GH GambleHub

Yeniden denetim ve takip

1) Yeniden denetimlerin amacı ve rolü

Yeniden denetim, alınan önlemlerin (CAPA) etkinliğinin ve sağlamlığının doğrulanması ve birincil bulgulardan sonra güncellenen kontrollerdir. Öyle mi:
  • İhlallerin kapatılmasını ve artık riskin İştah seviyesine indirilmesini onaylar;
  • Önleyici tedbirlerle tekrarlara (bulguları tekrarlama) karşı korur;
  • Yasal olarak önemli bir kanıt tabanı oluşturur ("butonla denetime hazır").

2) Yeniden denetim ne zaman atanır (tetikleyiciler)

Kritik/Yüksek (zorunlu), Orta - örnek/risk ile CAPA kapatma.
Yüksek şiddetli olay veya düzenleyici reçete.
CCM/gözlemlenebilirlik sürüklenmesi.
Mimari/süreç değişiklikleri (sürümler, geçişler, sağlayıcılar).
Yüksek riskli alanlar için üç aylık/yarı yıllık takvim pencereleri.

3) Kapsam ve yöntemler

Tasarım testi: politika/standart/SOP güncellendi, kontrol resmileştirildi.
Operasyonel verimlilik testi: Kontrol, dönemde istikrarlı bir şekilde çalışır (30-90 gün boyunca numune).
Örnek: Risk bazlı (yüksek/kritik için n artış), rastgele ve hedef vakaların karışımı.
Reperform: Mümkünse, sonucu onaylamak için prosedürü/isteği tekrarlayın.
Kanıt: günlükler, yapılandırmalar, yüklemeler, screencastlar, araç raporları - hash makbuzları ve WORM ile.

4) Roller ve RACI

AktiviteRACBEN
Yeniden denetim planlamaUyumluluk/GRCUyumluluk BaşkanıSecOps/Sahipleri/Yasalİç denetim
Kanıt toplamaKontrol sahipleriUyumluluk/GRCVeri platformuİç denetim
Tasarım/etkinlik testiUyumluluk/İç DenetimUyumluluk BaşkanıSecOps/PlatformKomite/Exec
CAPA çözümünü kabul edin/uzatınKomite (Eş Başkanlar)Yönetici sponsoruYasal/DPOTahta
Tekrar izlemeUyumluluk AnalitiğiRisk BaşkanıCCM/SecOpsKomite

(R - Sorumlu; A - Sorumlu; C - Danışılan; I - Bilgilendirilmiş)

5) Yaşam döngüsünü yeniden denetleyin (SOP)

1. Başlatma: yeniden denetim kartı (bulgular, CAPA, risk, örnekleme süresi, son tarih).
2. Hazırlık: testlerin kontrol listesi, kabul kriterleri, eserlerin listesi, "duruma göre" erişim.
3. Veri toplama: otomatik yükleme, örnekleme, hash sabitleme, WORM'e yerleştirme.
4. Testler: tasarım (kullanılabilirlik/doğruluk) - verimlilik (örnekler, reperform).
5. Değerlendirme: kalıntı risk, kararlılık, sürüklenme varlığı.
6. Karar: Close/Extend CAPA/Escalate (komite, düzenleyici).
7. Sabitleme: protokol, güncelleme panoları, "denetim paketi" yeniden denetimi.
8. Denetim: gözlem 30-90 gün; Sürüklenirken - yeni bir CAPA ile yeniden açın.

6) Bitti Tanımı

Uygulanan ve onaylanan düzeltici önlemler.
Önleyici tedbirler tekrarlama riskini azaltır (eğitim, kapılar, algılamalar).
Kanıtlar tam ve tutarlıdır (WORM, hash makbuzları).
CCM kuralları güncellendi, uyarılar normal, sürüklenme yok.
Politikalar/SOP'lar/grafikler gerçek değişikliklerle senkronize edilir.
Satıcılar ayna eylemleri gerçekleştirdi (saklama/silme/sertifikalar).

7) CAPA paketi ↔ yeniden denetim

Yeniden Denetim Planını (dönem, başarı ölçütü, sahip) CAPA kartında saklayın.
Bir "kısmi başarı" - telafi edici kontroller ve bir son kullanma tarihi ile CAPA'nın bir uzantısı.
Sistemik problemler için - önleme destanları (mimari değişim, süreç revizyonu).

8) Metrikler ve KRI

Yeniden denetim Zamanında: % zamanında tamamlandı (hedef ≥ %95).
İlk Geçiş Kapatma: CAPA yenilemesi olmadan kapanışların %'si (daha yüksek daha iyidir).
Bulguları Tekrarla (12 ay): Alan/sahip tarafından tekrarların oranı (↓ eğilim).
Kalıntı Risk Δ: Yeniden denetimden sonra riskin azaltılması.
Kanıt Tamlığı: Tam yapıt kümesiyle % yeniden denetim (%100 hedef).
Düzeltme Sonrası Sürüklenme: 30-90 gün içinde kontrol sürüklenme durumları (hedef 0 kritik).
Vendor Mirror SLA: Yüklenicilerden gelen onaylar (kritik için %100 hedef).

9) Gösterge panoları (minimum)

Yeniden Denetim Boru Hattı: Planlanmış - Devam Ediyor - Kapat/Uzat - Gözlemle.
Isı haritası tekrarları: etki alanına göre (IAM, veri, DevSecOps, VRM, DR/BCP).
CAPA ve Yeniden Denetim Bağlantısı: paketlerin durumu, gecikmeler, hassas alanlar.
Kanıt Hazırlığı: WORM/hash varlığı, örneklerin tazeliği.
Drift & CCM: Düzeltme sonrası ihlaller, uyarı frekansı.
Satıcı Güvencesi: ayna tutma/kaldırma, sertifikalar, SLA.

10) Örnekleme ve test yöntemleri

Risk tabakalaşması: Kritik kontroller/yargı bölgeleri için daha fazla durum.
Kombine testler: belgesel kontrol + gerçek reperform (örn. DSAR dışa aktarma, erişim iptali, TTL silme).
Olumsuz senaryolar: kontrolü atlatma girişimi (ABAC/SoD, hız limitleri, gizli tarama).
Stabilite testi: Bir alt örnekte 30 gün sonra tekrarlayın (akıl sağlığı kontrolü).

11) Otomasyon ve kod olarak güvence

Kontroller için test durumları kod olarak (Rego/SQL/YAML), zamanlanmış autorun.
Bir makbuzla kanıt vitrininden otomatik üretim "denetim paketi yeniden denetimi".
SLA ile otomatik yükseltme (CAPA/yeniden denetim gecikmeleri).
CI/CD ile entegrasyon: kapılar kırmızı kontroller altında serbest bırakmayı engeller.

12) Satıcılar ve Tedarik Zinciri

Sözleşmeler, yeniden denetim hakkını ve eserlerin sağlanmasının zamanlamasını içerir.
Ayna tutma ve imha/düzeltmelerin onaylanması.
İhlaller durumunda - krediler/SLA'lar, rampa dışı ve göç planı.
Dış sertifikalar (SOC/ISO/PCI) - taze durumda; "Nitelikli görüş" - yeniden denetim geliştirildiğinde.

13) Eser desenleri

13. 1 Yeniden denetim kartı

ID bulguları/CAPA, risk/yargı alanları, örnekleme dönemi

Tasarım/performans testleri, kabul kriterleri

Eserler listesi (kaynak, format, hash)

Sonuçlar, artık risk, öneriler

Çözüm (Kapat/Genişlet/Tırmandır), sahibi/vadesi, kanıt bağlantıları

13. 2 Yeniden denetim raporu (içindekiler tablosu)

1. Özet ve bağlam

2. Metodoloji ve kapsam

3. Test sonuçları (örnek tablolar)

4. Kalıntı riski ve sonuçları

5. Çözümler ve Zorluklar (CAPA/feragat)

6. Uygulamalar: hash makbuzları, ekran görüntüleri, yüklemeler

13. 3 Kabul kontrol listesi

  • Politikalar/SOPs/Kontroller Güncellendi
  • Toplanan kanıtlar ve WORM/hash doğrulandı
  • CCM kuralları etkin, uyarılar geçerli
  • Eğitim/iletişim tamamlandı (LMS, okuma-alma)
  • Satıcı Onayları Alındı
  • Yeniden açılma gerekli değil/genişleme planı mevcut

14) İstisna yönetimi (feragat)

Sadece objektif kısıtlamalar altında izin verilir; son kullanma tarihi ve telafi edici kontroller zorunludur.
Gösterge tablosunda tanıtım, hatırlatıcılar 14/7/1 gün, Komiteye tırmanma.

15) Antipatterns

Etkinlik testi olmadan "kağıt kapatma".
WORM/hash içermeyen kanıt - denetim tartışması.
CAPA ↔ yeniden denetim ↔ CCM bağlantısı yok - kontroller sabitlenmez.
Daraltılmış kapsam (yetki alanları/satıcılar/kapsanmayan kritik roller).
Bir kerelik gözlemlenmemiş kontroller 30-90 gün - tekrarlar.
Telafi edici önlemler planı ve son tarih olmadan CAPA uzantıları.

16) Olgunluk modeli (M0-M4)

M0 Hell-hoc: Nadir "nokta" kontrolleri, kabul kriteri yok.
M1 Zamanlanmış: yeniden denetim takvimi, temel şablonlar ve raporlar.
M2 Managed: CAPA bağlantısı, gösterge tabloları/metrikler, WORM kanıtı.
M3 Entegre: Kod olarak güvence, reperform, otomatik "denetim paketi".
M4 Sürekli Güvence: tahmini KRI'ler, otomatik yeniden zamanlama, düzeltme sonrası stabilite izleme.

17) İlgili wiki makaleleri

İyileştirme Planları (CAPAs)

Risk Bazlı Denetim (RBA)

Sürekli Uyumluluk İzleme (CCM)

Günlüğe Kaydetme ve Denetim İzi

Kanıt ve belgelerin depolanması

Uyum politikası değişim yönetimi

Durum Tespiti ve Dış Kaynak Kullanımı Riskleri

Risk Yönetimi ve Uyum Komitesi

Toplam

Yeniden denetimler formalite değil sağlamlığın doğrulanmasıdır: bir tasarım ve verimlilik testi, sağlam bir kanıt tabanı, şeffaf çözümler (Close/Extend/Escalate) ve sürüklenme gözlemi. Böyle bir sistemle risk "geri döndürülmez've uyumluluk ölçülebilir ve öngörülebilir kalır.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.