コントロールを作成
ポリシーをエンティティタイプに関連付ける場合、またはエンティティタイプをコントロール目標に関連付ける場合、コントロールは自動的に生成されます。コントロールは、コントロール目標のエンティティタイプにリストされている各エンティティに対して作成されます。コントロールは手動で作成することもできます。
始める前に
必要なロール:sn_compliance.admin または sn_compliance.manager
手順
- 移動先 すべて > ポリシーとコンプライアンス > コントロール > すべてのコントロール.
- [New] をクリックします。
-
フォームのフィールドに入力します。
表 : 1. コントロールフォーム フィールド 説明 名前 コントロールの名前。 番号 一意の識別番号。 エンティティ 関連エンティティ。 注:エンティティのステータスを [廃止] ステータスから [アクティブ] に変更すると、エンティティに対して手動で作成されたコントロールも [ドラフト] ステータスに移行します。コントロール目標から継承 アイテム生成プロセスを通じてコントロールを作成するかどうかを示すオプション。詳細については、「一意のエンティティとコントロール目標の組み合わせに対する複数のコントロール」を参照してください。 コントロール目標 関連コントロール目標。 所有グループ ポリシーを所有するグループ。 所有者 ポリシーを所有するユーザー。 注:オーナーは常に回答者として追加されます。選択したコントロールオーナーは、所有グループに属しています。キーコントロール コントロールがキーコントロールであることを示すインジケーター。 重み コントロールスコアの有効性の計算に使用される値。コントロールの重み付けに基づいて、コントロールスコアで有効性の値が計算されます。 ステータス コントロールステータス。利用可能な選択肢は次のとおりです。 - 準拠
- 非準拠
- 適用外
状況 コントロールステータス。利用可能な選択肢は次のとおりです。 - [ドラフト] このステータスでは、すべてのコンプライアンスユーザーがコントロールを変更できます。ワンオフコントロールを作成する場合のみ利用できます。ワンオフコントロールは可能ですが、推奨されません。
- [証明] コントロールがコントロール目標から作成された場合、コントロールはこのステータスになります。注:コントロールをドラフトに戻すと、証明書はキャンセルされます。
- [レビュー] コントロールは、証明書フェーズからレビューに自動的に移行されます。
- [監視] このステータスでは、すべてのコンプライアンスマネージャーがコントロールをレビューから監視に移動できます。
- [廃止] コンプライアンスマネージャーまたはアドミニストレーターは、コントロールを [監視] から [廃止] に移動できます。 注:コントロールが廃止された場合:
- 関連付けられているインジケーターが実行されない
- 関連付けられている証明書がキャンセルされる
- 関連付けられているコントロール目標を変更してもコントロールが更新されない
適用対象外 コントロールを免除としてマークします。 サブスクリプションの適用 オプションのリスト: - 必須
- 任意
カテゴリ オプションのリスト: - 施設、技術、サービスの取得または販売
- 監査およびリスク管理
- コンプライアンスおよびガバナンスのスタイルマニュアル
- ヒューマンリソース (HR) 管理
- リーダーシップおよび高いレベルの達成目標
- モニタリングおよび測定
- 運用管理
- 物理的保護および環境保護
- 情報およびデータのプライバシー保護
- レコード管理
- 構成管理によるシステムのハードニング
- システム継続性
- システム設計、ビルド、および実装
- テクニカルセキュリティ
- サードパーティおよびサプライチェーンの監督
- ルート
- 不使用
タイプ オプションのリスト: - 資産またはサービスの取得/販売
- アクション可能なレポートまたは測定
- 監査およびリスク管理
- 動作
- ビジネスプロセス
- 連絡
- 設定 (Configuration)
- データおよび情報管理
- 複製
- ロールの設定
- ドキュメントの作成/維持管理
- ヒューマンリソース (HR) 管理
- 調査
- IT インパクトゾーン
- ログ管理
- メンテナンス
- 発生の監視および評価
- 物理的保護および環境保護
- プロセスまたはアクティビティ
- レコード管理
- システム継続性
- システム設計、ビルド、および実装
- テクニカルセキュリティ
- テスト
- トレーニング
分類 オプションのリスト: - 予防
- 是正
- 探知
- IT インパクトゾーン
周期 コントロールがテストされる頻度。このフィールドは、コントロールのテストとレポートを目的としています。 オプションのリスト:- イベント駆動型
- 日次
- 週次
- 月次
- 四半期ごと
- 半年ごと
- 年次
注:[頻度] フィールドはレポートのみを目的としており、コントロールをテストまたは実行すると予想される頻度を定義します。証明書スケジュールには影響しません。ただし、[ 証明頻度 ] フィールドは、コントロールに対して証明書がトリガーされる頻度を制御します。証明書は、コントロールが [レビュー] または [監視] ステータスのときに、コントロール夜間証明書のスケジュール済みジョブによって開始されます。この分離により、顧客は証明書サイクルとは独立してコントロールテストを追跡できます。説明 コントロールの説明。 追加情報 コントロールに関する追加情報。 アサイン 所有グループ コントロールを所有するグループ。 所有者 コントロールを所有するユーザー。 証明書 証明書 オプションのリストから選択します。
- 他の証明書タイプを構成できます。
- このフィールドに値が入力されると、[証明書の回答者] フィールドが自動的に必須になり、オーナーが回答者になります。
注:ユーザーがコントロール目標で証明書タイプを変更すると、関連するすべてのコントロールも変更されます。証明書の回答者 - このコントロールの証明書にアサインされたユーザー。
- sn_grc.user ロールを持つユーザーのみを応答者として追加できます。
注:[証明書] と [証明書回答者] の両方のフィールドが設定されている場合、[証明書] をクリックすると証明書が作成されます。証明頻度 コントロールの証明書がトリガーされる頻度。フィールドで値が選択されていない場合、関連付けられたエンティティの [ 証明頻度 ] の値はデフォルトでこのフィールドに設定されます。 証明頻度のオプション。- 日次
- 週次
- 月次
- 四半期ごと
- 半年ごと
- 年次
注:証明書が完了すると、コントロールは [レビュー] および [監視] 状況に移行します。その後、コントロールは証明書の次の期日について監視されます。証明書の 作成日 または最後に完了した証明書 の更新日に基づいて、コントロールの証明書の頻度をトリガーするオプションがあります。このオプションは Trigger control attestations based on the created or updated date of the last completed attestation システムプロパティの値に基づいています。アクティビティジャーナル 追加コメント コントロールに関する公開情報。 アクセス設定 エンティティベースのアクセス制限 エンティティベースのアクセス制限が有効になっている場合、このコントロールに関連付けられたエンティティのアクセス構成に含まれるユーザーまたはユーザーグループのみがアクセスできます。 -
エンティティ 頻度 関連リンクのコピー を選択して、エンティティの 証明 頻度 フィールドの値をコントロールの証明 頻度 フィールドにコピーします。
[ エンティティ頻度をコピー ] 関連リンクを選択すると、各エンティティの証明頻度がコントロールテーブルの [証明書] セクションの [証明 頻度 ] フィールドにコピーされ、コントロールテーブルの [頻度 ] フィールドは更新されません。
- [Submit (送信)] を選択します。
次のタスク
コントロールを作成した後、コントロールを共通コントロールに変換し、依存エンティティと依存エンティティタイプを追加できます。詳細については、「共通コントロールのテスト、および複数の依存エンティティでの結果の実装」を参照してください。