SLA, მოხსენებები ღრუბლის დრიფტის/დაშიფვრის, ჰაერის ჰიგიენის შესახებ.
კვარტალურად (Q1/Q2/Q3/Q4): IAM re-cert, Risk Register, DR სწავლებები, Audit dry-run, retence/წაშლა.
ყოველწლიურად: პოლიტიკის/პროცედურების სრული მიმოხილვა, კრიტიკული პროვაიდერების VRM მიმოხილვები, BIA (ბიზნეს გავლენა), აუდიტის/სერტიფიკაციის გეგმა.

5) ნებისმიერი გადასინჯვის პროცესი (SOP)

1. ინიციაცია: აუდიტის ბარათი (სკოპი, მიზნები, კრიტერიუმები, ვადები, მფლობელები).
2. მონაცემთა შეგროვება: ავტომატური გადმოტვირთვის/დაშბორდები, evidence ვიტრინა, ნიმუში.
3. შემოწმებები და ტესტები: საკონტროლო სია, pass/fail, გადახრები.
4. SARA/remediation: gap სია მფლობელებთან და პირობებთან, რომლებიც ანაზღაურებენ ზომებს.
5. აფროვი და ფიქსაცია: გადაწყვეტილების ოქმი, ჰაშის ქვითრები, WORM არქივი.
6. კომუნიკაცია: ერთი პაგერი + დავალებები ITSM/GRC; SLA ესკალაცია.
7. რეტროსპექტივა: გაკვეთილები, სტანდარტების განახლება/შაბლონები.

6) საკონტროლო სიების შაბლონები

6. 1 პოლიტიკა/პროცედურები

  • მარეგულირებელი კავშირებისა და ტერმინების აქტუალობა
  • კონტროლის გაზომვა
  • კავშირი SOP/სტანდარტებთან და CCM წესებთან
  • ლოკალიზაცია/ადენდუმები სინქრონიზებულია
  • Changelog და ვერსია, Aprow Company

6. 2 IAM re-cert

  • აქტიური უფლებებისა და მფლობელების სრული სია
  • SoD კონფლიქტები, orphan ანგარიშები, JIT გამონაკლისი
  • უფლებების გაწვევის/შემცირების მტკიცებულება
  • ვენდორსკის წვდომა და SSO ფედერაციები
  • R- სერტიფიკაციისა და მეტრიკის პროტოკოლი დაგვიანებულია

6. 3 VRM

  • ფაქტობრივი SOC/ISO/PCI მოხსენებები, სკოპი და გამონაკლისი
  • SLA/ინციდენტები/სესხები პერიოდისთვის
  • ქვევრები და მონაცემთა ადგილმდებარეობა - დრიფტის გარეშე
  • Gap სია და რემედიაციის სტატუსი
  • Exit გეგმა და სარკის რეტენციის დადასტურება

6. 4 Retentia/Legal Hold

  • TTL დარღვევები = 0 კრიტიკული
  • ანგარიშები + ჰაშის ანგარიშის წაშლის შესახებ
  • აქტიური Legal Hold - მიზეზები, თარიღები, მფლობელები
  • სარკის გადაკეთება პროვაიდერებში
  • DSAR ლოგიკა არ ირღვევა

6. 5 DR/BCP

  • RTO/RPO ტესტი და ნიმუშის აღდგენა
  • საკომუნიკაციო playbuks და on-call

სავარჯიშოების შედეგები და CAPA

  • გამყიდველები მონაწილეობდნენ/დაადასტურეს მზადყოფნა
  • დოკუმენტირებული post-mortem

7) მეტრიკა და SLO გადასინჯვის პორტფელი

დროის მიმოხილვის შესახებ: დროულად დასრულებული აუდიტის% (მიზანი 95%).
Evidence Readiness: აუდიტების% სრული არტეფაქტებით (მიზანი 100%).
CAPA On-time: დახურული რემონტი SLA- ს მიხედვით (severity).
Repeat Findings: განმეორებითი კომენტარების წილი 12 თვის განმავლობაში (ტენდენცია).
Access Hygiene: მოძველებული უფლებების წილი re-cert- ის შემდეგ (სამიზნე 2%).
Vendor Certificate Freshness: კრიტიკული პროვაიდერების შესაბამისი სერთიფიკატების% (მიზანი 100%).
Audit-Ready Time: აუდიტის შემდეგ „აუდიტის პაკეტის“ შეგროვების დრო (8 საათი).

8) დაშბორდი (მინიმალური ნაკრები)

Calendar View: აუდიტის რუკა SLA/შეფერხებით.
Review Pipeline: статус (Planned → In Progress → CAPA → Closed).
Findings & CAPA: ღია/ვადაგადაცილებული, მფლობელები, საკუთრება.
IAM Hygiene: orphan/SoD/JIT გამონაკლისები, ტენდენციები.
VRM Heatmap: პროვაიდერების რისკი, სერთიფიკატები, ინციდენტები.
Retention & Hold: TTL დარღვევები, წაშლის მოცულობა, აქტიური ჰოლდი.
Audit Readiness: completeness „ღილაკზე“, hash პაკეტების წამყვანები.

9) არტეფაქტები და შენახვა

აუდიტის პროტოკოლი (agenda, დასკვნები, გადაწყვეტილებები, owner/due).
შემოწმებების/ნიმუშების სია და მათი შედეგები (pass/fail).
Gap სია და CAPA წარმატების თარიღებითა და მეტრიკებით.
გადმოტვირთვისა და მოხსენებების ქვითრები; WORM/Object Lock.
პოლიტიკოსის/პროცედურების განახლებული ვერსიები და კონტროლი.

10) გამონაკლისების მენეჯმენტი

შედგენილია თითოეული გამოვლენილი gap- ით, თუ კორექტირება დროულად შეუძლებელია.
შეიცავს მიზეზს, რომელიც ანაზღაურებს ზომებს, გასვლის თარიღს, მფლობელს/გეგმას.
ჩანს დაშბორდში; მანქანის ესკალაცია გასვლამდე 14/7/1 დღით ადრე.

11) ინტეგრაცია

CCM/Compliance-as-Code: აუდიტის დროს იწყება კონტროლის ტესტების წესები.
GRC: აუდიტის, findings, CAPA, waivers, SLA და ანგარიშგების რეესტრი.
Evidence Storage: ყველა მასალის ავტომატური დაარქივება ჰაშის ფიქსაციით.
ITSM: სისტემების მფლობელთა დავალებები და ესკალაცია.
VRM: პროვაიდერების/სერთიფიკატების სტატუსის ამოღება.
LMS: კურსები/სერტიფიკაცია მაიორში, აუდიტის შედეგების შესაბამისად.

12) ანტიპატერები

გადასინჯვა „შოუსთვის“ CAPA- ს და მფლობელების გარეშე.
კალენდრის არარსებობა და პროგნოზირება, შეფერხება და ხანძრის რეჟიმი.
ხელით გადმოტვირთვის გარეშე hash ქვითრები და WORM მტკიცებულებების საკამათოა.
სკოპის ნაზავი (პოლიტიკოსები ცვლის მოთხოვნებს, მაგრამ SOP/მაკონტროლებელი არ არის განახლებული).
„მარადიული“ ტალღები გასვლის თარიღისა და კომპენსაციის გარეშე.
არანაირი კავშირი არ არსებობს რისკის მადასთან/კომიტეტთან - გადაწყვეტილებები არ არის მასშტაბური.

13) სიმწიფის მოდელი (M0-M4)

M0 AD-hoc: არარეგულარული შემოწმებები, მოხსენებები Excel- ში, owners- ის გარეშე.
M1 დაგეგმილი: კალენდარი და ძირითადი შემოწმების ფურცლები, არტეფაქტების შენახვა.
M2 კონტროლირებადი: GRC რეესტრი, დაშბორდები, SLA/ესკალაცია, WORM არქივი.
M3 ინტეგრირებული: SSM/ascode, auto-evidence, dry-run აუდიტი ღილაკზე.
M4 Continuous Assurance: KRI- ს პროგნოზირება, ხელახალი განვითარება, კაპიბილიტის საშუალებით „CAPA- ს აუდიტის რისკები“.

14) ვიკის დაკავშირებული სტატიები

KPI და კომპლექსის მეტრიკა

რისკზე ორიენტირებული აუდიტი (RBA)

შესაბამისობის უწყვეტი მონიტორინგი (CCM)

მტკიცებულებებისა და დოკუმენტაციის შენახვა

ჟურნალების მართვა და Audit Trail

კომპლექსის პოლიტიკაში ცვლილებების მენეჯმენტი

Due Diligence და აუთსორსინგის რისკები

რისკებისა და შესაბამისობის მართვის კომიტეტი

შედეგი

პერიოდული მიმოხილვები და აუდიტი შესაბამისობას „პრობლემებზე რეაგირებისგან“ აქცევს გაუმჯობესების გამჭვირვალე კონვეიერად: ფიქსირებული კალენდარი, ავტომატური შემოწმება, მაღალი ხარისხის არტეფაქტები, დროული CAPA და პროგნოზირებადი მზადყოფნა ნებისმიერი აუდიტორისთვის.

Contact

დაგვიკავშირდით

დაგვიკავშირდით ნებისმიერი კითხვის ან მხარდაჭერისთვის.ჩვენ ყოველთვის მზად ვართ დაგეხმაროთ!

Telegram
@Gamble_GC
ინტეგრაციის დაწყება

Email — სავალდებულოა. Telegram ან WhatsApp — სურვილისამებრ.

თქვენი სახელი არასავალდებულო
Email არასავალდებულო
თემა არასავალდებულო
შეტყობინება არასავალდებულო
Telegram არასავალდებულო
@
თუ მიუთითებთ Telegram-ს — ვუპასუხებთ იქაც, დამატებით Email-ზე.
WhatsApp არასავალდებულო
ფორმატი: ქვეყნის კოდი და ნომერი (მაგალითად, +995XXXXXXXXX).

ღილაკზე დაჭერით თქვენ ეთანხმებით თქვენი მონაცემების დამუშავებას.