Governance, Risk und Compliance zum Identifizieren von Anwendungsrisiken und für Steuerungen integrieren

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 4 Minuten Lesedauer

    • Enterprise Architecture (früher Anwendungs-Portfoliomanagement) ist in Governance, Risk und Compliance (GRC) integriert, um die Identifizierung und Bewertung von Risiken in Geschäftsanwendungen zu unterstützen.

    Vorbereitungen

    Erforderliche Rolle: admin

    Warum und wann dieser Vorgang ausgeführt wird

    Mit der GRC-Anwendung können Sie die Risiken im Zusammenhang mit Assets wie Hardware, Software und Geschäftsanwendungen analysieren. Sie können auch Steuerungen identifizieren und testen, die mit diesen Risiken verbunden sind, und sich die Audits ansehen, die für diese Assets durchgeführt wurden. Diese Analyse hilft den Anwendungsbesitzern, das Risiko der Geschäftsanwendung effektiv zu verstehen.

    Der Anwendungsbesitzer kann erhebliche Risiken und Compliance-Probleme identifizieren, denen die Geschäftsanwendungen ausgesetzt sind, ohne ein externes Audit-System aktivieren und die Anwendungen durch den Audit-Prozess führen zu müssen.

    Aktivieren Sie die folgenden Plugins, um Enterprise Architecture mit GRC zu integrieren.

    Prozedur

    1. Navigieren zu Alle > Systemdefinition > Plugins.
    2. Installieren Sie das Plugin „GRC: GRC Profile Dependencies“ (com.snc.grc_profile_dep).
    3. Installieren Sie das Plugin „GRC: Vendor Risk Management Dependencies“ (com.snc.grc_vrm_dep).
    4. Installieren Sie das Plugin „GRC: Policy and Compliance Management Dependencies“ (com.snc.grc_policy_dep).

      Dies erfordert auch die Installation von App-Compliance aus dem ServiceNow Store.

      Hinweis:
      Die Integration erfordert auch bestimmte Anwendungen, die aus dem ServiceNow Store installiert werden müssen. Anweisungen zum Herunterladen und Aktivieren von Apps im Store finden Sie unter Apps im Store anfordern.

    Nächste Maßnahme

    Erstellen Sie eine Entität, die auf die Geschäftsanwendung verweist. Hängen Sie die Entität an ein Audit an.

    Auf die Geschäftsanwendung verweisende Entität für Audit erstellen

    Erstellen Sie eine Entität mit Verweis auf die Geschäftsanwendungstabelle und ihren spezifischen Anwendungsdatensatz. Verwenden Sie die Entität, um das Risiko zu erfassen und Risikobewertungen für Geschäftsanwendungen durchzuführen.

    Vorbereitungen

    Erforderliche Rolle: sn_audit.admin oder sn_audit.manager

    Warum und wann dieser Vorgang ausgeführt wird

    GRC verwendet den Begriff Entität anstelle von Profil. Eine Entität kann alles sein, z. B. eine Datenbank, ein Server oder eine Geschäftsanwendung, für die ein Audit durchgeführt werden kann.

    Prozedur

    1. Navigieren zu Alle > Audit > Umfangsdefinition > Alle Entitäten.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder des Formulars aus.
      Weitere Informationen zu Feldern finden Sie unter Entitätsformular.
    4. Klicken Sie auf Absenden.
      Weitere Informationen finden Sie unter:

    Risiken der Entität zuordnen

    Hängen Sie die Entität an ein Risiko an und erstellen Sie einen Risikodatensatz. Bewerten und identifizieren Sie Risiken, die Ihre Geschäftsanwendungen beeinträchtigen können.

    Vorbereitungen

    Erforderliche Rolle: sn_risk.admin und sn_risk.manager

    Prozedur

    1. Navigieren zu Alle > Risiko > Risikoregister > Alle Risiken.
    2. Erstellen Sie ein Risiko im Formular „Risiko“.

      Siehe: Risiken manuell erstellen

      Hinweis:

      Stellen Sie eine Beziehung zwischen Risiko und Entität im Feld Entität her.

    Geschäftsanwendungsentitäten einer Interaktion hinzufügen

    Die Entitäten werden für Audit-Interaktionen bewertet. Danach werden die Entitäten, die für die Audit-Interaktion festgelegt und validiert sind, einem Audit zugeordnet.

    Vorbereitungen

    Erforderliche Rolle: sn_audit.manager oder sn_audit.admin

    Um einer Interaktion eine Geschäftsanwendungsentität hinzuzufügen, müssen Sie im Feld Entität des Entitätsformulars eine Entität erstellt haben, die auf die Geschäftsanwendung verweist. Siehe Auf die Geschäftsanwendung verweisende Entität für Audit erstellen.

    Prozedur

    1. Navigieren zu Alle > Audit > Interaktionen > Alle Interaktionen.
    2. Um die Geschäftsanwendungsentität der Interaktion hinzuzufügen, klicken Sie in der zugehörigen Liste Entitäten auf die Schaltfläche Hinzufügen.
      Hinweis:
      Die Interaktion muss den Status Umfang oder Validieren aufweisen.

      Siehe: Profile zu einem Interaktionsbereich hinzufügen.

      Wenn ein Anwendungsprofil an eine Interaktion angehängt wird, wird in der Tabelle „Profil zu Interaktionen“ [sn_audit_m2m_profile_engagement] ein Interaktionsdatensatz mit dem zugehörigen Profil erstellt.

    Steuerung einer Geschäftsanwendungsentität hinzufügen

    Weisen Sie einer Geschäftsanwendungsentität, die möglicherweise gefährdet ist, eine Steuerung zu. Es ist obligatorisch, dass Sie eine effektive Steuerung für die Geschäftsanwendungen festlegen, um Risiken zu minimieren und Ihr Unternehmen zu schützen. Während Sie Ihre Geschäftsanwendungen aktualisieren, können Sie Ihre veralteten Steuerungen ersetzen.

    Vorbereitungen

    Erforderliche Rolle: admin

    Sie sollten eine Entität erstellt haben, bevor Sie ihr eine Steuerung zuordnen. Steuerungen werden in GRC erstellt.

    Prozedur

    Informationen zum Erstellen einer Steuerung und zum Hinzufügen einer Entität zur Steuerung finden Sie unter Steuerung erstellen.
    • Die Entität, die Sie aus der Tabelle „Steuerungen“ [sn_compliance_control] auswählen, muss eine Geschäftsanwendung sein und die Entitätsklasse des Datensatzes muss „Anwendung“ sein.
    • Der Steuerungsdatensatz kann sich entweder im Status Entwurf oder Deaktiviert befinden. Steuerungen in solchen Status sind jedoch nicht in Enterprise Architecture (früher Anwendungs-Portfoliomanagement) sichtbar, um sie einer Geschäftsanwendung zuzuordnen.

    Risiken und Interaktionen von Governance, Risk und Compliance für Geschäftsanwendungen anzeigen

    Als Anwendungsbesitzer können Sie die Risiken anzeigen, denen eine Geschäftsanwendung ausgesetzt ist. Governance, Risk und Compliance (GRC) prüft die Geschäftsanwendungsentität und die geprüften Risiken und Interaktionen werden als geskriptete zugehörige Listen im Geschäftsanwendungsformular erfasst.

    Vorbereitungen

    Erforderliche Rolle: sn_apm.apm_user, sn_apm.business_stakeholder_apm_user

    Prozedur

    1. Navigieren zu Alle > Enterprise Architecture > Anwendungsportfolio > Alle Geschäftsanwendungen.
    2. Klicken Sie auf das zugehörige Element GRC-Risiken.
    3. Zeigen Sie den Namen der Risikobeschreibung, ihre Beschreibung, die Risikokategorie (rechtlich, finanziell, operativ usw.), die inhärente Auswirkung, die die Risikostufen angibt, und die inhärente Wahrscheinlichkeit an, die die Wahrscheinlichkeit des Eintretens des Risikos angibt.
      Siehe: Risiken, Risikobeschreibungen und Risiko-Frameworks verwalten
    4. Klicken Sie auf das zugehörige Element Interaktionen.
    5. Zeigen Sie den Namen der Interaktion an, den Benutzer, dem sie zugewiesen ist, den Status, in dem sich die Interaktion befindet, das geplante Startdatum, an dem die Aktivität beginnen soll, das Enddatum, den Prozentsatz der abgeschlossenen Interaktion und die tatsächlichen Kosten der Interaktion.
      Siehe: Interaktionen verwalten
    6. Klicken Sie auf das zugehörige Element Steuerungen.
    7. Zeigen Sie den Namen der Steuerung, ihren Besitzer, den Status der Steuerung, ob sie konform ist oder nicht, die Klassifizierung der Steuerung (präventiv, korrektiv oder detektivisch) und die Nachweisfrequenz an, mit der die regelmäßige Aufgabe ausgeführt wird.

      Siehe: Steuerungen verwalten

    8. Klicken Sie auf den Pfeil zum Anzeigen/Ausblenden hierarchischer Listen neben einem Risikodatensatz in der zugehörigen Liste „GRC-Risiken“, um alle Steuerungen anzuzeigen, die Sie dem Risiko der Geschäftsanwendung zugeordnet haben.

      Wenn Sie eine Steuerung einem Risiko zuordnen, wird die Steuerung mit dem zugehörigen Risiko in der Tabelle „Risiko zu Steuerung“ [sn_risk_m2m_risk_control] erstellt.

      Abbildung : 1. Einem Risiko zugeordnete Steuerungen
      Kontrollen, die dem Risiko zugeordnet sind