定期審查和審計
1)宗旨和原則
定期審查和審計(期刊)是規範的審計周期,可確認策略的相關性,可訪問性,控制效率和審計準備情況。
原則:- 日歷和可預測性:固定窗口和截止日期。
- 風險導向:臨界優先級和KRI。
- 自動化第一:最大限度的自動交換和自動反駁。
- 設計:證明是自動且不可變的(WORM)。
- 一個主人:每個修訂都有所有者、SLA和升級計劃。
2)定期審查類型(組合)
3)角色和RACI
(R — Responsible;A — Accountable;C — Consulted;I — Informed)
4)年度日歷(範本範例)
每月:CCM控制,DSAR SLA,雲漂移/加密報告,waiver衛生。
季度(Q1/Q2/Q3/Q4):IAM重新認證,風險註冊,DR演習,審計幹擾,撤回/刪除。
每年:全面修訂政策/程序,關鍵提供商的VRM審查,BIA(業務影響),審計/認證計劃。
5)任何修訂程序(SOP)
1.啟動:修訂卡(scope,目標,標準,截止日期,所有者)。
2.數據收集:自動卸載/dashbords,evidence展示櫃,樣本。
3.檢查和測試:核對清單,通過/失敗,severity異常。
4.SARA/REMEDATION:與業主和最後期限的差距表,補償措施。
5.Apruv和提交:解決方案協議、哈希收據、WORM存檔。
6.溝通:ITSM/GRC中的一包+任務;SLA升級。
7.回顧:經驗教訓,更新標準/模板。
6)檢查清單模板
6.1政策/程序
- 規範性參考和術語的相關性
- 控制狀態的可測量性
- 與SOP/標準和 CCM規則捆綁在一起
- 本地化/addendums同步
- Changelog和版本,委員會的附錄
6.2 IAM re-cert
- 活躍權利和所有者的完整列表
- SoD沖突,orphan帳戶,JIT例外
- 撤銷/降級的證據
- Wendor Access和SSO聯盟
- 重新認證協議和逾期指標
6.3 VRM
- 當前SOC/ISO/PCI報告,scope和例外
- SLA/事件/貸款期間
- 子處理器和數據位置-不漂移
- Gap清單和重整狀態
- 退出計劃和鏡像復仇確認
6.4 Retentia/法律保留
- TTL違規行為=0
- 刪除報告+哈希摘要
- Active Legal Hold-原因、日期、所有者
- 提供商的鏡像回避
- DSAR邏輯未被破壞
6.5 DR/BCP
- RTO/RPO測試和樣本恢復
- 通訊花花公子和電話
- 演習結果和CAPA
- 供應商參與/確認準備就緒
- mortem後記錄的
7)審計組合的度量和SLO
時間審查率:按時完成審計的百分比(目標≥ 95%)。
Evidence Readiness:具有全套工件的修訂版(目標100%)的百分比。
CAPA On Time: SLA (severity)關閉的修復百分比。
Repeat Findings:12個月內重復評論的比例(趨勢↓)。
Access Hygiene: re-cert(目標≤ 2%)後過時權利的比例。
Vendor Certificate Freshness:關鍵提供商中當前證書的百分比(目標100%)。
審核準備時間:審核後收集「審核包」的時間(≤ 8小時)。
8)Dashbords(最低設置)
Calendar View:按季度分列的SLA/延遲審計地圖。
Review Pipeline: статус (Planned → In Progress → CAPA → Closed).
Findings&CAPA: 開放/過期,業主,severity.
IAM Hygiene:orphan/SoD/JIT例外,趨勢。
VRM Heatmap:風險識別提供商、證書、事件。
Retention&Hold:TTL違規行為,刪除量,主動保留。
Audit Readiness: completeness「通過按鈕」,哈希包錨定。
9)文物和存儲
審核協議(agenda,結論,解決方案,owner/due)。
檢查/樣本列表及其結果(pass/fail)。
Gap列表和CAPA,具有成功日期和指標。
卸載和報告的散列收據;WORM/Object Lock.
更新的策略/過程版本和映射到控制。
10)例外管理(waivers)
如果無法及時修復,則為每個已識別的插槽排列。
包含補償措施的原因,到期日期,所有者/計劃。
在行車記錄儀中可見;在到期前14/7/1天自動升級。
11)整合
CCM/Compliance-as-Code:審計時自動運行控制測試規則。
GRC:審核註冊表,findings,CAPA,waivers,SLA和報告。
Evidence Storage:通過哈希提交自動歸檔所有材料。
ITSM:任務和升級到系統所有者。
VRM:拉起提供商/證書狀態。
LMS:主要審計變更課程/認證。
12)反模式
沒有CAPA和所有者的「復選」修訂版。
缺乏日歷和可預測性→延遲和火災模式。
沒有哈希收據和WORM的手動卸載→證據爭議。
Scope混合(策略更改要求,但SOP/controls未更新)。
「永恒」的等待者沒有到期日期和補償。
與風險胃口/委員會沒有聯系-決定不會擴大。
13)成熟度模型(M0-M4)
M0地獄專用:不規則檢查,在Excel中報告,沒有所有者。
M1計劃:日歷和基本支票單,文物存儲。
M2可管理:GRC註冊表,dashbords,SLA/上報,WORM檔案。
M3集成:SSM/ascode, auto-evidence, dry-run審計通過按鈕。
M4持續保證:預測KRI,自動重建,端到端可用「CAPA →審計→風險」。
14)相關維基文章
KPI和合規度量
以風險為導向的審計(RBA)
連續合規性監控(CCM)
保管證據和文件
日記和審計步道
法規遵從性政策變更管理
盡職調查與外包風險
風險管理和合規委員會
底線
定期審查和審計將合規性從「問題應對」轉變為透明的改進渠道:固定日歷,自動檢查,高質量的偽造品,及時的CAPA以及任何審計的可預測準備。