En el pasado realicé la función de un auditor. (Por razones legales, no puedo llamarme auditor, pero la función fundamental de un auditor es comparar el comportamiento esperado con el comportamiento real, y eso es lo que hice). @Iszi tiene razón en que diferentes instituciones tendrán diferentes entendimientos de RACI. Si yo fuera un auditor que visitara sus instalaciones, el primer descubrimiento sería que su gerencia no ha descrito esa matriz de responsabilidad. En la auditoría tradicional, uno no hace responsables a las personas donde no hay una política. (La auditoría moderna basada en el riesgo puede funcionar de manera un poco diferente, pero creo que está fuera del alcance de esta pregunta).
Basado en la evidencia presentada, creo que estás en lo correcto. El documento de procedimiento debe describir el procedimiento para la auditoría del sistema, incluidos los eventos a auditar y el procedimiento para revisar los registros de auditoría. Si el objetivo es simplemente cumplir con un régimen de auditoría, eso es suficiente.
Si el objetivo es mejorar la seguridad, reducir la exposición de la organización al riesgo, disminuir el número de incidentes y disminuir el daño causado en cualquier incidente individual, entonces su organización debe ir más allá. Los procedimientos de auditoría de su sistema se basan en suposiciones sobre los activos que protege y las amenazas para ese activo. Las amenazas y los activos cambian con mayor frecuencia que los eventos. Su administración debe tener un mecanismo para actualizar los procedimientos de auditoría. La revisión de la auditoría no es un fin; Es una herramienta para reducir el riesgo, reducir la frecuencia y la gravedad de los incidentes. La gerencia debe establecer una revisión periódica de las actividades de auditoría y ajustar dichas actividades para respaldar mejor los objetivos comerciales de la organización.
(Reconozco que he usado el término "auditoría" en dos contextos y que podría ser confuso. Supongo que está escribiendo procedimientos para capturar y analizar los registros de eventos del sistema (auditoría del sistema). Esto es aparte de la auditoría externa y la revisión, que podría denominarse auditoría independiente)
Como dice @Iszi, cada organización será diferente, pero creo que en el caso general:
El personal de los administradores de sistemas / SOC es responsable de la revisión diaria / continua de los registros de auditoría tal como se describe en el documento de procedimiento que está escribiendo.
Los propietarios del sistema / la administración del sistema es responsable de los resultados de la auditoría (generalmente se mide como el tiempo para detectar un incidente, el% de incidentes detectados en la evidencia interna frente a la externa y el tiempo promedio para resolver un incidente). La administración también es responsable y responsable de administrar el proceso de auditoría, lo que incluye garantizar que los procedimientos de auditoría se actualicen para que coincidan con las necesidades comerciales.
Esto se complica un poco más si subcontratamos el monitoreo de seguridad a un SOC; El administrador / propietario del sistema aún debe ser responsable, pero tienen responsabilidad delegada. Si estuviera revisando un acuerdo de este tipo, buscaría un SLA para seguridad que incluyera el RACI que está buscando.