ポリシーはコンプライアンスを確保し、リスクへのエクスポージャーを削減します。ポリシーには、ポリシー、手順、標準、計画、チェックリスト、フレームワーク、テンプレートなど、さまざまなタイプがあります。ポリシーの公開は、ポリシーの承認プロセスの中で行います。

ポリシーを作成すると、ポリシーは [ドラフト] ステータスになり、ポリシーに関するすべての必要な情報が定義され、レコードにキャプチャされます。キャプチャする必要な情報は、ポリシーのプロセスフローを促進する属性です。

ポリシーレコードのライフサイクルの過程には、さまざまな状況があります。このライフサイクルは、レコードの現在地を把握し、その進捗状況を表示するように設計されています。各ステータスには一連の具体的な関連アクティビティがあり、それを完了すると次のステータスに移行します。必要に応じて、ポリシーが前のステータスに移行することもあります。この前のステータスは、現在のステータスに従って構成および識別されます。

ドラフト

コンプライアンスアドミニストレーター、コンプライアンスマネージャー、またはコンプライアンスユーザーが、ポリシーを作成して、その関連情報を定義およびキャプチャできます。この [ドラフト] ステータスでは、[レビュー] ステータスでポリシーを編集できるレビュー担当者と、ポリシーを承認できる承認者が識別されます。既存のコントロール目標をポリシーに追加することも、新しいコントロール目標を作成することもできます。各ポリシーには有効期限があり、その期間内でポリシーが更新、レビュー、再公開、または廃止されます。このステータスでは、ポリシーに対して実行できるアクションは、更新、レビュー準備完了、および削除です。

レビュー

ポリシーレビュー担当者だけが、このステータスのポリシーを更新して、すべての規制要件を満たしていることを確認できます。コントロール目標、それに関連するエンティティ、コントロール、および引用をレビューし、情報を追加したり、不要なマッピングを削除したり、新しいコントロール目標を作成したりします。レビュー担当者は、ポリシーが要件を満たしていない場合、またはさらに詳しい情報が必要な場合に、ポリシーを [ドラフト] ステータスに戻すことができます。さらにレビュー担当者は、ポリシーの承認を要求したり、不要になった場合に削除したりすることもできます。

承認待ち

ポリシー承認者がポリシーにアサインされている場合、ポリシーは [承認待ち] ステータスに移行します。そうでない場合は、[公開済み] ステータスに移行します。このステータスでは、承認者がポリシーを削除することもできます。[承認待ち] ステータスでは、ポリシー承認タスクが作成されて承認者にアサインされます。タスクは [要求済み] 状況ですが、承認者はそれを次のいずれかの状況に変更できます。

• 要求済み
• 承認済み
• 却下
• キャンセル
• 不要

公開

ポリシーが [公開] ステータスに移行すると、ナレッジベース記事が自動的に生成されます。ポリシーは、ポリシーにマッピングされたコントロールを通じて、すべてのユーザーに対してそのポリシーのガイドラインと要件に従うことを義務付けます。このステータスでは、ポリシーを [レビュー]、[廃止]、または [削除] に戻すこともできます。

廃止

ポリシーは、不要になった場合、またはビジネス上の目的を果たさなくなった場合に廃止できます。作成されたナレッジベース記事は削除されますが、ポリシーは監査目的で廃止ステータスのままになります。ポリシーが再度必要になった場合は、[ドラフト] ステータスに戻し、ポリシーのライフサイクルを再開することができます。