Departmanlar arası kontroller
1) Bölümler arası kontroller nelerdir
Bölümler arası doğrulama, çeşitli işlevlerden geçen süreçlerin ve kontrollerin ortak doğrulanmasıdır (örneğin, Ürün> Mühendislik> SecOps> Yasal/DPO> Ödemeler> Destek> Pazarlama). Amaç, uçtan uca komut dosyasının doğru çalıştığını, politika gereksinimlerinin karşılandığını ve denetime hazır kanıtları doğrulamaktır.
Anahtar değerler:- "Popo" risklerinin ve SoD çatışmalarının tespiti;
- Gereksinimlerin birleşik yorumlanması ve sorumluluğun "gri alanlarının" ortadan kaldırılması;
- CAPA'ları hızlandırmak ve yeniden denemeleri önlemek.
2) Ne zaman başlamalı (tetikleyiciler)
Yeni/değiştirilmiş düzenleyici gereklilikler veya yargı yetkileri.
Önemli sürümler/geçişler (mimari, ödemeler, veriler).
Olaylar (bilgi güvenliği/gizlilik/ödemeler) ve post-mortemler.
Dış denetim/sertifikasyon için hazırlık.
Yüksek riskli alanlara göre düzenli takvim (çeyrek/yarım yıl).
3) Komut dosyaları (uçtan uca) - ne kontrol edilmeli
Çapraz işlevselliğin maksimum olduğu uçtan uca durumları seçin:- Privacy/DSAR: subject request - export/delete - notification - logging.
- Access management: request - right to update - provisioning - admin log - re-cert.
- Chargeback: tetik? Kanıt toplama? Dolandırıcılık CAPA? Sağlayıcısına yanıt.
- Reklam kampanyası: materyallerin onaylanması - hedefleme - reddetmelerin/onayların takibi - kanıt arşivi.
- Güvenlik olayı: tespit, izolasyon, Yasal Bekletme, ölüm sonrası, CAPA.
- Verilerin saklanması/silinmesi: TTL'nin başlatılması - alt işlemcilerin imha edildiğinin onaylanması - raporlama.
4) Roller ve RACI
(R - Sorumlu; A - Sorumlu; C - Danışılan; I - Bilgilendirilmiş)
5) Metodoloji: nasıl yapılır
Walkthrough: "politikadan kütüklere" uçtan uca davanın bir gösterisi.
ToD (Tasarım Testi) - kontrol ifadelerinin, rollerin, prosedürlerin, metriklerin kullanılabilirliğini ve kalitesini kontrol edin.
ToE (İşletme Etkinliği Testi): Dönemde kontrol kararlılığının doğrulanması (30-90 gün boyunca örnekleme).
Reform: işlemin bağımsız tekrarı (örneğin, DSAR ihracatı, erişimin iptali, ödeme adımları).
Negatif test: kontrolü atlamaya çalışır (SoD, limitler, gizli tarama).
6) Örnekleme ve tabakalaşma
Risk tabanlı: kritik yargı/roller/ödeme yöntemleri için daha fazla n.
Tabakalaşma: bölgeye, müşteri türüne, kanala (web/uygulama), günün saatine/yüke göre.
Kombinasyonlar: rastgele + hedef (eşik sınırları, kenar durumları).
- Kritik: Alan başına n ≥ 25 + anahtar adım reperformları.
- Yüksek: n ≥ 15; Orta: n ≥ 8; Düşük: n ≥ 5.
7) Bağımlılık ve SoD yönetimi
Bağımlılık matrisi: hizmetler, satıcılar, anahtarlar, veriler, roller.
Görev ayrımı kuralı (SoD): Upruv ve kritik eylemleri bir kişide birleştirmenin yasaklanması.
Kritik devre testleri sırasında donmayı değiştirin veya sürümleri temizleyin.
8) Kanıt ve değişmezlik
Tüm eserler (yüklemeler, yapılandırmalar, screencastlar, raporlar), karma makbuzlarla WORM/Nesne Kilidi'nde saklanır.
Gözetim Zinciri: Kanıtları kim/ne zaman/neden topladı/okudu.
Zaman senkronizasyonu ve izleme kimlikleri (trace_id, request_id).
Her adımı bir Kontrol Deyimine ve bir metriğe bağlar.
9) CAPA ile entegrasyon ve yeniden denetim
Her bulgu için - CAPA (Düzeltici/Önleyici, şartlar, sahip, telafi edici önlemler).
Kritik durumlar için 30-90 gün içinde zorunlu yeniden denetim.
Politikanın güncellenmesi-/assurance-as-code: CCM kuralları, CI/CD kapıları, metrik eşikler.
10) Metrikler ve KRI
Kapsama Oranı: Her çeyrekte test edilen uçtan uca önemli senaryoların yüzdesi.
First-Pass Close: Kritik bulguları olmayan kontrollerin oranı.
Zamanında CAPA: Önlemlerin zamanında (önem derecesine göre) % tamamlanması.
Bulguları Tekrarla (12 ay): Etki alanına/yargı alanına göre tekrarların eğilimi.
Controls Pass Rate: Komut dosyası ile ilişkili yeşil CCM kurallarının oranı.
Kanıt Bütünlüğü (Kritik/Yüksek için %100 hedef).
SoD İhlalleri: Tanımlanmış/Çözülmüş Görev Çatışmaları.
Vendor Mirror SLA: Kritik sağlayıcılardan ayna önlemlerinin onaylanması.
11) Gösterge panoları (minimum)
Senaryo Boru Hattı: Planlanmış, Devam Etmekte, Bulgular, CAPA, Yeniden Denetim.
Etki Alanları Arası Isı Haritası: Fonksiyona göre riskler/bulgular (IAM, Gizlilik, Ödemeler, Pazarlama, Destek).
Bağımlılık Haritası: düğümler/satıcılar/kontroller, "kırmızı" bölgeler.
Kanıt Hazırlığı: Davaya göre WORM/hash/screencasts varlığı.
CAPA & Drift: Önlemlerin durumu, sürüklenmenin 30-90 gün gözlemlenmesi.
12) SOP (standart prosedürler)
SOP-1: Planlama
Yüksek riskli konuları tanımlayın - her çeyrekte 2-4 uçtan uca senaryo seçin - sahipleri atayın - bir takvim üzerinde anlaşın ve pencereleri dondurun.
SOP-2: Davranış
Kick-off, ToD/ToE, reform, negatif test, kanıt toplama, günlük senkronizasyon güncellemeleri.
SOP-3: Rapor ve Çözümler
Criteria - Fact - Impact - Recommendation Framework - Close/Extend/Escalate - Report and Metrics Publication.
SOP-4: CAPA ve takip
CAPA'yı GRC'ye kaydedin - telafi edici önlemler (gerekirse) - son tarihler ve RACI - yürütme panosu.
SOP-5: Yeniden denetim ve gözetim
30-90 gün sonra - yeniden örnekleme ve akıl sağlığı kontrolü - JMA kurallarını/politikalarını güncelleme - döngüyü kapatma.
13) Eser desenleri
13. 1 Denetim planı (tek çağrı cihazı)
Senaryo, Hedefler, Yargı Alanları
Denetim Kontrolleri/Politikaları
Örnekler ve yöntemler
Riskler/bağımlılıklar/SoD
Zaman çizelgesi, roller, iletişim kanalları
13. 2 Kart bulma
Kriter (politika/kontrol) - Gerçek - Etki - Öneri
Şiddet, artık risk
Kanıt (bağlantılar/hash'ler)
CAPA'lar: önlemler, sahip, vade, KPI'lar, telafi edici kontroller
13. 3 Kanıt paketi
1. Politikalar/Standartlar/SOP'lar (sürümler, dağıtımlar)
2. Günlük/yapılandırma örnekleri (CSV/JSON, hash makbuzları)
3. Zaman damgalı ekran görüntüleri/screencasts
4. JMA/Metrikler ve Test Raporları
5. Nihai rapor ve Komite kararları
14) İletişim ve kültür
İstek numaralandırma ve yanıt SLA'ları ile tek kanallı (portal/GRC).
Dış oturumlarda/denetimlerde'tek ses ", karmaşık sorunların senaryoları.
Ücret yok: Süreçlere odaklanın ve tekrarları önleyin.
En iyi uygulamaları ve kalıpları paylaşma, dahili bir vaka kütüphanesi.
15) Antipatterns
Uçtan uca izleme olmadan "departman içinde" kontrol etme.
"Kağıt" günlükleri/hash/WORM olmadan kanıtlar.
Kontrol ifadeleri/metrikleri için bağlayıcı yok (ölçülemezlik).
SoD'yi ve bir kişiye bağımlılığı göz ardı etmek.
Önleyici/telafi edici önlemler olmadan, yeniden denetim olmadan CAPA.
Takvim olmadan tek seferlik kontroller ve riske göre önceliklendirme.
16) Olgunluk modeli (M0-M4)
M0 Ad-hoc: ara sıra yapılan kontroller, yöntem/metrik yok.
M1 Planlanan üç aylık takvim, temel şablonlar ve roller.
M2 Managed: risk tabanlı örnekleme, WORM-kanıt, gösterge tabloları, CAPA bağlantısı.
M3 Integrated: policy-/assurance-as-code, CI/CD kapıları, otomatik raporlar.
M4 Sürekli Güvence: tahmini KRI'lar, öneri senaryoları, sürekli akıl sağlığı kontrolleri ve sürüklenme izleme.
17) İlgili wiki makaleleri
Yeniden denetim ve takip
İyileştirme Planları (CAPAs)
Sürekli Uyumluluk İzleme (CCM)
Politika ve uyumluluk deposu
Yasal Güncelleme Takibi/Düzenleyici Değişiklik Uyarıları
Günlüğe Kaydetme ve Denetim İzi
Dış denetçilerin dış denetimleri
İş Ortağı Uyum Kılavuzu
Toplam
Bölümler arası kontroller, işlevler arasındaki "arayüzleri'bir risk alanından bir kontrol alanına dönüştürür: uçtan uca senaryolar, ölçülebilir kontroller, değiştirilemez kanıtlar ve kapalı döngü CAPA yeniden denetimi. Bu yaklaşım, uyumluluğu öngörülebilir hale getirir, dış denetimleri hızlandırır ve tekrar ihlal olasılığını azaltır.