통제는 통제 목표의 특정 구현입니다. 폐기된 컨트롤은 목록에 표시되지 않습니다. 통제를 정의하기 전에 조직에서 중요한 통제를 합리화, 통합 및 정의하는 데 시간을 할애하십시오.
통제 합리화
모든 컨트롤을 대량으로 업로드하면 컨트롤 집합을 구체화하고 간소화할 수 있는 기회를 놓치게 됩니다. 비즈니스가 변화 하고 IT 데이터, 프로세스 및 기술이 향상됨에 따라 애플리케이션을 구현할 때 오래된 제어와 절차를 대체하십시오 GRC . 다음 사항을 고려하십시오.
이 통제가 비즈니스 목표에 어떤 영향을 미칩니까?
이 통제가 실제로 위험을 방지하거나 탐지합니까?
비즈니스를 더 잘 보호하기 위해 배치할 수 있는 다른 통제가 있습니까?
위험을 완화하면서 프로세스 오버헤드를 줄이고 IT 성능을 개선할 수 있는 통제 수단이 있습니까?
복잡한 통제를 더 간단하고 효과적인 통제로 대체할 수 있습니까?
주:
통제를 수동으로 정의하거나 통합 준수 프레임워크(UCF)에서 통제를 임포트하면 엔터티가 통제와 연결됩니다. 통제 양식의 필수 필드입니다. 그러나 UCF 이외의 소스에서 컨트롤을 가져오는 경우 연결된 엔터티가 없는 컨트롤이 발생할 수 있습니다. 컨트롤 폼으로 돌아가서 컨트롤에 엔터티를 추가하는 것이 중요합니다. 엔터티가 누락되면 계산에 신뢰할 수 없는 결과가 발생할 수 있습니다. 또한 비활성화된 엔터티가 있는 통제가 발견되면 해당 통제를 폐기해야 합니다.
통제 통합
통제를 통합할 기회를 찾습니다. 예를 들어, 프레임워크(예: SOX, GLBA 및 AML)의 여러 규제 기관에서 공통적이고 반복적인 제어를 측정할수 있습니다. 통제를 교차 매핑하고 중복되는 통제를 제거하여 각 규정에 대해 단일 통제를 여러 번 작동하지 않도록 합니다. 이 프로세스는 단일 통합 통제 집합 = 통제 프레임워크를 설정합니다. 통제의 상호 매핑을 수행하고 보존하는 것은 감사에 매우 중요합니다.그림 1. 산업 규정 및 요구사항이 중복됨
통제 및 비즈니스 규칙 정의
미리 정의하는 비즈니스 규칙은 나중에 구성 설정을 설정합니다GRC. 다음 작업을 수행할 준비를 하십시오.
통제 및 통제 소유자 식별
통제 테스트 및 예상 결과 정의
테스트 및 제어 빈도 설정
위험 식별: Impact 및 가능성
증명, 평가, 질문서 및 필요한 증거를 준비 합니다 .
가능성이 높은 사용 케이스(시스템 컨텐츠를 GRC 보거나 상호작용해야 하는 사람 및 목적)를 작성합니다.
권한이 부여된 소스를 정책, 절차, 통제 또는 위험에 매핑
엔터티 기반 액세스(EBA)
EBA는 엔터티와 연결된 개체에 대한 데이터 액세스를 관리하기 위한 보다 세분화된 접근 방식을 위한 프레임워크를 제공합니다. 관리자는 사용자 또는 사용자 그룹을 추가하거나 엔터티 기반 액세스 구성에 엔터티 사용자 필드를 사용하여 엔터티의 관련 기록에 대한 액세스 권한을 부여할 수 있습니다. 자세한 내용은 엔터티 기반 액세스 문서를 참조하십시오.
사용자가 이러한 구성을 기반으로 자격을 갖추고 필요한 최소 역할을 보유하면 다음 테이블에 액세스할 수 있습니다.
통제
증명
통제에 대한 정책 예외
EBA 규칙
엔터티 기반 액세스 구성 속성 페이지에서 엔터티 기반 기록 액세스 규칙을 사용하도록 설정하면 구성된 엔터티와 연결된 새 통제, 통제 증명, 표시기 및 표시기 작업은 해당 엔터티에서 엔터티 기반 액세스(EBA) 값을 자동으로 상속합니다. 이전에는 새 개체가 생성될 때마다 사용자가 대량 액세스 업데이트를 실행하여 EBA 제한을 적용해야 했습니다.
