Integrieren Sie mit Governance, Risk und ComplianceUm Anwendungsrisiken und -Steuerungen zu identifizieren

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer
  • Enterprise-Architektur(Früher Anwendungs-Portfoliomanagement) Integriert mit Governance, Risk und Compliance(GRC) zur Identifizierung und Bewertung von Risiken für Geschäftsanwendungen.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Mit der GRC-Anwendung können Sie die Risiken analysieren, die mit Assets wie Hardware, Software und Geschäftsanwendung verbunden sind. Sie können auch Steuerungen identifizieren und testen, die diesen Risiken zugeordnet sind, sowie sich die Audits ansehen, die für diese Assets durchgeführt wurden. Diese Analyse hilft den Anwendungsbesitzern, das Risiko der Geschäftsanwendung effektiv zu verstehen.

    Der Anwendungsbesitzer kann erhebliche Risiken und Compliance-Probleme identifizieren, denen die Geschäftsanwendungen ausgesetzt sind, ohne ein externes Auditsystem einbeziehen und die Anwendungen durch den Auditprozess ausführen zu müssen.

    Aktivieren Sie die folgenden Plugins zur Integration Enterprise-ArchitekturMit GRC.

    Prozedur

    1. Navigieren zu Alle > Systemdefinition > Pluginsan.
    2. Installieren Sie das Plugin GRC: GRC-Profilabhängigkeiten (com.snc.grc_profile_dep).
    3. Installieren Sie das Plugin „GRC: Lieferantenrisikomanagement-Abhängigkeiten“ (com.snc.grc_vrm_dep).
    4. Installieren Sie das Plugin „GRC: Richtlinien- und Compliance-Management-Abhängigkeiten“ (com.snc.grc_policy_dep).

      Dies erfordert auch die Installation der App-Compliance von ServiceNowApp Store.

      Hinweis:
      Die Integration erfordert auch bestimmte Anwendungen, die über installiert werden sollten ServiceNowApp Store. Siehe Fordern Sie Apps im Store an Für Anweisungen zum Herunterladen und Aktivieren.

    Nächste Maßnahme

    Erstellen Sie eine Entität, die auf die Geschäftsanwendung verweist . Hängen Sie die Entität an ein Audit an.

    Erstellen Sie eine Entität für Audits, die auf die Geschäftsanwendung verweist

    Erstellen Sie eine Entität mit Verweis auf die Geschäftsanwendungstabelle und ihren spezifischen Anwendungsdatensatz. Verwenden Sie die Entität, um das Risiko einzugrenzen und Risikobewertungen für Geschäftsanwendungen durchzuführen.

    Vorbereitungen

    Erforderliche Rolle: sn_Audit.admin oder sn_Audit.Manager

    Warum und wann dieser Vorgang ausgeführt wird

    GRC verwendet den Begriff, Entität , Anstelle von Profil. Eine Entität kann alles sein, z. B. eine Datenbank, ein Server oder eine Geschäftsanwendung, die geprüft werden kann.

    Prozedur

    1. Navigieren zu Alle > Audit > Umfangsdefinition > Alle Entitätenan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie im Formular die Felder aus.
      Feldinformationen finden Sie unter Entitätsformular.
    4. Klicken Sie auf Absenden.

    Ordnen Sie der Entität ein Risiko zu

    Hängen Sie die Entität an ein Risiko an, und erstellen Sie einen Risikodatensatz. Bewerten und identifizieren Sie Risiken, die sich nachteilig auf Ihre Geschäftsanwendungen auswirken können.

    Vorbereitungen

    Erforderliche Rolle: sn_Risk.admin und sn_Risk.Manager

    Prozedur

    1. Navigieren zu Alle > Risiko > Risikoregister > Alle Risikenan.
    2. Erstellen Sie ein Risiko im Formular „Risiko“.

      Siehe: Erstellen Sie manuell ein Risiko .

      Hinweis:

      Verknüpfen Sie das Risiko mit der Entität in Entität Feld.

    Fügen Sie einer Interaktion eine Geschäftsanwendungsentität hinzu

    Die Entitäten werden für die Audit-Interaktion bewertet und ausgewertet. Danach werden die Entitäten, die für die Audit-Interaktion festgelegt und validiert sind, einem Audit zugeordnet.

    Vorbereitungen

    Erforderliche Rolle: sn_Audit.Manager oder sn_Audit.admin

    Um einer Interaktion eine Geschäftsanwendungsentität hinzuzufügen, müssen Sie eine Entität erstellt haben, die auf die Geschäftsanwendung in verweist Entität Feld des Entitätsformulars. Siehe: Erstellen Sie eine Entität für Audits, die auf die Geschäftsanwendung verweist .

    Prozedur

    1. Navigieren zu Alle > Audit > Interaktionen > Alle Interaktionenan.
    2. Klicken Sie auf, um die Geschäftsanwendungsentität der Interaktion hinzuzufügen Hinzufügen Schaltfläche in Entitäten Zugehörige Liste.
      Hinweis:
      Die Interaktion muss sich in befinden Umfang Oder Validieren status.

      Siehe: Fügen Sie einem Interaktionsbereich Profile hinzu .

      Wenn ein Anwendungsprofil an eine Interaktion angehängt ist, wird in der Tabelle „Profil zu Interaktionen“ [sn_audit_m2m_profile_engagement] ein Interaktionsdatensatz mit dem zugehörigen Profil erstellt.

    Fügen Sie der Geschäftsanwendungsentität eine Kontrolle hinzu

    Ordnen Sie einer Geschäftsanwendungsentität eine Steuerung zu, die gefährdet sein könnte. Es ist obligatorisch, dass Sie eine effektive Kontrolle für die Geschäftsanwendungen festlegen, um Risiken zu minimieren und Ihr Unternehmen zu schützen. Während Sie ein Upgrade Ihrer Geschäftsanwendungen durchführen, können Sie Ihre veralteten Steuerungen ersetzen.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Sie müssen eine Entität erstellt haben, bevor Sie ihr ein Steuerelement zuordnen. Steuerungen werden in GRC erstellt.

    Prozedur

    Informationen zum Erstellen einer Steuerung und Hinzufügen einer Entität zur Steuerung finden Sie unter Erstellen Sie eine Steuerung .
    • Die Entität, die Sie aus der Tabelle „Steuerungen“ [sn_Compliance_Control] auswählen, muss eine Geschäftsanwendung und die Entität sein Klasse Des Datensatzes muss Anwendung sein.
    • Der Kontrolldatensatz kann sich entweder in befinden Entwurf Oder Stillgelegt status. Steuerungen in solchen status sind jedoch in nicht sichtbar Enterprise-Architektur(Früher Anwendungs-Portfoliomanagement) Soll einer Geschäftsanwendung zugeordnet werden.

    Ansicht Governance, Risk und ComplianceRisiken und Interaktionen für die Geschäftsanwendung

    Als Anwendungsbesitzer können Sie die Risiken anzeigen, denen eine Geschäftsanwendung ausgesetzt ist. Governance, Risk und Compliance (GRC) Audits der Geschäftsanwendungsentität, und die auditierten Risiken und Interaktionen werden als skriptbezogene Listen im Formular „Geschäftsanwendung“ erfasst.

    Vorbereitungen

    Erforderliche Rolle: sn_apm.apm_user, sn_apm.business_stakeholder_apm_user

    Prozedur

    1. Navigieren zu Alle > Enterprise-Architektur > Anwendungsportfolio > Alle Geschäftsanwendungenan.
    2. Klicken Sie Auf GRC-Risiken Zugehöriges Element.
    3. Zeigen Sie den Namen der Risikobeschreibung, ihre Beschreibung, die Risikokategorie (rechtlich, finanziell, operativ usw.), die inhärente Auswirkung, die das Risikostufe angibt, und die inhärente Wahrscheinlichkeit an, die die Wahrscheinlichkeit des Eintretens des Risikos angibt.
    4. Klicken Sie Auf Interaktionen Zugehöriges Element.
    5. Zeigen Sie den Namen der Interaktion, den Anwender, dem sie zugewiesen ist, den Status, in dem sich die Interaktion befindet, das geplante Startdatum, an dem die Aktivität beginnen soll, ihr Enddatum, den Prozentsatz der abgeschlossenen Interaktion und die tatsächlichen Kosten der Interaktion an.
    6. Klicken Sie Auf Steuerungen Zugehöriges Element.
    7. Zeigen Sie den Namen der Steuerung, ihren Besitzer, den Status der Kontrolle, ob sie konform ist oder nicht, die Klassifizierung der Kontrolle, ob sie vorbeugend, korrigierend oder erkennend ist, und die Nachweishäufigkeit an, mit der die geplante Aufgabe ausgeführt wird.
    8. Klicken Sie in der zugehörigen Liste „GRC-Risiken“ neben einem Risikodatensatz auf den Pfeil für hierarchische Listen anzeigen/ausblenden, um alle Steuerungen anzuzeigen, die Sie dem Risiko der Geschäftsanwendung zugeordnet haben.

      Wenn Sie einem Risiko eine Kontrolle zuordnen, wird die Steuerung mit dem zugehörigen Risiko in der Tabelle „Risiko zu Steuerung“ [sn_risk_m2m_risk_control] erstellt.

      Abbildung : 1. Steuerungen, die einem Risiko zugeordnet sind
      Steuerungen, die dem Risiko zugeordnet sind