コンプライアンスワークスペースを使用してコントロールを作成

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:8分

    • ポリシーをエンティティタイプに関連付けるか、エンティティタイプをコントロール目標に関連付けるか、またはエンティティをコントロール目標に追加すると、コントロールが自動的に生成されます。コントロールは、コントロール目標のエンティティタイプにリストされている各エンティティに対して作成されます。コントロールは コンプライアンスワークスペースを使用して手動で作成することもできます。

    始める前に

    必要なロール:sn_compliance_ws.corporate_compliance_analyst、sn_compliance_ws.corporate_compliance_manager、sn_compliance_ws.it_compliance_manager

    手順

    1. 移動先 すべて > ポリシーとコンプライアンス > コンプライアンスワークスペース.
    2. [作成] リストを選択し、[コントロール] をクリックします。
    3. フォームで、フィールドに入力します。
      表 : 1. 新しいコントロールを作成フォーム
      フィールド 説明
      番号 一意の識別番号。
      名前 コントロールの名前。
      エンティティ 関連エンティティ。
      注:
      エンティティのステータスを [廃止] ステータスから [アクティブ] に変更すると、エンティティに対して手動で作成されたコントロールも [ドラフト] ステータスに移行します。
      ステータス コントロールステータス。利用可能な選択肢は次のとおりです。
      • 準拠
      • 非準拠
      • 適用外
      コントロール目標から継承 アイテム生成プロセスを通じてコントロールを作成するかどうかを示すオプション。詳細については、「一意のエンティティとコントロール目標の組み合わせに対する複数のコントロール」を参照してください。
      状況 コントロールステータス。利用可能な選択肢は次のとおりです。
      • [ドラフト] このステータスでは、すべてのコンプライアンスユーザーがコントロールを変更できます。ワンオフコントロールを作成する場合のみ利用できます。ワンオフコントロールは可能ですが、推奨されません。
      • [証明] コントロールがコントロール目標から作成された場合、コントロールはこのステータスになります。
        注:
        コントロールをドラフトに戻すと、証明書はキャンセルされます。
      • [レビュー] コントロールは、証明書フェーズからレビューに自動的に移行されます。
      • [監視] このステータスでは、すべてのコンプライアンスマネージャーがコントロールをレビューから監視に移動できます。
      • [廃止] コンプライアンスマネージャーまたはアドミニストレーターは、コントロールを [監視] から [廃止] に移動できます。
        注:
        コントロールが廃止された場合:
        • 関連するインジケーターが実行されない
        • 関連付けられている証明書がキャンセルされる
        • 関連付けられているコントロール目標を変更してもコントロールが更新されない
      キーコントロール コントロールがキーコントロールであることを示すインジケーター。
      免除 コントロールを免除としてマークします。
      コントロール目標 関連コントロール目標。

      共通コントロールを作成する場合は、コントロール目標を選択する必要があります。
      サブスクリプションの適用 オプションのリスト:
      • 必須
      • 任意
      関数 読み取り専用関数フィールド。作成されたすべてのコントロールは、デフォルトでは [標準コントロール] です。コントロールを共通コントロールに変換すると、値が [共通コントロール] に変わります。
      重み リスクのコントロール失敗要因を計算するために使用される重み付け。重み付けは 1 ~ 10 で設定します。
      周期 コントロールがテストされる頻度。このフィールドは、コントロールのテストとレポートを目的としていますオプションのリスト:
      • イベント駆動型
      • 日次
      • 週次
      • 月次
      • 四半期ごと
      • 半年ごと
      • 年次
      注:
      コントロールの [頻度] フィールドとエンティティの [証明書頻度] フィールドの違いについては、KB0694607 を参照してください。
      カテゴリ オプションのリスト:
      • 施設、技術、サービスの取得または販売
      • 監査およびリスク管理
      • コンプライアンスおよびガバナンスのスタイルマニュアル
      • ヒューマンリソース (HR) 管理
      • リーダーシップおよび高いレベルの達成目標
      • モニタリングおよび測定
      • 運用管理
      • 物理的保護および環境保護
      • 情報およびデータのプライバシー保護
      • レコード管理
      • 構成管理によるシステムのハードニング
      • システム継続性
      • システム設計、ビルド、および実装
      • テクニカルセキュリティ
      • サードパーティおよびサプライチェーンの監督
      • ルート
      • 不使用
      タイプ オプションのリスト:
      • 資産またはサービスの取得/販売
      • アクション可能なレポートまたは測定
      • 監査およびリスク管理
      • 動作
      • ビジネスプロセス
      • 連絡
      • 設定 (Configuration)
      • データおよび情報管理
      • 複製
      • ロールの設定
      • ドキュメントの作成/維持管理
      • ヒューマンリソース (HR) 管理
      • 調査
      • IT インパクトゾーン
      • ログ管理
      • メンテナンス
      • 発生の監視および評価
      • 物理的保護および環境保護
      • プロセスまたはアクティビティ
      • レコード管理
      • システム継続性
      • システム設計、ビルド、および実装
      • テクニカルセキュリティ
      • テスト
      • トレーニング
      分類 オプションのリスト:
      • 予防
      • 是正
      • 探知
      • IT インパクトゾーン
      説明 コントロールの説明。
      追加情報 コントロールに関する追加情報。
      アサイン
      所有グループ ポリシーを所有するグループ。
      所有者 ポリシーを所有するユーザー。
      注:
      オーナーは常に回答者として追加されます。選択したコントロールオーナーは、所有グループに属しています。
      証明書
      認証方法 デフォルトは [従来の証明書 (Classic attestation)] です。
      • 従来の証明書:コントロールアセスメントの従来の方法である ServiceNow AI Platform
      • 証明書:コントロールアセスメントを行う方法
      証明書

      オプションのリストから選択します。

      • 他の証明書タイプを構成できます。
      • このフィールドに値が入力されると、[証明書の回答者] フィールドが自動的に必須になり、オーナーが回答者になります。
      注:
      ユーザーがコントロール目標で証明書タイプを変更すると、関連するすべてのコントロールも変更されます。
      証明書の回答者
      • このコントロールの証明書にアサインされたユーザー。
      • sn_grc.user ロールを持つユーザーのみを応答者として追加できます。
      注:
      [証明書][証明書回答者] の両方のフィールドが設定されている場合、[証明書] をクリックすると証明書が作成されます。
      証明頻度 コントロールの証明書がトリガーされる頻度。フィールドで値が選択されていない場合、関連付けられたエンティティの [ 証明頻度 ] の値はデフォルトでこのフィールドに設定されます。
      証明頻度のオプション:
      • 日次
      • 週次
      • 月次
      • 四半期ごと
      • 半年ごと
      • 年次
      注:
      証明書が完了すると、コントロールは [レビュー] および [監視] 状況に移行します。その後、コントロールは証明書の次の期日について監視されます。証明書の 作成日 または最後に完了した証明書 の更新日に基づいて、コントロールの証明書の頻度をトリガーするオプションがあります。このオプションは Trigger control attestations based on the created or updated date of the last completed attestation システムプロパティの値に基づいています。
      アクティビティジャーナル
      追加コメント コントロールに関する公開情報。
    4. エンティティ 頻度 関連リンクのコピー を選択して、エンティティの 証明 頻度 フィールドの値をコントロールの証明 頻度 フィールドにコピーします。
      [ エンティティ頻度をコピー ] 関連リンクを選択すると、各エンティティの証明頻度がコントロールテーブルの [証明書] セクションの [証明 頻度 ] フィールドにコピーされ、コントロールテーブルの [頻度 ] フィールドは更新されません。
    5. [Save (保存)] をクリックします。
      コントロールが作成され、すべての関連リストが表示されます。

      共通コントロールを作成した場合は、コントロールの他の関連リストとともに、[依存エンティティ] および [依存エンティティタイプ] 関連リストがあります。[依存エンティティ] 関連リストを使用して、エンティティを共通コントロールに関連付けます。または、[依存エンティティタイプ] 関連リストを使用して、エンティティタイプのエンティティを 1 つずつ関連付ける代わりにエンティティのグループを追加することもできます。

      図 : 1. 共通コントロールの関連リスト
      エンティティを依存エンティティとして関連付けるための関連リスト。
      注:
      共通コントロールと依存エンティティの関連付けの詳細については、「標準コントロールを共通コントロールに変換 して、依存エンティティを追加」を参照してください。
    6. [概要] ページで、[問題] をクリックします。
      作成したコントロールに 1 つ以上の関連する既存の問題を追加できます。既存の問題をコントロールにマッピングすることで、ドキュメントの未解決の問題の数を減らすことができます。

      コントロールに問題を追加すると、コントロールであるアイテムを問題に関連付けるレコードが、コントロールに対する問題 [sn_grc_m2m_issue_item] テーブルに作成されます。

      1. コントロールに問題を追加するには、[追加] ボタンをクリックします。
      2. [問題] ポップアップからコントロールに関連する問題を選択します。
      3. [追加] ボタンをクリックします。
        選択した問題が、関連する問題としてコントロールに追加されます。[新規] ボタンをクリックして、コントロールの問題を作成することもできます。
      4. コントロールに既に追加されている問題を削除するには、問題を選択して [削除] をクリックします。
        問題とコントロール間の関連レコードマッピングが、問題からアイテムテーブルから削除されます。
        注:
        コントロールが [廃止] ステータスの場合、[新規]、[追加]、[削除] などの UI アクションボタンは使用できません。