Home
EX-4: Registro delle Eccezioni
Descrizione
Il registro delle eccezioni è il sistema centrale per tracciare tutte le eccezioni attive. DEVE (MUST) essere mantenuto aggiornato con status tracking, review history e documentazione completa.
Guida
Scopo del registro
Il registro delle eccezioni serve a:
- Visibilità centralizzata: Tutte le eccezioni in un unico posto
- Tracking dello stato: Monitorare progress e scadenze
- Accountability: Chiara ownership e responsabilità
- Audit trail: Storia completa di ogni eccezione
- Trend analysis: Identificare pattern e problemi sistemici
- Reporting: Report per management e audit
Per ogni eccezione, il registro DEVE (MUST) includere:
Identificazione
- ID univoco (es. EXC-2024-001)
- Titolo
- Standard interessato
- Sistema/Progetto
Status
- Stato corrente: Draft / In Review / Approved / Active / Expired / Closed
- Data di creazione
- Data di approvazione
- Data di inizio
- Data di scadenza
- Prossima data di review
Ownership
- Proposto da (nome, team)
- Owner (responsabile della remediation)
- Approver (chi ha approvato)
- Reviewer (chi effettua le review)
Rischio
- Livello di rischio: BASSO / MEDIO / ALTO / CRITICO
- Categoria: Sicurezza / Architettura / Processo / Compliance
- Rischi specifici identificati
Controlli
- Controlli compensativi implementati
- Efficacia dei controlli
Remediation
- Piano di remediation
- Milestone
- Progress (% completamento)
- Blocker (se presenti)
Audit trail
- Storia delle review (date, reviewer, outcome)
- Estensioni richieste e approvate
- Modifiche alla documentazione
- Commenti e note
Il registro PUÒ (MAY) essere implementato come:
- Spreadsheet (Excel, Google Sheets): Per organizzazioni piccole
- Database (Airtable, SharePoint): Per tracking più strutturato
- Issue tracker (Jira, GitHub Issues): Integrato con workflow esistenti
- GRC tool (Governance, Risk, Compliance platform): Per organizzazioni grandi
Esempio di struttura (Spreadsheet)
| ID |
Titolo |
Sistema |
Tipo |
Rischio |
Stato |
Owner |
Inizio |
Scadenza |
Prossima Review |
Controlli |
Progress |
| EXC-2024-001 |
Legacy auth |
App-X |
Security |
ALTO |
Active |
Team-A |
2024-01-15 |
2024-07-15 |
2024-04-01 |
MFA enforced |
40% |
| EXC-2024-002 |
Monolith arch |
App-Y |
Architecture |
MEDIO |
Active |
Team-B |
2024-02-01 |
2025-02-01 |
2024-08-01 |
API gateway |
20% |
Access control
L’accesso al registro DEVE (MUST) essere controllato:
- Read access: Tutti gli engineer e manager
- Write access: Solo exception owners e administrators
- Approval access: Solo approvers autorizzati
- Admin access: Security team, Governance team
Review del registro
Il registro completo DOVREBBE (SHOULD) essere revisionato:
Mensile (Security Architect + Technical Leads):
- Verificare scadenze imminenti
- Identificare eccezioni scadute
- Review eccezioni ALTO/CRITICO
Trimestrale (Deputy Director + Architects):
- Trend analysis: Il numero di eccezioni sta aumentando?
- Pattern: Ci sono standard problematici che generano troppe eccezioni?
- Governance: Le eccezioni stanno bypassando gli standard?
Annuale (Executive review):
- Review strategica di tutte le eccezioni
- Decisione se standard devono essere aggiornati
- Budget per remediation di eccezioni critiche
Metriche e KPI
Tracciare metriche chiave:
Volume
- Numero totale di eccezioni attive
- Eccezioni per livello di rischio
- Eccezioni per categoria (Security, Architecture, etc.)
- Trend nel tempo
Quality
- % eccezioni con controlli compensativi
- % eccezioni con piano di remediation
- % eccezioni revisionate on-time
Remediation
- Tempo medio di remediation
- % eccezioni chiuse entro scadenza
- % eccezioni che richiedono estensioni
Red flags
- Eccezioni scadute senza estensione
- Eccezioni CRITICO aperte > 3 mesi
- Stesso standard eccezionato ripetutamente
- Eccezioni senza review > 6 mesi
Reporting
Dashboard mensile:
- Eccezioni attive per rischio e categoria
- Scadenze nei prossimi 30 giorni
- Eccezioni scadute
- Progress remediation
Report esecutivo trimestrale:
- Summary di tutte le eccezioni ALTO/CRITICO
- Trend analysis
- Raccomandazioni per azioni
- Richieste di budget per remediation
Misurazione
| Stato |
Criteri |
| 🟢 VERDE |
Registro aggiornato con status e review history completi |
| 🟡 AMBRA |
Registro parzialmente mantenuto, alcuni dati mancanti |
| 🔴 ROSSO |
Nessun registro o tracking in atto |
Riferimenti