통제 관리

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 소요 시간: 1분
  • 통제는 통제 목표의 특정 구현입니다. 폐기된 통제는 목록에 나타나지 않습니다. 통제를 정의하기 전에 조직의 중요한 통제를 합리화, 통합 및 정의하는 데 시간을 할애하십시오.

    통제 합리화

    모든 통제를 대량으로 업로드하면 통제 세트를 구체화하고 간소화할 기회를 놓치게 됩니다. 비즈니스가 변화하고 IT 데이터, 프로세스 및 기술이 향상됨에 따라 애플리케이션을 구현할 때 오래된 통제 및 절차를 대체하십시오 GRC . 다음 사항을 고려하십시오.
    • 이 통제는 비즈니스 목표에 어떤 영향을 줍니까?
    • 이 통제가 실제로 위험을 예방하거나 탐지합니까?
    • 비즈니스를 더 잘 보호하기 위해 배치할 수 있는 다른 통제가 있습니까?
    • 프로세스 오버헤드를 줄이고 IT 성능을 개선하는 동시에 위험을 완화할 수 있는 통제가 있습니까?
    • 복잡한 통제를 더 간단하고 효과적인 통제로 대체할 수 있습니까?
    주:
    수동으로 통제를 정의하거나 통합 준수 프레임워크(UCF)에서 통제를 임포트할 때 엔터티가 통제와 연결됩니다. 컨트롤 양식의 필수 필드입니다. 그러나 UCF 이외의 소스에서 통제를 임포트하는 경우 연결된 엔터티가 없는 통제가 발생할 수 있습니다. 통제 양식으로 돌아가서 통제에 엔터티를 추가하는 것이 중요합니다. 엔터티가 없으면 계산 결과에 신뢰할 수 없는 결과가 발생할 수 있습니다. 또한 사용하지 않도록 설정된 엔터티가 있는 통제가 발견되면 통제를 폐기해야 합니다.

    통제 통합

    통제를 통합할 수 있는 기회를 찾습니다. 프레임워크의 여러 규제 기관(예: SOX, GLBA, AML)에서 공통적이고 반복적인 통제를 찾습니다. 통제를 교차 매핑하고 중복 통제를 제거하여 각 규정에 대해 단일 통제를 여러 번 작동하지 않도록 합니다. 이 프로세스는 통합된 단일 통제 세트 = 통제 프레임워크를 설정하며, 통제의 교차 매핑을 수행하고 유지하는 것은 감사에 매우 중요합니다.
    그림 1. 산업 규정 및 요구 사항 중복
    산업 규정 및 요구 사항 중복

    통제 및 비즈니스 규칙 정의

    처음부터 정의한 비즈니스 규칙은 나중에 구성 설정을 설정합니다 GRC . 다음 사항을 준비해야 합니다.
    • 통제 및 통제 소유자 식별
    • 제어 테스트 및 예상 결과 정의
    • 테스트 및 통제 빈도 설정
    • 위험 식별: 영향 및 가능성
    • 증명, 평가, 질문서 및 필수 증거 준비
    • 가능성 있는 사용 사례(시스템과 GRC 상호작용하거나 시스템의 콘텐츠를 보아야 하는 사람 및 어떤 목적으로 필요한지) 작성
    • 권한 있는 소스를 정책, 절차, 통제 및 위험에 매핑