정기적 인 검토 및 개정
1) 목적과 원칙
정기 검토 (정기 검토) 는 정책의 관련성, 액세스 정확성, 통제의 효과 및 감사 준비 상태를 확인하는 규제 된 검토주기입니다.
원칙:- 일정 및 예측 가능성: 고정 창 및 마감일.
- 위험 방향: 중요 및 KRI 우선 순위.
- 자동화 우선: 최대 자동 수집 및 자동 점검.
- 의도적으로 증거: 증거는 자동으로 그리고 항상 생성됩니다 (WORM).
- 하나의 소유자: 각 개정판에는 소유자, SLA 및 에스컬레이션 계획이 있습니다.
2) 정기적 인 리뷰의 유형 (포트폴리오)
3) 역할 및 RACI
(R - 책임; A - 책임; C-컨설팅; I-정보)
4) 연간 달력 (예: 템플릿)
월간: CCM 컨트롤, DSAR SLA, 클라우드 드리프트/암호화 보고서, 면제 위생.
분기 별 (Q1/Q2/Q3/Q4): IAM 재 인증, 위험 등록, DR 연습, 감사 드라이 런, 유지/삭제.
매년: 정책/절차의 완전한 개정, 중요한 제공 업체의 VRM 검토, BIA (비즈니스 영향), 감사/인증 계획.
5) 개정판의 프로세스 (SOP)
1. 개시: 개정 카드 (범위, 목표, 기준, 마감일, 소유자).
2. 데이터 수집: 자동 업로드/대시 보드, 증거 쇼케이스, 샘플.
3. 점검 및 테스트: 점검표, 통과/실패, 편차의 심각성.
4. CAPA/치료: 소유자와의 격차 목록 및 마감일, 보상 조치.
5. 업그레이드 및 수정: 솔루션 프로토콜, 해시 영수증, WORM 아카이브.
6. 커뮤니케이션: ITSM/GRC의 1 호출기 + 작업; SLA에 의한 에스컬레이션.
7. 회고: 수업, 표준/템플릿 업데이트.
6) 점검표 템플릿
6. 1 정책/절차
- 규제 참조 및 용어의 관련
- 측정 가능성 제어 진술
- SOP/표준 및 CCM 규칙에 연결
- 현지화/부록 동기화
- Changelog 및 버전, 위원회 업데이트
6. 2 IAM 재 인증
- 활성 권리 및 소유자의 전체 목록
- SoD 충돌, 고아 계정, JIT 예외
- 철회/강등의 증거
- 공급 업체 액세스 및 SSO 연맹
- 재 자격 프로토콜 및 연체 지표
6. 3 VRM
- 현재 SOC/ISO/PCI 보고서, 범위 및 예외
- 해당 기간의 SLA/사건/크레딧
- 서브 프로세서 및 데이터 위치-드리프트 없음
- 갭 목록 및 치료 상태
- 종료 계획 및 거울 보존 확인
6. 4 회복/법적 보류
- TTL 위반 = 0 중요
- 삭제 보고서 + 해시 요약
- 활동적인 법적 보류-이유, 날짜, 소유자
- 공급자의 거울 보존
- DSAR 논리 그대로
6. 5 DR/BCP
- RTO/RPO 테스트 및 샘플 복구
- 커뮤니케이션 플레이 북 및 통화 중
- 운동 및 CAPA 결과
- 공급 업체 참여/확인 준비
- 사후 문서화
7) 개정 포트폴리오 메트릭 및 SLO
정시 검토 속도: 정시에 완료된 감사의% (목표 95%).
증거 준비 상태: 전체 아티팩트 세트가있는% 개정 (100% 목표).
CAPA 온타임: SLA에 의해 폐쇄 된 치료의% (심각도 별).
결과를 반복하십시오: 12 개월 동안 반복되는 주석의 비율 (트렌드).
액세스 위생: 재 인증 후 더 이상 사용되지 않는 권리의 공유 (대상
공급 업체 인증서 신선도: 중요한 공급자의 현재 인증서 중% (100% 목표).
감사 준비 시간: 감사 후 "감사 팩" 을 수집하는 시간 (약 8 시간).
8) 대시 보드 (최소 세트)
일정보기: SLA/연체를 사용하여 분기 별 수정 맵입니다.
파이프 라인 검토: стат계획 (계획 → 진행 중 → CAPA → 폐쇄).
결과 및 CAPA: 개방/만료, 소유자, 심각도.
IAM 위생: 고아/SoD/JIT 예외, 트렌드.
VRM 히트 맵: 위험률 제공 업체, 인증서, 사고.
보류 및 보류: TTL 위반, 제거량, 적극적인 보류.
감사 준비: "버튼 별" 완전성, 해시 패키지 앵커.
9) 아티팩트 및 스토리지
개정 프로토콜 (안건, 결론, 결정, 소유자/기한).
수표/샘플 및 결과 목록 (통과/실패).
날짜와 성공 지표가있는 갭 목록 및 CAPA.
업로드 및 보고서의 해시 영수증; WORM/Object Lock.
업데이트 된 정책/절차 버전 및 제어 매핑
10) 예외 관리 (면제)
정시에 수정이 불가능한 경우 식별 된 각 간격에 대해 발행됩니다.
이유, 보상 조치, 만료 날짜, 소유자/계획이 포함되어 있습니다.
대시 보드에 표시; 만료 전 14/7/1 일 자동 에스컬레이션.
11) 통합
CCM/Compliance-as-Code-Control 테스트 규칙은 개정시 자동으로 실행됩니다.
GRC: 감사 등록, 결과, CAPA, 면제, SLA 및보고.
증거 저장소: 해시 고정으로 모든 재료를 자동으로 보관합니다.
ITSM: 시스템 소유자에게 작업 및 에스컬레이션.
VRM: 공급자/인증서의 상태를 끌어 올립니다.
LMS: 감사 결과에 따른 주요 변경 과정/인증.
12) 안티 패턴
CAPA 및 소유자없이 "쇼" 개정.
달력 부족 및 예측 가능성 → 지연 및 발사 모드.
해시 영수증 및 WORM → 논란의 여지가없는 증거없이 수동 업로드.
스코프 믹스 (정책은 요구 사항을 변경하지만 SOP/컨트롤은 업데이트되지 않습니다
만료 날짜가없고 보상이없는 "영원한" 면제.
위험 식욕/위원회에 대한 링크가 없습니다-결정이 확장되지 않습니다.
13) 성숙도 모델 (M0-M4)
M0 Hell-hoc: 소유자없이 불규칙한 점검, Excel보고.
M1 예약: 달력 및 기본 체크리스트, 아티팩트 저장.
M2 관리: GRC 레지스트리, 대시 보드, SLA/에스컬레이션, WORM 아카이브.
M3 통합: JMA/ascode, 자동 증거, 드라이 런 버튼 감사.
M4 연속 보증: KRI 예측, 자동 일정 변경, 엔드 투 엔드 CAPA 위험 → CAPA → 개정.
14) 관련 위키 기사
KPI 및 규정 준수 지표
위험 기반 감사 (RBA)
연속 준수 모니터링 (CCM)
증거 및 문서 저장
벌목 및 감사 트레일
준수 정책 변경 관리
근면 및 아웃소싱 위험
위험 관리 및 준수위원회
합계
정기적 인 검토 및 개정은 규정 준수를 "문제 대응" 에서 고정 일정, 자동 검사, 품질 아티팩트, 적시 CAPA 및 모든 감사에 대한 예측 가능한 준비 상태와 같은 투명한 개선 파이프 라인으로 변환합니다.