In passato ho svolto la funzione di un auditor. (Per ragioni legali, non posso definirmi un revisore dei conti, ma la funzione fondamentale di un revisore è di confrontare il comportamento atteso con il comportamento effettivo, ed è quello che ho fatto). @ Iszi è corretto sul fatto che diverse istituzioni avranno diverse comprensioni di RACI. Se fossi un revisore dei conti che visita la tua struttura, la prima constatazione sarebbe che la tua direzione non ha descritto tale matrice di responsabilità. Nell'auditing tradizionale, non si ritiene che le persone siano responsabili laddove non esiste una politica. (Il moderno controllo basato sul rischio può operare in modo leggermente diverso, ma penso che sia al di fuori dello scopo di questa domanda).
Sulla base delle prove presentate, credo che tu abbia ragione. Il documento procedurale dovrebbe descrivere la procedura per il controllo del sistema, compresi gli eventi da controllare, e la procedura per la revisione dei registri di audit. Se l'obiettivo è semplicemente quello di rispettare un regime di audit, questo è sufficiente.
Se l'obiettivo è migliorare la sicurezza, ridurre l'esposizione al rischio dell'organizzazione, ridurre il numero di incidenti e diminuire il danno causato in ogni singolo incidente, allora la tua organizzazione deve andare oltre. Le procedure di controllo del sistema si basano su ipotesi relative alle risorse protette e alle minacce relative a tale risorsa. Minacce e risorse cambiano più frequentemente rispetto a eventid. La tua gestione dovrebbe avere un meccanismo per aggiornare le procedure di revisione. La revisione contabile non è un fine; è uno strumento per ridurre il rischio, ridurre la frequenza e la gravità degli incidenti. La direzione dovrebbe stabilire una revisione periodica delle attività di audit e adeguare le attività di audit per supportare meglio gli obiettivi aziendali dell'organizzazione.
(Riconosco di aver usato il termine "audit" in due contesti, e che potrebbe essere fonte di confusione Sto assumendo che tu stia scrivendo le procedure per acquisire e analizzare i registri degli eventi di sistema (audit di sistema). separato dall'audit esterno e revisione, che potrebbe essere chiamato controllo indipendente)
Come dice @Iszi, ogni organizzazione sarà diversa, ma credo che nel caso generale:
Gli amministratori di sistema / il personale del SOC sono responsabili della revisione giornaliera / continua dei registri di audit come descritto nel documento procedurale che si sta scrivendo.
I proprietari del sistema / Gestione del sistema sono responsabili dei risultati dell'audit (generalmente misurati come il tempo di rilevare un incidente, la percentuale di incidenti rilevati su prove interne vs esterne e il tempo medio per risolvere un incidente). La direzione è anche responsabile e responsabile della gestione del processo di audit, che include l'assicurazione che le procedure di revisione siano aggiornate per soddisfare le esigenze aziendali.
Questo diventa un po 'più complicato se esternalizziamo il monitoraggio della sicurezza su un SOC; il gestore del sistema / proprietario dovrebbe essere ancora responsabile, ma hanno delegato la responsabilità. Se dovessi esaminare un accordo del genere, cercherei uno SLA per la sicurezza che includesse il RACI che stai cercando.