Executar avaliação de hierarquização de CRI para determinar o valor de camada da entidade

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 4 min. de leitura

    • Execute a avaliação de hierarquização de CRI para uma entidade para determinar seu nível. Com base na resposta ao questionário de CRI do avaliador, o status de conformidade de cada controle mapeado para uma pergunta é determinado e a pontuação de conformidade geral da entidade é calculada.

    Antes de Iniciar

    Função necessária: sn_compliance_ws.corporate_compliance_analyst

    Por Que e Quando Desempenhar Esta Tarefa

    O Cyber Risk Institute (CRI) se concentra na colaboração com clientes e reguladores do setor financeiro e simplifica os padrões na gestão de conformidade em organizações financeiras. Para reduzir os riscos, o CRI criou um perfil como Perfil de CRI que se baseia no conteúdo do NIST CSF v2.0.

    O conteúdo é baseado nas funções do NIST CSF v2.0, como identificar, proteger, detectar, responder, recuperar e controlar, que são chamadas como declarações de diagnóstico. Essas declarações são mapeadas para várias citações provenientes dos padrões do setor e generalizadas em objetivos de controle comuns. Quando as instituições financeiras cumprem essas declarações de diagnóstico, elas cumprem automaticamente todos os regulamentos e padrões impostos pelo setor financeiro.

    ServiceNow sistema base fornece este conteúdo de perfil de CRI para os clientes e eles são:
    A avaliação do CRI é composta por duas etapas:
    Avaliação de hierarquização de CRI
    Com o CRI, você pode hierarquizar sua organização com um conjunto prescritivo de perguntas que você faz para avaliar sua empresa. Com base nas suas respostas à avaliação, um valor de camada é atribuído à sua empresa, como Nível 1, Nível 2, Nível 3 ou Nível 4.
    Avaliação de CRI
    Depois que a avaliação de hierarquização de CRI for concluída e com base no estado de camada da sua empresa, você deverá concluir a segunda etapa, que é a avaliação de CRI, que determina o status de conformidade dos controles e a pontuação de conformidade geral da sua empresa.

    Procedimento

    1. Navegar até Todos > Políticas e conformidade > Espaço de conformidade.
    2. Selecione o ícone de listas ( Ícone de lista.).
    3. Na biblioteca de Conformidade da lista Documentos de autoridade no painel esquerdo, selecione um documento de autoridade com base no Perfil de CRI v2.0.
    4. Selecione a lista relacionada Citações para exibir as citações associadas ao documento de autoridade e selecione uma citação.
      Cada uma dessas citações tem um objetivo de controle associado a ela.
    5. Na página de visão geral do registro de citação, selecione a lista relacionada Objetivo de controle.
    6. Selecione um registro de objetivo de controle e clique na lista relacionada Citações para ver as citações relacionadas que são do Perfil do CSF v2.0 e do FFIEC.
      Você saberá como os registros são mapeados para o conteúdo do perfil de CSF v2.0. Você também tem o conteúdo para FFIEC CAT e NIST CSF v2.0 na biblioteca de Conformidade – Documentos de autoridade. Com esse conteúdo disponível, você pode executar a avaliação de hierarquização para sua empresa ou subsidiária.
    7. Na página Listas, selecione Todas as entidades e clique em um registro de entidade.
    8. Selecione a lista relacionada Detalhes do registro da entidade e clique no campo Classe para abrir o registro da empresa.
      Selecione qualquer classe de entidade em que a opção É CRI esteja habilitada para o perfil de risco de segurança cibernética (CRI) da empresa. Este sinalizador determina se esta classe é aplicável para avaliação de CRI. Qualquer entidade relacionada a esta classe está qualificada para a avaliação de hierarquização de CRI.
    9. Feche o registro da empresa e selecione a lista relacionada Detalhes da entidade.
    10. Insira os detalhes do nível na lista relacionada Perfil de risco de segurança cibernética (CRI).
      Para obter mais informações, consulte
      • O formulário Entidade em Criar uma entidade.
      • As Listas relacionadas na seção Entidades.
    11. Selecione o ícone de Mais ações e clique na opção de avaliação de hierarquização de CRI.
      Se você for o proprietário da entidade, poderá exibir esta opção de IU e iniciar a avaliação de hierarquização.

      Pop-up de avaliação de hierarquização de CRI.

    12. Insira uma mensagem no campo Mensagem e selecione o botão Avaliação de hierarquização no pop-up de avaliação de hierarquização do CRI.
      Depois de iniciar a avaliação de hierarquização, a lista relacionada de avaliações de hierarquização do CRI aparecerá no registro da Entidade.
    13. Selecione a lista relacionada Avaliações de hierarquização do CRI e clique no link da instância de avaliação.
      Você também pode responder à avaliação na lista Avaliações de camada da lista relacionada Minhas tarefas pendentes na página Tarefas. Revise as instruções de avaliação de hierarquização e responda às perguntas. Com base na sua resposta a cada pergunta, o nível de camada da entidade é determinado.

      Para responder a uma certificação, consulte Responder às certificações da página Tarefas do Espaço de conformidade e Como responder a avaliações.

    14. Depois de enviar sua avaliação, abra o registro da entidade para exibir o valor do nível no campo Camada da seção Perfil de risco de segurança cibernética (CRI).
      Além disso, com base no valor de camada, você também pode saber o número de controles gerados com base nos objetivos de controle provenientes do perfil de camada.
    15. Para exibir os controles mapeados para o valor de camada, selecione a lista relacionada Controles descendentes.
      Depois que o nível for determinado com base na avaliação de hierarquização, agora você pode executar a avaliação de CRI.