통제는 통제 목표의 특정 구현입니다. 폐기된 통제는 목록에 나타나지 않습니다. 통제를 정의하기 전에 조직의 중요한 통제를 합리화, 통합 및 정의하는 데 시간을 할애하십시오.
통제 합리화
모든 통제를 대량으로 업로드하면 통제 세트를 구체화하고 간소화할 기회를 놓치게 됩니다.
이 통제는 비즈니스 목표에 어떤 영향을 줍니까?
이 통제가 실제로 위험을 예방하거나 탐지합니까?
비즈니스를 더 잘 보호하기 위해 배치할 수 있는 다른 통제가 있습니까?
프로세스 오버헤드를 줄이고 IT 성능을 개선하는 동시에 위험을 완화할 수 있는 통제가 있습니까?
복잡한 통제를 더 간단하고 효과적인 통제로 대체할 수 있습니까?
비즈니스가 변화하고 IT 데이터, 프로세스 및 기술이 향상됨에 따라 오래된 통제 및 절차가 대체됩니다.
주:
수동으로 통제를 정의하거나 통합 준수 프레임워크(UCF)에서 통제를 임포트할 때 엔터티가 통제와 연결됩니다. 컨트롤 양식의 필수 필드입니다. 그러나 UCF 이외의 소스에서 통제를 임포트하는 경우 연결된 엔터티가 없는 통제가 발생할 수 있습니다. 통제 양식으로 돌아가서 통제에 엔터티를 추가하는 것이 중요합니다. 엔터티가 없으면 계산 결과에 신뢰할 수 없는 결과가 발생할 수 있습니다. 또한 사용하지 않도록 설정된 엔터티가 있는 통제가 발견되면 통제를 폐기해야 합니다.
통제 통합
통제를 통합할 수 있는 기회를 찾습니다. 프레임워크의 여러 규제 기관(예: SOX, GLBA, AML)에서 공통적이고 반복적인 통제를 찾습니다. 통제를 교차 매핑하고 중복 통제를 제거하여 각 규정에 대해 단일 통제를 여러 번 작동하지 않도록 합니다. 이 프로세스는 통합된 단일 통제 세트 = 통제 프레임워크를 설정하며, 통제의 교차 매핑을 수행하고 유지하는 것은 감사에 매우 중요합니다.그림 1. 산업 규정 및 요구 사항 중복
통제 및 비즈니스 규칙 정의
처음부터 정의한 비즈니스 규칙은 나중에 구성 설정을 설정합니다 GRC . 다음 사항을 준비해야 합니다.
통제 및 통제 소유자 식별
제어 테스트 및 예상 결과 정의
테스트 및 통제 빈도 설정
위험 식별: 영향 및 가능성
증명, 평가, 질문서 및 필수 증거 준비
가능성 있는 사용 사례(시스템과 GRC 상호작용하거나 시스템의 콘텐츠를 보아야 하는 사람 및 어떤 목적으로 필요한지) 작성
권한 있는 소스를 정책, 절차, 통제 및 위험에 매핑
통제 요구 사항
통제 목표에 통제 요구 사항 생성 옵션을 사용하도록 설정하면 엔터티 유형에서 생성된 모든 통제에 대해서도 통제 요구 사항이 자동으로 생성됩니다. 이전에는 엔터티 유형에 대한 통제만 생성되었습니다. 통제 요구 사항의 수는 통제 목표 요구 사항의 수와 같습니다.
통제 요구 사항 수준의 증명
통제 요구 사항 수준의 증명 기능을 사용하면 통제 내의 개별 통제 요구 사항에 대한 세분화된 수준에서 증명할 수 있습니다. 관리자는 요구 사항 수준 증명을 사용하도록 설정하고, 응답자를 할당하고, 각 통제 요구 사항에 대한 평가 작업을 생성할 수 있습니다. 그런 다음 응답자는 요구 사항의 구현 여부를 표시하고 필요에 따라 증거 또는 설명을 제공하여 요구 사항을 증명합니다. 실패한 증명은 자동으로 문제를 생성하고, 상위 통제를 규정 미준수로 표시하고, 상태를 연결된 엔터티 및 통제 목표로 롤업합니다.
엔터티 기반 액세스(EBA)
엔터티 기반 액세스는 엔터티와 연결된 객체에 대한 데이터 액세스 관리에 대한 보다 세부적인 접근 방식을 위한 프레임워크를 제공합니다. 관리자는 사용자 또는 사용자 그룹을 추가하거나 엔터티 기반 액세스 구성을 위해 엔터티 사용자 필드를 사용하여 엔터티의 관련 기록에 대한 액세스 권한을 부여할 수 있습니다. 자세한 내용은 문서를 참조하십시오. 사용자가 이러한 구성에 따라 자격을 부여하고 필요한 최소 역할을 갖는 경우 다음 테이블에 액세스할 수 있습니다.
제어
증명
통제에 대한 정책 예외
엔터티 기반 액세스(EBA) 규칙
엔터티 기반 액세스 구성 속성 페이지에서 엔터티 기반 기록 액세스 규칙을 사용하는 경우 구성된 엔터티와 연결된 새로 생성된 모든 통제, 통제 증명, 표시기 및 표시기 작업은 해당 엔터티에서 EBA(엔터티 기반 액세스) 값을 자동으로 상속합니다. 이전에는 새 개체가 생성될 때마다 사용자가 EBA 제한을 적용하기 위해 대량 액세스 업데이트를 실행해야 했습니다.