재감사 및 후속 조치

1) 재감사의 목적 및 역할

• 위반 종료 및 식욕 수준에 대한 잔여 위험 감소를 확인합니다.
• 예방 조치를 통해 반복 (반복 결과) 으로부터 보호합니다.
• 법적으로 중요한 증거 기반을 형성합니다 ("버튼으로 감사 준비").

2) 재감사 할시기 (트리거)

샘플/위험에 의한 중요/높음 (필수) 에 의한 CAPA 폐쇄.
높은 심각도 사건 또는 규제 처방.
CCM/관찰 가능성 드리프트.
아키텍처/프로세스 변경 (릴리스, 마이그레이션, 공급자).
고위험 도메인에 대한 분기 별/반년 캘린더 창.

3) 범위 및 방법

설계 테스트: 정책/표준/SOP 업데이트, 제어 공식화.
운영 효율성 테스트: 해당 기간 동안 제어가 안정적으로 작동합니다 (30-90 일 동안 샘플).
샘플: 위험 기반 (높은/중요도의 경우 n 증가), 무작위 및 대상 사례의 혼합.
재구성: 가능한 경우 절차/요청을 반복하여 결과를 확인하십시오.
증거: 로그, 구성 요소, 업로드, 스크린 캐스트, 도구 보고서-해시 영수증 및 WORM.

4) 역할 및 RACI

(R - 책임; A - 책임; C-컨설팅; I-정보)

5) 재감사 수명주기 (SOP)

1. 개시: 재감사 카드 (결과, CAPA, 위험, 샘플링 기간, 마감일).
2. 준비: 테스트 점검 목록, 수락 기준, 아티팩트 목록, "사례 별" 액세스.
3. 데이터 수집: 자동 업로드, 샘플링, 해시 고정, WORM 배치.
4. 테스트: 디자인 (가용성/정확성) → 효율 (샘플, 재생).
5. 평가: 잔류 위험, 안정성, 드리프트의 존재.
6. 결정: CAPA/확장 (위원회, 규제 기관).
7. 수정: 프로토콜, 대시 보드 업데이트, "감사 팩" 재감사.
8. 감독: 관찰 30-90 일; 표류 할 때-새로운 CAPA로 다시 열립니다.

6) 완료의 정의

수정 조치가 구현 및 확인되었습니다.
예방 조치는 반복 (훈련, 게이트, 탐지) 의 위험을 줄입니다.
증거는 완전하고 일관성이 있습니다 (WORM, 해시 영수증).
CCM 규칙이 업데이트되었으며 경고가 정상이며 드리프트가 없습니다.
정책/SOP/차트는 실제 변경 사항과 동기화됩니다.
공급 업체는 미러 동작 (보존/삭제/인증서) 을 수행했습니다.

7) CAPA 번들 재감사

CAPA 카드에 재감사 계획 (기간, 성공 지표, 소유자) 을 유지하십시오.
"부분 성공" → 보상 제어 및 만료 날짜가있는 CAPA의 확장.
체계적인 문제의 경우-예방 서사시 (아키텍처 변경, 프로세스 개정).

8) 측정 및 KRI

재감사 실시간: 정시에 완료된% (대상 95% 이상).
First-Pass Close: CAPA 갱신이없는 폐쇄의% (더 높은 것이 더 좋습니다).
결과를 반복하십시오 (12 개월): 도메인/소유자에 의한 반복 비율 (네이션 추세).
잔여 위험 따옴표: 재감사 후 위험 감소.
증거 완전성: 전체 아티팩트 세트 (100% 목표) 로% 재감사.
수정 후 드리프트: 30-90 일 동안 제어 드리프트 사례 (대상 0 중요).
공급 업체 미러 SLA: 계약자 확인 (100% 목표).

9) 대시 보드 (최소)

재감사 파이프 라인: 계획된 → 진행 중 → 닫기/확장 → 관찰.
히트 맵 반복: 도메인 (IAM, 데이터, DevSecOps, VRM, DR/BCP).
CAPA 및 재감사 링크: 번들 상태, 지연, 취약한 영역.
증거 준비: WORM/해시의 존재, 샘플의 신선도.
Drift & CCM: 수정 후 위반, 경고 빈도.
공급 업체 보증: 미러 보유/제거, 인증서, SLA.

10) 샘플링 및 테스트 방법

위험 계층화: 중요한 통제/관할권에 대한 더 많은 경우.
종합 테스트: 문서 확인 + 실제 재수행 (예: DSAR 내보내기, 액세스 취소, TTL 삭제).
부정적인 시나리오: 제어를 우회하려는 시도 (ABAC/SoD, 속도 제한, 비밀 스캔).
안정성 테스트: 하위 (정신 검사) 에서 30 일 후에 반복됩니다.

11) 자동화 및 코드 보증

코드 (Rego/SQL/YAML), 예약 된 오토 런으로 제어 사례를 테스트합니다.
영수증과 함께 증거 쇼케이스에서 자동 생성 "감사 팩 재감사".
SLA에 의한 자동 에스컬레이션 (CAPA/재감사 지연).
CI/CD와의 통합: 빨간색 컨트롤 하에서 게이트 블록 릴리스.

12) 공급 업체 및 공급망

계약에는 재감사 권한과 아티팩트 제공 시점이 포함됩니다.
미러 보유 및 파괴/수정 확인.
위반의 경우-대출/SLA, 오프 램프 및 마이그레이션 계획.
외부 인증서 (SOC/ISO/PCI) - 새로운 상태; "자격을 갖춘 의견" -재감사가 향상 될 때.

13) 아티팩트 패턴

13. 재감사 카드 1 개

ID 결과/CAPA, 위험/관할 구역, 샘플링 기간

설계/성능 테스트, 수락 기준

아티팩트 목록 (소스, 형식, 해시)

결과, 잔여 위험, 권장 사항

솔루션 (닫기/확장/확장), 소유자/기한, 증거 링크

13. 2 재감사 보고서 (내용 표)

1. 요약 및 컨텍스트

2. 방법론과 범위

3. 테스트 결과 (샘플 테이블)

4. 잔여 위험 및 결론

5. 솔루션과 도전 (CAPA/면제)

6. 응용 프로그램: 해시 영수증, 스크린 샷, 업로드

13. 3 수락 점검표

• 정책/SOP/제어 업데이트
• 증거 수집 및 WORM/해시 확인
• CCM 규칙 활성화, 유효한 경고
• 교육/통신 완료 (LMS, 읽기 영수증)
• 공급 업체 확인 받음
• 재 개설 필요/확장 계획 없음

14) 예외 관리 (면제)

객관적인 제한 하에서 만 허용됩니다. 만료일 및 보상 통제는 필수입니다.
대시 보드로 홍보, 14/7/1 일 알림, 위원회로 확대.

15) 안티 패턴

효능 테스트가없는 "종이 폐쇄".
WORM/해시가없는 증거-감사 논쟁.
CCM 링크 재감사 없음-컨트롤이 고정되어 있지 않습니다.
좁은 범위 (관할 구역/공급 업체/중요한 역할은 다루지 않음).
관찰되지 않은 일회성 점검 30-90 일 → 반복.
보상 조치 계획 및 마감일이없는 CAPA 확장.

16) 성숙도 모델 (M0-M4)

M0 Hell-hoc: 드문 "포인트" 점검, 수락 기준 없음.
M1 예약: 재감사 일정, 기본 템플릿 및 보고서.
M2 관리: CAPA, 대시 보드/메트릭, WORM 증거에 대한 링크.
M3 통합: 코드 보증, 재수행, 자동 "감사 팩".
M4 연속 보증: 예측 KRI, 자동 예약, 수정 후 안정성 모니터링.

17) 관련 위키 기사

치료 계획 (CAPA)

위험 기반 감사 (RBA)

연속 준수 모니터링 (CCM)

벌목 및 감사 트레일

증거 및 문서 저장

준수 정책 변경 관리

근면 및 아웃소싱 위험

위험 관리 및 준수위원회

합계

재감사는 설계 및 효율성 테스트, 강력한 증거 기반, 투명한 솔루션 (닫기/확장/에스컬레이트) 및 드리프트 관측과 같은 형식이 아닌 견고성을 검증하는 것입니다. 이러한 시스템을 사용하면 위험이 "반환" 되지 않으며 규정 준수는 측정 가능하고 예측 가능합니다.