위험 관리 및 준수위원회
1) 약속 및 명령
위험 관리 및 준수위원회 (위원회라고도 함) 는 다음과 같은 대학 기관입니다
위험 식욕 및 준수 원칙을 구축 및 유지
주요 정책/표준 및 변경 사항을 승인합니다.
주요 위험 (운영, 규제, 정보 보안/개인 정보 보호, 재무, 제 3 자) 을 통제합니다.
규정 준수 지표 및 SLO/SLA를 설정하고 성과를 모니터링합니다.
에스컬레이션 및 상충되는 우선 순
감사 준비 상태 (증거 기반, 솔루션 프로토콜) 를 제공합니다.
2) 구성과 독립
필요한 회원 (투표):- 준수 리드/DPO (공동 의자)
- CISO/보안 책임자 (공동 의장)
- 법무 책임자
- 위험/기업 위험 책임자
- CFO/금융 (영향 평가 용)
- 비즈니스/제품 담당자 (VP/감독)
- 플랫폼/인프라 관리자 또는 CTO 대리인
- 내부 감사 (관찰자)
- HR/L & D (교육/평가)
- 조달/공급 업체 Mgmt (제 3 자)
- 데이터/플랫폼 (DWH/리니지/CCM)
독립의 원칙: 이해 상충 없음, 거부 문서화, 관찰자의 역할 수정.
3) 위원회 RACI
(R - 책임; A - 책임; C-컨설팅; I-정보)
4) 규제 및 빈도
일반 모드: 한 달에 한 번 (90 분) + 주간 특급 KPI/KRI 모니터링 (15 분).
위기 모드 (사고/규제 기관): 안정화까지 24-48 시간마다 회의.
정원: 공동 의장 1 명을 포함하여 유권자의 2/3 이상.
솔루션: 간단한 대다수; 고위험에 따르면-2/3 및 공동 의자의 거부권에 따라 (헌장에서 수정).
5) 수신 아티팩트 (입력)
위험 등록 및 히트 맵 (KRI 업데이트).
KPI/SLO 준수: DSAR/SLA, 액세스 위생, 드리프트, 증거 적용 범위)
정책별로 로그 변경 (주요/사소한/비상).
만료 날짜 및 보상 제어가있는 면제 등록.
사건 및 조사 결과: Sev1/Sev2, 반복성, 치료 상태.
공급 업체 위험: 중요한 공급자, SLA/인증서 위반.
감사/평가: 상태, 공개 의견, 버튼 준비.
6) 출력 및 아티팩트 (출력)
소유자, 마감일, 심각도 및 예상 위험 효과가있는 결정 프로토콜.
업데이트 된 위험 식욕 진술 및 우선 순위.
조건에 따라 정책 및 면제를 업데이트/거부합니다.
위험이 높은 이사회/CEO를위한 에스컬레이션 문자/솔루션.
한 명의 호출기 및 명령 작업 (ITSM/GRC 티켓).
7) 전형적인 소환 (60-90 분)
1. KPI/KRI 및 편차 요약 (10 ").
2. 사건/Sev1 업데이트 및 수업 (15 ").
3. 정치인: 주요 변화, 상충되는 해석, 현지화 (15 ").
4. 타사: SLA/인증서 위반, 서브 프로세서 (10 ").
5. 면제: 확장/닫기, 적색 영역 (10 ").
6. 감사/평가: 준비 상태 및 "감사 팩" (10 ").
7. 솔루션 및 작업 할당 (10 ").
8) 의사 결정 및 에스컬레이션 절차
결정 카드 (템플릿): 컨텍스트 → 옵션 → 위험/비용 → 권장 사항 → 투표에 미치는 영향.
확대: 위험> 식욕 또는 연체> SLA-집행/이사회로의 테이크 아웃.
검토: 30-60 일 후 결정의 효과에 대한 사후 평가 (영향 검토).
9) 통합 및 종단 간 흐름
RBA: 조사 결과 → 위원회 소환장 → 소유자/결제 → 폐쇄 통제.
CCM (연속 모니터링): 경고/메트릭 → 규칙/임계 값 우선 순위.
정책 라이프 사이클/변경 Mgmt: 주요 편집 → 업데이트, 커뮤니케이션, 교육.
공급 업체 DD/아웃소싱: 채점 모델 및 갭 목록 → 계약 조건/SLA.
Incident Mgmt: SOAR/PR/Legal 플레이 북 → 보고서 및 수업.
10) 위원회 성과 지표
정시 치료: 위원회 업무의% 가 정시에 마감되었습니다 (심각도 기준).
결정 리드 시간: 문제를 제기하는 것부터 해결까지의 평균 시간.
면제 위생: 현재 만료 날짜가있는% 제외 (대상: 100%).
결과를 반복하십시오: 12 개월 동안의 반복 비율 (대상: 네).
감사 준비 시간: "감사 팩" 전체 시간.
위험 감소 지수: 총 위험률 QoQ.
커뮤니케이션 SLA: 주요 솔루션에서 정시에 통보 한 역할의%.
11) 위원회 헌장 (템플릿)
목적: 위험 및 규정 준수 감독; 회사와 고객의 이익을 보호합니다.
범위: 모든 관할 구역/비즈니스 라인/IT 시스템/타사.
권한: 정책/예외 승인; 쿼리 데이터/감사; 보드에서의 에스컬레이션.
구성 및 정족수: (§ 2 및 § 4 참조).
관심있는 상충: 선언, 거부, 저널.
프로토콜: 전체 시간의 표준 (안건, 솔루션, 음성, 소유자, 증거 링크).
헌장의 개정: 매년 또는 이사회의 요청에 따라.
12) 문서 템플릿
12. 결정 카드 1 개
주제/상황/규정/위험
옵션 및 평가 (비용, 타이밍, SLA/KRI에 미치는 영향)
결정 후 권장 사항 및 위험 수준
성능 소유자 및 마감일
투표 결과 (반대/기권)
12. 회의 2 분
날짜/쿼럼/참가자
의제
토론 (브리핑, 항목 별 항목)
솔루션 (소유자, 기한, 성공 지표)
공개 문제/에스컬레이션
응용 프로그램 (대시 보드, 보고서, WORM 아카이브에 대한 링크)
12. 3 위험 식욕 매트릭스 (예)
13) 위원회 대시 보드 (최소)
위험 히트맵: 확률 × 충격 × 잔류 위험.
준수 KPI 센터: DSAR, 액세스 위생, 드리프트, 증거 범위.
사건 및 결과: Sev1/Sev2, MTTR, 반복성.
정책 변경: 주요/마이너/비상 파이프 라인 및 교육 상태.
공급 업체 위험: 인증서, SLA, 서브 프로세서, 사고.
면제 및 마감일: 활성/만료, 에스컬레이션.
감사 준비: 감사/인증에 의한 백분율 "감사 팩".
14) 위원회 연도 일정
월간: 정기적 인 안건 (§ 7).
분기 별: 위험 식욕 부진 개정, KPI/KRI 동향, 결과 총계.
반년: 주요 정책 및 면제 포트폴리오 개정.
연례: 위원회 헌장, 감사/인증 계획, 배운 교훈.
15) 위기 모드 (Sev1/규제)
즉각적인 소집; 전투 리듬 업데이트 (예: 4 시간마다).
통합 커뮤니케이션 (Legal/PR), Legal Hold 제어.
액세스 제어/비활성화 통합/데이터 격리를위한 솔루션.
행동과 별도의 사고 프로토콜 및 사후 부검.
16) 안티 패턴
권한과 마감일이없는 "사서함" 으로위원회.
프로토콜과 증거 부족-감사 논쟁.
만료 날짜가없고 통제를 보상하는 영구 면제.
해결할 수없는 의제: 의사 결정 카드 없음, 옵션 없음 및 효과 추정치 없음.
소유자가없는 KPI 및 위험 식욕에 대한 링크.
관리 된 거부없이 관심의 상충.
17) 위원회 성숙 모델 (M0-M4)
M0 Hell-hoc: 드문 회의, 지표 및 프로토콜 없음.
M1 공식화: 헌장, 정족수, 기본 분, 월별 회의.
M2 관리 가능: KPI/KRI 대시 보드, 의사 결정 카드, 면제 제어.
M3 통합: CCM/RBA/Policy-as-Code와의 통신, "버튼 별 감사 준비".
M4 확인: 예측 KRI, 자동 에스컬레이션, 정기적 인 충격 검토 결정.
18) 관련 위키 기사
위험 기반 감사 (RBA)
연속 준수 모니터링 (CCM)
KPI 및 규정 준수 지표
준수 정책 변경 관리
정책 및 절차 수명주기
근면 및 아웃소싱 위험
법적 보류 및 데이터 동결
합계
강력한위원회는 "회의" 가 아니라 위험 관리 메커니즘입니다. 명확한 명령, 독립 및 정족수, 대시 보드의 데이터, 소유자 및 마감일에 대한 결정, 집행 및 증거 기반. 그런 다음 규정 준수는 비즈니스 드래그가 아닌 예측 가능한 전략 기둥이됩니다.