Revue trimestrielle ISO — tutoriel complet

Importez le pack de revue trimestrielle ISO et guidez une revue fictive ISMS+AIMS Q1 2026 de Lumen.health à travers les huit stages, en produisant un rapport de revue trimestrielle signé.

Objectif

À l'issue de ce tutoriel, vous aurez importé le Pack Scrydon ISO Quarterly Review, instancié pour la revue fictive ISMS+AIMS Q1 2026 de Lumen.health, extrait l'état de conformité actuel depuis Vanta, revu les métriques de gouvernance IA et opérationnelles, capturé les décisions et points d'action, et produit un rapport de revue trimestrielle signé prêt pour le dossier d'audit BELAC stage 1 de septembre 2026.

Priya Ramaswamy (Responsable de la conformité chez Lumen.health, un SaaS fictif de santé mentale), CEO Daniel Foley, CTO Marco Esposito, CISO Aisha Khan, Responsable de la gouvernance IA Lukas Berg, et DPO Anne Verwoerd parcourent cela ensemble. Lumen.health est en Série B, environ 50 collaborateurs, certifiée ISO 27001 depuis 2024, visant la co-certification ISO 42001 à l'audit BELAC stage 1 de septembre 2026. Toutes les entités, chiffres et constatations dans les documents de démonstration sont fictifs.

Le pack de revue trimestrielle ISO livre un sous-répertoire d'ontologie vide aujourd'hui. Une future itération pourrait déclarer les types d'objets ComplianceFinding, ActionItem, Decision, VantaTest afin que chaque revue trimestrielle émette des instances typées interrogeables d'un trimestre à l'autre (« montrez-moi chaque point d'action ouvert depuis plus de 90 jours »). Le guide signale les endroits où ceux-ci s'intégreraient.

Prérequis

Vous disposez d'un déploiement Scrydon avec les surfaces agentic et ontology activées. Définissez les variables d'environnement suivantes dans votre shell pour l'étape d'importation :

export SCRYDON_URL="https://<your-scrydon-url>"
export ORG_ID="<your-org-id>"
export SESSION_COOKIE="$(cat ~/.scrydon/session-cookie)"

Le modèle référence deux workflows système : compliance-quarterly-prefetch (extrait l'instantané du statut Vanta) et compliance-evidence-sync (repousse les preuves vers Vanta à la fin). Jusqu'à leur déploiement, ces actions de type workflow se dégradent en checklists manuelles dans l'interface runtime.

Étape 1 — Télécharger le pack

Télécharger iso-quarterly-review-1.0.0.scrydon-pack.tar.gz

mkdir -p iso-quarterly-tutorial && cd iso-quarterly-tutorial
curl -O https://docs.scrydon.com/static/process-pack-examples/iso-quarterly-review-1.0.0.scrydon-pack.tar.gz

Le pack fait ≈ 4 Kio.

Étape 2 — Inspecter le pack

bunx @scrydon/sdk-authoring pack inspect iso-quarterly-review-1.0.0.scrydon-pack.tar.gz

Pack:
  Package:  iso-quarterly-review@1.0.0
  Contents: ontology@1.0.0, process-flow@1.0.0
  Install order: ontology → process-flow
  ontology: iso-quarterly-review@1.0.0
  process-flow: iso-quarterly-review (8 stages)

Étape 3 — Téléverser le pack

curl -X POST "$SCRYDON_URL/api/packs/import?organizationId=$ORG_ID" \
  -H "Cookie: $SESSION_COOKIE" \
  -F "file=@iso-quarterly-review-1.0.0.scrydon-pack.tar.gz"

Une réponse 200 porte le nouveau processTemplateId.

Étape 4 — Créer une nouvelle instance de revue

Naviguez vers $SCRYDON_URL/process-flows. La carte ISO Quarterly Review apparaît sous le tag Compliance. Cliquez sur Nouvelle instance depuis le modèle et nommez l'instance Lumen.health Q1 2026 ISMS+AIMS Review.

L'instance s'ouvre sur la vue tracker. Huit lanes de stages apparaissent :

Planification & Calendrier — lancer la fenêtre de revue.
Extraction du statut Vanta — le workflow automatisé compliance-quarterly-prefetch ingère l'état actuel.
Revue des métriques de gouvernance IA — Lukas parcourt les métriques AIMS.
Revue des métriques opérationnelles & de sécurité — Marco + Aisha parcourent les métriques ISMS.
Statut des lacunes d'ingénierie — Marco consolide les clôtures EG-### depuis le T4.
Constatations & Décisions — réunion de revue complète ; décisions capturées.
Approbation — six personas signent le rapport trimestriel.
Synchronisation des preuves vers Vanta — le workflow automatisé compliance-evidence-sync repousse tout.

Les stages sont séquentiels (stageFlow: "sequential"). La première tâche de Planification & Calendrier est débloquée.

Étape 5 — Planification & Calendrier

Priya lance la fenêtre de revue. Les tâches de Planification & Calendrier comprennent :

Confirmer la fenêtre de revue (couvre les 90 jours précédents)
Confirmer le périmètre (ISO 27001 + ISO 42001 + contrôles SOC 2 suivis)
Confirmer la liste des réviseurs (responsable conformité + CISO + responsable gouvernance IA + DPO + responsable engineering + sponsor exécutif)
Planifier la réunion de revue (cible 3 avril 2026)
Ouvrir le casier à preuves dans Vanta + le drive partagé

Marquez comme terminée pour avancer.

Étape 6 — Extraction du statut Vanta

Le workflow compliance-quarterly-prefetch s'exécute automatiquement (ou en checklist manuelle si le workflow n'est pas encore déployé). Il extrait l'instantané du statut Vanta actuel dans la base de connaissances de l'instance.

Télécharger 01-vanta-status-snapshot.md — instantané Q1 2026 de Lumen.health : 412 tests sur les référentiels ISO 27001:2022, ISO 42001, GDPR personnalisé et SOC 2. En-tête : 387 verts (94 %), 17 à surveiller, 8 en échec. Amélioration nette de +7 par rapport au T4 2025.

Priya examine l'instantané et signale les éléments pour l'ordre du jour de la réunion. Marquez la tâche comme terminée ; cela débloque les stages de revue IA, Opérationnel et EG-### en parallèle.

Étape 7 — Revue des métriques de gouvernance IA

Lukas parcourt les métriques de gouvernance IA :

Métrique	T4 → T1
Systèmes IA inventoriés	6/7 → 7/7 ✓
Systèmes IA avec évaluation d'impact à jour	5/7 → 4/7 ↓
Systèmes IA avec compte rendu de revue par les pairs	5/7 → 5/7 —
Systèmes IA avec résilience de sécurité documentée	6/7 → 7/7 ✓
Couverture des tests de garde-fous des agents IA	71% → 78% ✓
Taux d'intervention HITL	12% → 9% ✓

La régression de la couverture des évaluations d'impact est la principale préoccupation : la nouvelle fonctionnalité de récupération RAG a été livrée le 11 mars sans son évaluation d'impact, faisant chuter la couverture de 5/7 à 4/7. Lukas signale cela comme matériel pour le dossier d'audit.

Étape 8 — Revue des métriques opérationnelles & de sécurité

Marco et Aisha parcourent les métriques opérationnelles et de sécurité. Points saillants :

MTTD en amélioration (14 → 11 min).
Remédiation des CVE critiques P95 en amélioration (6 → 4 jours).
Vulnérabilités critiques ouvertes en baisse (3 → 1).
Trois exceptions MFA sur les comptes de service encore ouvertes (portées vers les points d'action).

Étape 9 — Statut des lacunes d'ingénierie

Marco consolide les clôtures de lacunes EG-### :

EG-007 (DLP en sortie pour la sortie des agents IA) → Clôturé ce trimestre ✓
EG-009 (cadence annuelle du test de pénétration) → SoW signé ; engagement 15 mai
EG-012 (évaluation d'impact RAG) → En cours, échéance 30 avril
EG-018 (cadence annuelle du tabletop IR) → Tabletop 2 mai
EG-002 (rotation DEK), EG-015 (audit de suppression de données), EG-021 (actualisation AIUC-1) → En cours, dans les délais

Étape 10 — Constatations & Décisions

La réunion de revue complète. Priya dirige la réunion ; les six participants examinent l'instantané, discutent de la régression de la gouvernance IA, et décident de la marche à suivre pour le trimestre.

Télécharger 02-quarterly-review-report.md — le rapport de revue trimestrielle T1 couvrant la gouvernance IA, les métriques opérationnelles, la consolidation EG-###, les décisions et la trajectoire vers l'audit de septembre.

Télécharger 03-decisions-log.md — les cinq décisions prises lors de la réunion de revue : accélérer l'évaluation d'impact RAG (D-2026-Q1-01), reporter le SOC 2 d'un trimestre (D-2026-Q1-02), approuver l'engagement PenTest de 42 k€ (D-2026-Q1-03), s'engager à verser 18 k€ pour un facilitateur de tabletop (D-2026-Q1-04), approuver la publication de la politique AIMS (D-2026-Q1-05).

Télécharger 04-findings-and-action-items.md — 23 points d'action capturés : 19 se clôturent au T2, 4 sont reportés au T3. Responsables pour les cinq personas.

Priya colle le rapport dans Compiler le rapport de revue trimestrielle et le journal des décisions dans Capturer les décisions et points d'action. Chaque point d'action est enregistré avec responsable + date d'échéance + critères d'acceptation — lorsque l'ontologie est câblée, chacun devient une instance d'objet ActionItem liée à la Decision dont il est issu.

Étape 11 — Approbation

Six personas signent formellement le rapport de revue trimestrielle (l'action approval) :

Priya Ramaswamy, Responsable de la conformité
Daniel Foley, CEO + Sponsor exécutif
Marco Esposito, CTO + Responsable engineering
Aisha Khan, CISO
Lukas Berg, Responsable de la gouvernance IA
Anne Verwoerd, DPO

L'instance avance automatiquement vers le stage final.

Étape 12 — Synchronisation des preuves vers Vanta

Le workflow compliance-evidence-sync pousse le rapport trimestriel signé, le journal des décisions, le registre des points d'action et les quatre documents d'exemple vers le casier à preuves Vanta à evidence/iso-quarterly-review/2026-q1/. Chaque point d'action devient une entrée du journal d'amélioration Vanta avec responsable et date d'échéance ; les responsables reçoivent des rappels Slack 7/3/1 jours avant les échéances.

L'instance se clôture. Priya planifie la revue T2 pour le 1er juillet 2026 (le mécanisme unlockAfterTaskSlug + unlockDelay: { value: 90, unit: "days" } crée une tâche de suivi dans la file de Priya exactement 90 jours après la clôture de l'instance).

Trois variantes d'erreur à observer

Erreur	Comment la déclencher	Ce que cela signifie
`STAGE_DEPENDENCY_NOT_MET`	Tentez d'ouvrir Constatations & Décisions avant que les trois stages de revue parallèles (Gouvernance IA, Opérationnel, EG-###) soient terminés.	Le `stageFlow` séquentiel est appliqué ; la réunion nécessite que les trois revues soient terminées d'abord.
`APPROVAL_REJECTED` (modélisé comme rejet d'`approval`)	Rejetez Approbation en tant que l'un des six approbateurs.	L'instance n'avance pas vers la synchronisation des preuves ; le rapport retourne aux Constatations & Décisions pour révision.
`WORKFLOW_NOT_FOUND`	Exécutez sur un tenant où les workflows système `compliance-quarterly-prefetch` et `compliance-evidence-sync` ne sont pas déployés.	Les actions de type `workflow` se dégradent en checklists manuelles ; le tutoriel s'exécute néanmoins de bout en bout.

Personnaliser le pack

Le processus de revue réel de Lumen.health diverge du pack livré sur trois points : la liste des réviseurs (nous n'avons pas de persona « Auditeur externe » séparé pour les revues trimestrielles), la catégorisation des points d'action (nous utilisons une taxonomie d'attribution à 3 niveaux personnalisée au lieu des 4 catégories livrées), et le chemin du casier à preuves Vanta. Trois chemins de personnalisation :

Forker le pack en TypeScript. Copiez packages/sdk-authoring/src/process-flows/examples/iso-quarterly-review/index.ts dans votre propre projet SDK, modifiez, changez package.id et template.slug en valeur personnalisée (par ex. lumen-iso-quarterly), incrémentez package.version, et reconstruisez avec bunx @scrydon/sdk-authoring pack build src/pack.ts --outDir dist. Re-téléversez via /api/packs/import.
Ajouter des contributions d'ontologie typées. Une future version pourrait ajouter les types d'objets ComplianceFinding, ActionItem, Decision, VantaTest, ComplianceFramework afin que chaque revue trimestrielle émette des instances typées interrogeables — répondant à « montrez-moi chaque point d'action ouvert depuis plus de 90 jours » ou « comment mfa-on-all-prod-accounts a-t-il évolué trimestre après trimestre » en une seule requête.
Personnaliser le chemin Vanta par tenant. Le workflow compliance-evidence-sync accepte un paramètre vantaBasePath ; remplacez-le au moment de la création de l'instance sans forker le manifeste.

Si vous forkez, changez le slug et package.id afin que la personnalisation de votre tenant n'entre pas en conflit avec l'exemple de la documentation.