Visão geral estrutural de Gestão de políticas e conformidade

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 7 min. de leitura

    • A visão geral estrutural de Gestão de políticas e conformidadepermite que você entenda como os diferentes módulos que compõem o. Gestão de políticas e conformidadeaplicação de ServiceNowintegrar e interagir uns com os outros.

    Figura 1. Visão geral estrutural dos módulos em Política e conformidade
    Gráfico do fluxo do processo estrutural dos módulos em Política e Conformidade. Para obter a descrição do texto, consulte as etapas no fluxo do processo.
    Documento de autoridade
    Gestão de políticas e conformidade a aplicação começa identificando documentos de autoridade. Esses documentos são regulamentos externos que incluem leis, regulamentos e padrões com os quais sua organização precisa estar em conformidade, que dependem do tipo de negócio que sua organização faz e de sua localização. Os requisitos regulatórios geralmente são publicados por agências regulatórias que fornecem requisitos descritos por lei ou por um determinado setor. Esses requisitos podem vir de regulamentos federais ou estaduais, como a Lei de Portabilidade e Responsabilidade de Seguro de Saúde (HIPAA), regulamentos internacionais, como o Regulamento Geral de Proteção de Dados (GDPR), ou regulamentos do setor, como o Setor de Cartão de Pagamento (PCI). Cada um desses documentos, como HIPAA, GDPR e PCI, é um documento de autoridade.

    Por exemplo, os padrões de segurança de dados do setor de cartões de pagamento (PCI DSS) são um padrão de segurança da informação e um documento de autoridade que se destina a reduzir a fraude com cartão de pagamento. Ele fornece um conjunto de padrões de segurança para todas as organizações que aceitam pagamentos com cartão de crédito. Os provedores de serviços financeiros devem cumprir os padrões PCI para evitar fraudes e proteger os dados do titular do cartão e garantir que seus serviços comerciais sejam seguros e legais.

    Citação
    Uma citação é uma passagem ou uma expressão de um documento de autoridade (por exemplo, Estrutura de conformidade unificada (UCF)) que sua empresa deve cumprir especificamente. É um requisito individual em um documento de autoridade. Por exemplo, criptografar a transmissão de dados do titular do cartão em redes públicas é um dos requisitos do PCI DSS para evitar o roubo de informações financeiras pessoais do consumidor por meio de transações com cartão de pagamento.

    As citações podem ser criadas manualmente ou importadas via UCF.

    Tipo de entidade
    O tipo de entidade é um agrupamento de entidades que correspondem a um conjunto de condições de filtro. Você pode gerar entidades automaticamente com base em uma consulta condicionada para qualquer tabela em sua instância. Por exemplo, considere um cliente que tem uma conta em um banco como um tipo de entidade. O cliente tem atributos como Nome, ID do cliente, tipo de conta, fonte de renda e outros, que são armazenados em uma tabela de informações do cliente, que pode ser consultada com base em qualquer um dos atributos.
    Entidade
    Uma entidade pode ser pessoas, departamentos, aplicações, objetos, servidores, equipamentos de rede externa, locais diferentes, servidores de dados, data warehouse - essencialmente qualquer coisa que você vai fazer um teste de controle e é de natureza política e conformidade. Por exemplo, uma pessoa que tem uma conta em um banco com um nome e informações financeiras relacionadas.

    As entidades são geradas automaticamente quando um tipo de entidade é criado.

    Política
    Após a identificação dos documentos de autoridade, as empresas desenvolvem políticas que especificam como a unidade de negócios cumpriria os documentos de autoridade. Em um nível alto, as declarações de política definem o que a empresa deve ou não fazer. Por exemplo, uma organização pode definir uma política de proteção de dados que defina os requisitos para proteger informações confidenciais do cliente. As políticas são documentos internos de uma organização e podem ser como uma política de firewall, política de rede, política de uso aceitável, segurança da informação, segurança de redes, proteção ambiental, e outros. Eles são uma agregação de diferentes controles e objetivos de controle que lidam com um aspecto específico do negócio.
    Confirmação da política
    O módulo de confirmação de política permite que os responsáveis pela política ou as equipes de conformidade enviem políticas para revisão e confirmação pelos funcionários para atender aos requisitos de conformidade.
    Exceção à política
    Isso permite que você tenha uma exceção em uma política. Por algum motivo, se você não puder cumprir uma política ou um controle, poderá registrar uma exceção.

    O módulo Exceção à política documenta qualquer situação em que a organização não pode seguir o controle documentado. A exceção à política tem seu próprio ciclo de vida e aprovações.

    Objetivo do controle
    Os objetivos de controle são objetivos específicos que os controles devem alcançar. Por exemplo, para garantir a política de proteção de dados, a empresa pode criar e manter uma rede segura. Para uma política de uso aceitável, pode haver um objetivo de controle para ter um proxy para manter o controle sobre os sites que os usuários estão visitando. Para uma política de rede, pode haver um objetivo de controle para ter senhas fortes.

    É por meio dos objetivos de controle que documentos e políticas de autoridade podem ser vinculados para aliviar a carga de conformidade – um objetivo de controle pode impor vários requisitos internos e externos. As citações também podem ser associadas a um ou mais objetivos de controle. Também está no nível do objetivo de controle que os controles e as políticas estão vinculados uns aos outros. Como alternativa, você pode consultar um objetivo de controle e ver os mapeamentos de volta para Documentos e políticas de autoridade que mostram por que você executa as ações indicadas nos objetivos.

    O módulo de objetivos de controle é o hub principal do Gestão de políticas e conformidadeaplicação. Embora os documentos de autoridade declarem os objetivos regulatórios e as políticas documentem o que a organização deve ou não fazer, os objetivos de controle definem exatamente como aderir a essas políticas e documentos de autoridade.

    Controle
    Um controle é uma implementação específica de um objetivo de controle. Por exemplo, para uma política de proteção de dados, a empresa pode garantir que os dados sejam copiados regularmente ou configurar um sistema de backup automatizado.

    Os controles são gerados automaticamente quando você associa uma política a um tipo de entidade ou um tipo de entidade a um objetivo de controle em que um controle é criado para cada entidade listada no tipo de entidade para o objetivo de controle. No entanto, os controles também podem ser criados manualmente. Os controles são testados para ver se são bem-sucedidos em atingir o objetivo de controle pretendido.

    Teste de controle
    Um controlo é posto à prova para garantir que é eficaz na realização do objetivo de controlo. Por exemplo, um teste de invasão garante a implementação adequada da criptografia de dados.
    Indicador
    Um indicador permite que você faça um teste nos controles, e os testes podem ser agendados diariamente, semanalmente, mensalmente ou trimestralmente. Uma tarefa de indicador é criada e enviada ao usuário para verificar se o controle está em conformidade e o indicador pode ser marcado como Aprovado ou Reprovado. Se a tarefa falhar, o controle não estará em conformidade e um problema será criado. Se o indicador passar no teste, o controle estará em conformidade até o próximo teste agendado.

    Os modelos de indicador permitem a criação de vários indicadores para controles semelhantes. O modelo de indicador define os parâmetros dos indicadores e é mapeado para a Declaração de risco ou o objetivo de controle de acordo com o tipo de indicador que ele monitora.

    Uma tarefa é criada sempre que o indicador é executado para coletar o resultado do indicador. Uma tarefa de indicador é criada de acordo com uma programação para garantir o monitoramento de acordo com uma frequência predefinida no formulário de indicador.

    Atestado
    Um atestado avalia o controle para monitorar continuamente sua conformidade. Ao contrário de um indicador, o atestado é principalmente ad hoc e pode não ser agendado.
    Ocorrência
    Se uma lacuna for identificada durante o teste de um controle, essa lacuna será denominada como um problema. Os problemas podem incluir observações operacionais de auditorias, violações de conformidade regulatória, violações de segurança ou outros resultados negativos. Ou, quando um teste de controle falha e não está em conformidade, um problema é criado. Os problemas podem ser compartilhados entre o. Gestão de políticas e conformidade, Gestão de riscose. Gestão de auditorias GRCaplicações. Você pode medir a eficácia do programa de gestão de riscos da sua empresa pela rapidez e integridade com que ele identifica e reage a problemas de risco e conformidade.
    Tarefa de correção
    Após a confirmação de um problema, a organização identifica as etapas necessárias para corrigir o problema. Para mitigar um risco, você pode criar uma tarefa de correção para rastrear o trabalho de correção. Se uma triagem tiver sido realizada, a ocorrência de triagem será convertida em uma ocorrência real ou evento de risco. Você também pode rastrear o problema como uma recomendação ou encerrá-lo como um não problema.