애플리케이션 위험 및 통제 식별을 위한 통합 거버넌스, 리스크 및 컴플라이언스

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 소요 시간: 5분

    • 엔터프라이즈 아키텍처 (이전 애플리케이션 포트폴리오 관리) (GRC)와 거버넌스, 리스크 및 컴플라이언스 통합하여 비즈니스 애플리케이션의 위험을 식별하고 평가합니다.

    시작하기 전에

    필요한 역할: admin

    이 태스크 정보

    GRC 애플리케이션을 사용하여 하드웨어, 소프트웨어 및 비즈니스 애플리케이션과 같은 자산과 관련된 위험을 분석할 수 있습니다. 또한 이러한 위험과 관련된 통제 수단을 식별하여 테스트할 수 있을 뿐만 아니라 해당 자산에 대해 수행된 감사를 살펴볼 수도 있습니다. 이 분석은 애플리케이션 소유자가 비즈니스 애플리케이션의 위험을 효과적으로 이해하는 데 도움이 됩니다.

    애플리케이션 소유자는 외부 감사 시스템에 참여하고 감사 프로세스를 통해 애플리케이션을 실행할 필요 없이 비즈니스 애플리케이션에 노출된 중요한 위험 및 규정 준수 문제를 식별할 수 있습니다.

    GRC와 통합 엔터프라이즈 아키텍처 하려면 다음 플러그인을 활성화합니다.

    프로시저

    1. 다음으로 이동 모두 > 시스템 정의 > 플러그인.
    2. GRC: GRC 프로파일 종속성(com.snc.grc_profile_dep) 플러그인을 설치합니다.
    3. GRC: Vendor Risk Management Dependencies(com.snc.grc_vrm_dep) 플러그인을 설치합니다.
    4. GRC: 정책 및 준수 관리 com.snc.grc_policy_dep(종속성) 플러그인을 설치합니다.

      또한 앱 스토어에서 ServiceNow app-compliance를 설치해야 합니다.

      주:
      통합에는 앱 스토어에서 설치해야 하는 특정 애플리케이션도 필요합니다.ServiceNow 앱 다운로드 및 활성화 지침은 스토어에서 앱 요청 을 참조하세요.

    다음에 수행할 작업

    비즈니스 애플리케이션을 참조하는 엔터티를 생성합니다. 감사에 엔터티를 첨부합니다.

    비즈니스 애플리케이션을 참조하는 감사를 위한 엔터티 생성

    비즈니스 애플리케이션 테이블과 해당 특정 애플리케이션 기록을 참조하는 엔터티를 생성합니다. 엔터티를 사용하여 위험 노출의 범위를 지정하고 비즈니스 애플리케이션에 대한 위험 평가를 수행합니다.

    시작하기 전에

    필요한 역할: sn_audit.admin 또는 sn_audit.manager

    이 태스크 정보

    GRC는 프로파일 대신 엔터티라는 용어를 사용합니다. 엔터티는 감사할 수 있는 데이터베이스, 서버 또는 비즈니스 애플리케이션과 같은 모든 것이 될 수 있습니다.

    프로시저

    1. 다음으로 이동 모두 > 감사 > 범위 지정 > 모든 개체.
    2. 새로 만들기를 클릭합니다.
    3. 양식의 필드에 내용을 입력합니다.
      필드 정보는 엔터티 양식 문서를 참조하십시오.
    4. 제출을 클릭합니다.
      자세한 내용은 다음을 참조하십시오.

    엔터티에 위험 연결

    엔터티를 위험에 연결하고 위험 기록을 생성합니다. 비즈니스 애플리케이션에 부정적인 영향을 미칠 수 있는 위험을 평가하고 식별합니다.

    시작하기 전에

    필요한 역할: sn_risk.admin 및 sn_risk.manager

    프로시저

    1. 다음으로 이동 모두 > 위험 > 위험 등록 > 모든 위험.
    2. 위험 양식에서 위험을 생성합니다.

      참조: 수동으로 위험 생성.

      주:

      엔터티 필드에서 위험을 엔터티와 연관시킵니다.

    계약에 비즈니스 애플리케이션 엔터티 추가

    감사 계약을 위해 엔터티를 평가하고 평가합니다. 그 후에는 감사 참여 범위가 지정되고 확인된 엔터티가 감사에 연결됩니다.

    시작하기 전에

    필요한 역할: sn_audit.manager 또는 sn_audit.admin

    계약에 비즈니스 애플리케이션 엔터티를 추가하려면 엔터티 양식의 엔터티 필드에서 비즈니스 애플리케이션을 참조하는 엔터티를 생성해야 합니다. 참조: 비즈니스 애플리케이션을 참조하는 감사를 위한 엔터티 생성.

    프로시저

    1. 다음으로 이동 모두 > 감사 > 참여 > 모든 계약.
    2. 계약에 비즈니스 애플리케이션 엔터티를 추가하려면 엔터티 관련 목록에서 추가 버튼을 클릭합니다.
      주:
      계약은 범위 또는 확인 상태여야 합니다.

      참조: 계약 범위에 프로파일 추가.

      애플리케이션 프로파일이 계약에 연결되면 연결된 프로파일이 있는 계약 기록이 계약에 대한 프로파일[sn_audit_m2m_profile_engagement] 테이블에 생성됩니다.

    비즈니스 애플리케이션 엔터티에 통제 추가

    위험에 처해 있을 수 있는 비즈니스 애플리케이션 엔터티에 통제를 연결합니다. 위험을 완화하고 비즈니스를 보호하려면 비즈니스 애플리케이션에 대한 효과적인 통제를 설정해야 합니다. 비즈니스 애플리케이션을 업그레이드할 때 오래된 통제를 바꿀 수 있습니다.

    시작하기 전에

    필요한 역할: admin

    통제를 연결하기 전에 엔터티를 생성해야 합니다. 통제는 GRC에서 생성됩니다.

    프로시저

    컨트롤을 만들고 컨트롤에 엔터티를 추가하려면 컨트롤 만들기를 참조하세요.
    • 통제 [sn_compliance_control] 테이블에서 선택하는 엔터티는 비즈니스 애플리케이션이어야 하며 기록의 엔터티 클래스 는 애플리케이션이어야 합니다.
    • 통제 기록은 초안 또는 폐기됨 상태일 수 있습니다. 그러나 이러한 상태의 통제는 비즈니스 애플리케이션에 연결되었을 (이전애플리케이션 포트폴리오 관리)에서 엔터프라이즈 아키텍처 표시되지 않습니다.

    비즈니스 애플리케이션에 대한 위험 및 참여 보기 거버넌스, 리스크 및 컴플라이언스

    애플리케이션 소유자는 비즈니스 애플리케이션이 노출된 위험을 볼 수 있습니다. 거버넌스, 리스크 및 컴플라이언스 (GRC)는 비즈니스 애플리케이션 엔터티를 감사하고 감사된 위험과 참여는 비즈니스 애플리케이션 양식에서 스크립팅된 관련 목록으로 캡처됩니다.

    시작하기 전에

    필요한 역할: sn_apm.apm_user, sn_apm.business_stakeholder_apm_user

    프로시저

    1. 다음으로 이동 모두 > 엔터프라이즈 아키텍처 > 애플리케이션 포트폴리오 > 모든 비즈니스 애플리케이션.
    2. GRC 위험 관련 항목을 클릭합니다.
    3. 위험 설명의 이름, 설명, 위험 범주(법률, 재무, 운영 등), 위험 수준을 나타내는 고유 영향 및 위험 발생 가능성을 나타내는 고유 가능성을 봅니다.
      참조: 위험, 위험 설명 및 위험 프레임워크 관리
    4. 약속 관련 항목을 클릭합니다.
    5. 계약 이름, 계약이 할당된 사용자, 계약 상태, 활동을 시작해야 하는 계획된 시작 날짜, 종료 날짜, 완료된 계약 비율 및 계약의 실제 비용을 봅니다.
      참조: 참여 관리
    6. 통제 관련 항목을 클릭합니다.
    7. 통제 이름, 소유자, 통제 상태, 준수 여부, 통제 분류(예방, 수정 또는 탐지)를 확인하고 예약된 작업이 실행되는 증명 빈도를 봅니다.

      참조: 통제 관리

    8. GRC 위험 관련 목록에서 위험 기록 옆에 있는 계층 구조 목록 표시/숨기기 화살표를 클릭하여 비즈니스 애플리케이션의 위험에 연결한 모든 통제를 봅니다.

      통제를 위험에 연결하면 연관된 위험과 연관된 위험이 있는 통제가 통제에 대한 위험[sn_risk_m2m_risk_control] 테이블에 생성됩니다.

      그림 1. 위험과 관련된 통제
      위험에 연결된 통제