CRI 階層アンケートを実行して、エンティティの階層値を決定します

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:5分

    • エンティティに対して CRI 階層アンケートを実行してその階層を決定すると、その階層に関連付けられた評価コントロールが作成または更新されます。CRI アンケートへの査定人の回答に基づいて、質問にマップされた各コントロールのコンプライアンスステータスが決定され、エンティティの全体的なコンプライアンススコアが計算されます。

    始める前に

    必要なロール:sn_compliance_ws.corporate_compliance_analyst、sn_compliance_ws.corporate_compliance_manager、sn_compliance_ws.it_compliance_manager

    このタスクについて

    Cyber Risk Institute (CRI) は、金融セクターの顧客や規制当局との協力に重点を置き、金融機関におけるコンプライアンス管理の基準を合理化します。リスクを軽減するために、CRI は NIST CSF v2.0 コンテンツに基づくプロファイルを CRI プロファイルとして作成しました。

    コンテンツは、診断ステートメントとして呼び出される識別、保護、検出、応答、復旧、統制などの NIST CSF v2.0 の機能に基づいています。これらのステートメントは、業界標準からのさまざまな引用にマッピングされ、共通のコントロール目標として一般化されています。金融機関は、これらの診断ステートメントに準拠することで、金融セクターで施行されているすべての規制と基準に自動的に準拠できます。

    ServiceNow ベースシステム は、この CRI プロファイルコンテンツをお客様に提供し、以下が含まれます。
    CRI アセスメントは、次の 2 つのステップで行われます。
    CRI 階層アンケート
    CRI では、会社を評価するための規範的な一連の質問を使用して組織を階層化できます。アセスメントへの回答に基づいて、会社に階層値が割り当てられます。
    CRI プロファイルアセスメント
    CRI 階層アンケートが完了したら、会社の階層ステータスに基づいて、2 番目のステップである CRI プロファイルアセスメントを完了する必要があります。CRI プロファイルアセスメントでは、コントロールのコンプライアンスステータスと会社の全体的なコンプライアンススコアを決定します。

    手順

    1. 移動先 すべて > ポリシーとコンプライアンス > コンプライアンスワークスペース.
    2. リスト (リストアイコン) アイコンを選択します。
    3. 左ペインの [各種法令・基準等のコンプライアンスライブラリ (Compliance library of Authority documents)] リストから、CRI プロファイル v2.0 に基づいて各種法令・基準等を選択します。
    4. [引用] 関連リストを選択して、各種法令・基準等に関連付けられた引用を表示し、引用を選択します。
      これらの各引用には、コントロール目標が関連付けられています。
    5. 引用レコードの概要ページから、[コントロール目標] 関連リストを選択します。
    6. コントロール目標レコードを選択し、[引用] 関連リストをクリックして、CSF プロファイル v2.0 および FFIEC からの関連する引用を表示します。
      レコードが CSF プロファイル v2.0 コンテンツにどのようにマッピングされるかがわかります。また、コンプライアンスライブラリ - 各種法令・基準等に FFIEC CAT および NIST CSF v2.0 のコンテンツがあります。これらのコンテンツが利用可能になると、会社または子会社の階層アンケートを実行できます。
    7. [リスト] ページで [すべてのエンティティ] を選択し、エンティティレコードをクリックします。
    8. エンティティレコードの [詳細 ] 関連リストを選択し、[ クラス ] フィールドをクリックします。
      サイバーセキュリティリスクプロファイル (CRI) の [CRI である] オプションが有効になっているエンティティクラスを選択します。このフラグは、このクラスが CRI プロファイルアセスメントに適用可能かどうかを決定します。このクラスに関連するすべてのエンティティは、CRI 階層アンケートで評価を受ける権利があります。
    9. レコードを閉じ、エンティティの [詳細] 関連リストを選択します。
    10. [サイバーセキュリティリスクプロファイル (CRI)] 関連リストに階層の詳細を入力します。
      詳細については、次を参照してください。
      • エンティティの作成 のエンティティフォーム。
      • [エンティティ] セクション の関連リスト。
    11. [その他のアクション] アイコンを選択し、[CRI 階層アンケートを開始 (Initiate CRI tiering questionnaire)] オプションをクリックします。
    12. [メッセージ] フィールドにメッセージを入力し、[CRI 階層アンケート] ポップアップの [階層アンケートを開始] ボタンを選択します。
      階層アンケートを開始すると、 CRI 階層アンケート 関連リストがエンティティレコードに表示されます。
    13. [CRI 階層アンケート] 関連リストを選択し、アセスメントインスタンスのリンクをクリックします。
      [タスク] ページの [自分の処理待ちのタスク] 関連リストの [階層アセスメント ] リスト、および従業員ポータルからアセスメントに回答することもできます。階層アセスメント手順を確認し、質問に回答します。各質問への回答に基づいて、エンティティの階層レベルが決定されます。

      証明書に回答するには、「コンプライアンスワークスペース の [タスク] ページからの証明書に回答する」と「アセスメントに回答する」を参照してください。

    14. アセスメントを送信した後、エンティティレコードを開いて、[サイバーセキュリティリスクプロファイル (CRI)] セクションの [階層] フィールドの階層値を表示します。
      さらに、階層値に基づいて、階層プロファイルからのコントロール目標に基づいて生成されるコントロールの数を知ることもできます。
    15. 階層値にマッピングされたコントロールを表示するには、[ダウンストリームコントロール] 関連リストを選択します。
      階層アンケートに基づいて階層が決定されたら、 CRI プロファイルアセスメントを実行できます。