監視結果は、コントロール・モニタリング中に特定されたコンプライアンス・ファインディングや不足であり、セキュリティ・コントロールがすべきことと実際に行っていることとのギャップです。監視結果は、デザインの不足、運用の効果の問題、証拠のギャップなどから生じることがあります。GitLabのセキュリティ・チームは、これらの監視結果を識別から解決までのライフサイクル・プロセスを通じて管理し、リアルタイムのステータス・レポートを可能にしています。ライフサイクル・ステージには、識別、検証、進行中、是正、解決の5つがあります。効果的な監視結果管理には、所有権、ステータス、優先度などの基本的な情報を特定するために捜査が必要ないはずです。GitLabのセキュリティ・コンプライアンス・チームは、当初は専用のGRCツールを使用していましたが、主要なステークホルダーに対する可視性が不足しており、是正が最小限度に留まっていました。そこで、監視結果管理をGitLabのIssueに移行し、監視結果を可視的で実行可能な作業アイテムに変換し、開発と運用のワークフローに統合しました。このアプローチにより、透明性と責任が生まれ、ステークホルダーが注意を払う必要があるものを確認し、是正計画を協力して進め、リアルタイムで進捗状況を追跡することができます。チームは、ラベルとIssueボードを使用して監視結果を分類し、クリティカルなファインディングを優先し、認証に関する監視結果の解決を追跡しています。GitLabの生のIssueデータを活用することで、組織は監視結果管理の効果を測るための主要な指標やレポートを抽出することができます。