부서 간 점검
1) 부서 간 점검 대상
부서 간 검증은 여러 기능 (예: 제품 → 엔지니어링 → SecOps → 법률/DPO → 지불 → 지원 → 마케팅) 을 통과하는 프로세스 및 제어의 공동 검증입니다. 목표는 엔드 투 엔드 스크립트가 올바르게 실행되고 정책 요구 사항이 충족되며 감사 준비 증거가 있는지 확인하는 것입니다.
핵심 값:- "엉덩이" 위험 및 SoD 충돌 탐지;
- 요구 사항에 대한 통일 된 해석 및 책임의 "회색 영역" 제거;
- CAPA 속도를 높이고 재 시도를 방지합니다.
2) 시작시기 (트리거)
새로운/변경된 규제 요건 또는 관할 구역.
중요한 릴리스/마이그레이션 (아키텍처, 지불, 데이터).
사건 (정보 보안/개인 정보 보호/지불) 및 사후 관리.
외부 감사/인증 준비.
고위험 도메인에 의한 일반 달력 (분기/반년).
3) 스크립트 (엔드 투 엔드) -확인해야 할 사항
교차 기능이 최대 인 종단 간 사례를 선택하십시오
개인 정보/DSAR: 주제 요청 → 내보내기/삭제 → 알림 → 로깅.
액세스 관리: 요청 → 업데이트 → 프로비저닝 → 관리자 로그 → 다시 인증합니다.
충전: 사기 CAPA → 제공자에 대한 → 증거 수집 → 응답을 트리거하십시오.
광고 캠페인: 자료 승인 → 거부/동의 추적 → 증거 보관.
안전 사고: 탐지 → 격리 → 법적 보류 → 공지 → 사후 → CAPA.
데이터 보존/삭제: TTL → 서브 프로세서 파괴 확인 → 보고.
4) 역할 및 RACI
(R - 책임; A - 책임; C-컨설팅; I-정보)
5) 방법론: 수행 방법
워크 스루: "정치에서 기록까지" 엔드 투 엔드 사건의 시연.
ToD (Test of Design) -제어 진술, 역할, 절차, 지표의 가용성 및 품질을 확인하십시오.
ToE (운영 효과 테스트): 해당 기간의 제어 안정성 검증 (30-90 일 동안 샘플링).
개혁: 운영의 독립적 인 반복 (예: DSAR 수출, 액세스 취소, 지불 단계).
부정적인 테스트: 제어를 우회하려고 시도합니다 (SoD, 한계, 비밀 스캔).
6) 샘플링 및 층화
위험 기반: 중요한 관할 구역/역할/지불 방법에 대해 더 많은 n.
구성: 지역 별, 고객 유형, 채널 (웹/앱), 시간/로드.
조합: 랜덤 + 대상 (임계 값 경계, 에지 케이스).
- 중요: 도메인 당 n 이하 25 + 키 단계가 다시 수행됩니다.
- 높음: n 이하 15; 중간 값: n 이하 8; 낮음: n 이하 5.
7) 의존성 및 SoD 관리
의존성 매트릭스: 서비스, 공급 업체, 키, 데이터, 역할.
직무 분리 규칙 (SoD): 한 사람의 Upruv 및 중요한 행동 결합 금지.
중요한 회로 테스트 또는 명확한 버전 지정 중 동결 변경
8) 증거와 불변성
모든 아티팩트 (업로드, 구성 요소, 스크린 캐스트, 보고서) 는 해시 영수증과 함께 WORM/Object Lock에 저장됩니다.
양육권 체인: 누가/언제/왜 증거를 수집/읽었는지.
시간 동기화 및 추적 ID (추적 _ id, 요청 _ id).
각 단계를 제어 명세서 및 메트릭으로 바인딩합니다.
9) CAPA 및 재감사와의 통합
각 발견에 대해-CAPA (수정/예방, 용어, 소유자, 보상 조치).
중요한 경우에 대해 30-90 일 안에 필수 재감사.
코드로 정책/보증 업데이트: CCM 규칙, CI/CD 게이트, 메트릭 임계 값.
10) 측정 및 KRI
적용률: 분기당 테스트 된 주요 엔드-투-엔드 시나리오의%.
First-Pass Close: 중요한 결과가없는 수표 비율.
정시 CAPA: 시간에 따른 측정의% 완료 (심각도 별).
반복 결과 (12 개월): 도메인/관할권에 의한 반복 추세.
제어 통과 속도: 스크립트와 관련된 녹색 CCM 규칙의 비율.
증거 완전성 (Critical/High의 100% 목표).
SoD 위반: 식별/해결 된 의무 충돌.
공급 업체 미러 SLA: 중요한 공급 업체의 미러 측정 확인.
11) 대시 보드 (최소)
시나리오 파이프 라인: 계획된 → 진행 중 → 결과 → CAPA → 재감사.
도메인 간 히트맵: 기능 별 위험/결과 (IAM, 개인 정보 보호, 지불, 마케팅, 지원).
종속성 맵: 노드/공급 업체/제어, "빨간색" 영역.
증거 준비 상태: 사례 별 WORM/해시/스크린 캐스트의 존재.
CAPA & Drift: 측정 상태, 드리프트 30-90 일 관찰.
12) SOP (표준 절차)
SOP-1: 계획
고위험 주제를 정의하십시오 → 분기당 2-4 엔드 투 엔드 시나리오를 선택하면 → 소유자가 캘린더에 동의하고 창을 동결합니다.
SOP-2: 행동
킥오프 → 워크 스루 → ToD/ToE → 개혁 → 네거티브 테스트 → 증거 수집 → 일일 동기화 업데이트.
SOP-3: 보고서 및 솔루션
기준 → 사실 → 영향 → 권장 프레임 워크 → 닫기/확장/확장 → 보고서 및 메트릭 출판.
SOP-4: CAPA 및 후속 조치
GRC → 보상 조치 (필요한 경우) → 마감일 및 RACI → 실행 대시 보드에서 CAPA를 기록하십시오.
SOP-5: 재감사 및 감시
30-90 일 후-재 샘플링 및 정신 점검 → JMA 규칙/정책 업데이트 → 사이클 종료
13) 아티팩트 패턴
13. 1 검사 계획 (1 호출기)
시나리오, 목표, 관할권
검사 제어/정책
샘플 및 방법
위험/종속성/SoD
타임 라인, 역할, 커뮤니케이션 채널
13. 카드 찾기 2 개
기준 (정책/제어) → 실제 → 영향 → 권고
심각성, 잔류 위험
증거 (링크/해시)
CAPA: 측정, 소유자, 기한, KPI, 보상 컨트롤
13. 3 증거 팩
1. 정책/표준/SOP (버전, 확산)
2. 로그/설정 샘플 (CS/JSON, 해시 영수증)
3. 타임 스탬프가있는 스크린 캐스트/스크린 샷
4. JMA/메트릭 및 테스트 보고서
5. 위원회의 최종 보고서 및 결정
14) 커뮤니케이션과 문화
요청 번호 매기기 및 응답 SLA가있는 단일 채널 (포털/GRC).
외부 세션/감사, 복잡한 문제의 스크립트에서 "하나의 음성".
청구 없음: 프로세스에 집중하고 재생을 방지합니다.
내부 사례 라이브러리 인 모범 사례와 패턴을 공유합니다.
15) 안티 패턴
엔드 투 엔드 추적없이 "부서 내" 를 확인하십시오.
로그/해시/WORM이없는 "종이" 증거.
통제 명령/지표에 구속력이 없습니다 (측정 불가능).
SoD를 무시하고 한 사람에 대한 의존성.
재감사없이 예방/보상 조치가없는 CAPA.
캘린더없이 일회성 점검하고 위험에 따라 우선 순위를 정하십시오.
16) 성숙도 모델 (M0-M4)
M0 임시: 가끔 점검, 방법/지표 없음.
M1 계획된 분기 별 캘린더, 기본 템플릿 및 역할.
M2 관리: 위험 기반 샘플링, WORM 증거, 대시 보드, CAPA 링크.
M3 통합: 정책/보증 코드, CI/CD 게이트, 자동 보고서.
M4 연속 보증: 예측 KRI, 권장 시나리오, 지속적인 정신 점검 및 드리프트 모니터링.
17) 관련 위키 기사
재감사 및 후속 조치
치료 계획 (CAPA)
연속 준수 모니터링 (CCM)
정책 및 준수 저장소
법적 업데이트 추적/규제 변경 경고
벌목 및 감사 트레일
외부 감사인의 외부 감사
파트너 준수 안내서
합계
부서 간 점검은 위험 영역에서 기능 간의 "인터페이스" 를 엔드 투 엔드 시나리오, 측정 가능한 제어, 변경 불가능한 증거 및 폐쇄 루프 CAPA → 재감사와 같은 제어 영역으로 전환합니다. 이 접근 방식은 규정 준수를 예측하고 외부 감사 속도를 높이며 반복 위반 가능성을 줄입니다.