Erstellen Sie GRC manuell für Probleme

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 7 Minuten Lesedauer

    • Als Benutzer GRC können Sie manuell Probleme erstellen, um Richtlinien-, Risiko- oder Audit-Beobachtungen zu dokumentieren oder GRC-Probleme zu akzeptieren. Sie können auch die Quelle des Problems identifizieren, um die Analyse und Klassifizierung der Probleme zu unterstützen.

    Vorbereitungen

    Erforderliche Rolle: (pro Produkt)

    • In Richtlinien- und Compliance-Management: sn_grc.business_user, sn_grc.business_user_lite
    • In Risikomanagement: sn_grc.business_user, sn_grc.business_user_lite
    • In Audit-Management: sn_grc.business_usersn_grc.business_user_lite
    Hinweis:
    Ab Version 12.0.1 der oben genannten Produkte ist die Mindestrolle für den Benutzer im Formular „ Zugewiesen an “ im Formular „GRC Business User“ [sn_grc.business_user]. Die Mindestrolle für den Problemmanager ist der GRC-Benutzer [ sn_grc._user ].

    Weitere Informationen zu den Zugriffssteuerungsbeschränkungen für Probleme finden Sie unter Mit der Rolle des GRC-Geschäftsbenutzers den Zugriff steuern und die Nutzung von Compliance-Tabellen nachverfolgen.

    Prozedur

    1. Navigieren Sie zu einer der folgenden Positionen:
      • Alle > Richtlinien und Compliance > Probleme > Neu erstellen:.
      • Risiko > Probleme > Neu erstellen:.
      • Audit > Probleme > Neu erstellen:.
      Hinweis:
      Ab Version 12.0.1 der oben genannten Produkte ist die Mindestrolle für den Benutzer im Formular „ Zugewiesen an “ im Formular „GRC Business User“ [sn_grc.business_user]. Die Mindestrolle für den Problemmanager ist der GRC-Benutzer [ sn_grc._user ].
    2. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Formular „Problem“
      Feld Beschreibung
      Nummer Eindeutige Identifikationsnummer.
      Zuweisungsgruppe Gruppe, der dieses Problem zugewiesen wurde. Jedes Mitglied erhält eine Benachrichtigung, wenn eine Aktivität zu diesem Problem auftritt.
      Zugewiesen an Mitglied der Gruppe, die zur Lösung des Problems zugewiesen ist.

      Ab Version 12.0.1 muss der Benutzer mindestens über die Rolle sn_grc.business_user verfügen.

      Hinweis:
      Verwenden Sie das Glühbirnensymbol, um Vorschläge zu erhalten, wem das Problem zugewiesen werden muss. Das Glühbirnensymbol wird nur angezeigt, wenn Sie die Anwendung GRC: Predictive Intelligence aktiviert haben, das Formular gespeichert ist, das Feld Zugewiesen an nicht inaktiv ist und die GRC-Eigenschaft als Ähnlichkeitsanalyse ausgewählt ist. Weitere Informationen finden Sie unter GRC -Eigenschaften.

      Sie können eine Hierarchie von Benutzern konfigurieren, die auf den Problemdatensatz zugreifen sollen. Weitere Informationen hierzu finden Sie unter Zugriffssteuerung der Benutzerhierarchie für Datensätze von Problem- und Korrekturaufgaben.

      Ab Version 12.0.1 erhält der zugewiesene Benutzer eine E-Mail-Benachrichtigung, wenn der Problemmanager weitere Informationen anfordert.

      Ab Version 12.0.1 ist beim Übergang eines Problems in den Status „ Reagieren “ ein Eintrag im Feld Zugewiesen an obligatorisch.
      Problemquelle Quelle, aus der das Problem erstellt wurde. Dieses Feld wird automatisch mit einer der folgenden Optionen gefüllt, je nachdem, wie das Problem erstellt wird:
      • Indikatorfehler: Das Problem wird durch einen Fehler des Indikators erstellt
      • Risikobewertung: Problem wird in einem Risiko erstellt
      • Risikoereignis: Das Problem wird in einem Risikoereignis erstellt
      • Kontrollnachweisfehler: Das Problem wird aufgrund einer nicht konformen Steuerung erstellt
      • Kontrolltestfehler: Das Problem wird erstellt, wenn eine Kontrolle ineffektiv ist und der Kontrolltest als geschlossen und abgeschlossen markiert wird
      • Ad-hoc: Das Problem wurde manuell erstellt
      Problemtyp Die Art des Problems. Die Auswahlmöglichkeiten lauten wie folgt:
      • Fehler bei Entwurfseffektivität der Steuerung
      • Fehler bei betrieblicher Effektivität der Steuerung
      • Steuerung erfüllt die Anforderungen nicht
      • Steuerung ist nicht vorhanden
      • Nichteinhaltung einer Verordnung
      • Nichteinhaltung einer Richtlinie
      • Verbesserung oder Vorschlag zu einer vorhandenen Richtlinie
      • Empfehlung für eine neue Richtlinie
      • Prozessoptimierung oder -verbesserung
      • Beobachtung
      • Datenschutzverletzung
      • Betrug
      • Falsche Angabe
      • Training
      • Dokumentation
      • Risikoproblem
      • Sonstige
      Klassifizierung Klassifizierung des Problems als Risiko, Compliance oder Audit, basierend auf dem Problemtyp.
      Problem-Manager-Gruppe Die Gruppe, die für die Verwaltung und Überprüfung des Problems verantwortlich ist.
      Ab Version 12.0.1 wurden die folgenden Verbesserungen und Anforderungen eingeführt:
      • Mitglieder der Problemmanagergruppe müssen eine der folgenden Rollen aufweisen:
        • sn_audit.manager
        • sn_audit.user
        • sn_compliance.manager
        • sn_compliance.user
        • sn_grc.manager
        • sn_grc.user
        • sn_risk.manager
        • sn_risk.user
      • Wenn ein Problem in den Status „ Analysieren “ übergeht, ist ein Eintrag im Feld „Problemmanagergruppe“ oder „ Problemmanager “ obligatorisch.
      • Wenn der Gruppe ein Problem zugewiesen wird, erhalten die Mitglieder eine E-Mail-Benachrichtigung. Außerdem erhält der Problem-Manager eine E-Mail-Benachrichtigung, wenn das Problem in den Status Überprüfen übergeht.
      Problem-Manager Anwender, der für die Verwaltung und Überprüfung des Problems verantwortlich ist.
      Ab Version 12.0.1 wurden die folgenden Verbesserungen und Anforderungen eingeführt:
      • Der Problem-Manager muss mindestens über die Rolle sn_grc.user verfügen.
      • Der Problem-Manager erhält eine E-Mail-Benachrichtigung, wenn der zugewiesene Benutzer die angeforderten Informationen bereitstellt.
      • Wenn ein Problem in den Status „ Analysieren “ übergeht, ist ein Eintrag in diesem Feld oder im Problem- Manager obligatorisch.
      • Wenn ein Problem in den Status „Antworten“ übergeht, ist ein Eintrag in diesem Feld obligatorisch.
      Status
      • Neu
      • Analysieren
      • Beantworten
      • Prüfen
      • Abgeschlossen
      • Unvollständig geschlossen
      Substatus Der Substatus und entsprechende Details für den Substatus.
      Priorität Die Reihenfolge, in der ein Problem gelöst werden muss (auf Grundlage von Auswirkung und Dringlichkeit):
      • 1 – Kritisch
      • 2 – Hoch
      • 3 – Mittel
      • 4 – Niedrig
      • 5 – Planung
      Problembewertung Ab Version 12.0.1 kann der Problemmanager dem Problem die Problembewertung zuweisen. Basierend auf der Problembewertung wird das Fälligkeitsdatum auf der Registerkarte Daten wie folgt berechnet und angezeigt:
      • Sehr hoch (2 Tage)
      • Hoch (4 Tage)
      • Mittel (8 Tage)
      • Niedrig (10 Tage)
      • Sehr niedrig (15 Tage)
      Sie können das Fälligkeitsdatummanuell überschreiben.
      Hinweis:
      Benutzer mit den Rollen sn_grc.manager und sn_grc_advanced.issue_triage_manager können zu navigieren Richtlinien und Compliance > Administration > Problembewertung und definieren zusätzliche Problembewertungen.p

      Wenn das Problem in den Status „Antworten“ übergeht, ist das Feld Problembewertung schreibgeschützt.
      Problem Gruppenregel Gruppenregel, die diesem Problem zugewiesen ist. Die Problemgruppenregel wird verwendet, um ähnliche Probleme basierend auf den in der Regel definierten Bedingungen in einem übergeordneten Problem zu gruppieren. Mit dieser Regel können Sie gleichzeitig an ähnlichen Problemen arbeiten und das übergeordnete Problem schließen, nachdem alle Probleme gelöst wurden. Dadurch werden alle untergeordneten Probleme geschlossen.
      Übergeordnetes Problem Übergeordnetes Problem, zu dem dieses Problem gehört.
      Konfigurationselement Element, das diesem Problem zugeordnet ist. Wenn alle untergeordneten Probleme dasselbe Configuration Item haben, wird es in das übergeordnete Problem kopiert
      Standort Standort, an dem das Problem aufgetreten ist.
      Kurzbeschreibung

      Ab Version 12.0.1 wurde diese Bezeichnung in Namegeändert.

      		 Ein Name für das Problem.
      Beschreibung Eine umfassendere Beschreibung des Problems.
      Details
      Kontrolle/Risiko Kontrolle oder Risiko, die dem Problem zugeordnet ist.

      Wenn die Kontrolle zugeordnet ist, wird die entsprechende Entität der Kontrolle zum Feld Entität hinzugefügt, und das Kontrollziel wird zum Feld Kontrollziel/Risikobeschreibung hinzugefügt. Diese Kontrollziele und diese Entität sind diejenigen, die mit dieser Kontrolle verknüpft sind.

      Wenn das Steuerelement dem Problemformular zugeordnet ist, wird in der Quelltabelle [sn_grc_m2m_issue_item] ein m2m-Datensatz erstellt. Wenn in der Quelltabelle ein Datensatz hinzugefügt wird, wird in der Zieltabelle [sn_grc_m2m_issue_to_entity] ein entsprechender Datensatz „Problem zu Entität“ hinzugefügt, und in der Zieltabelle [sn_grc_m2m_issue_content] wird ein weiterer Datensatz „Problem zu Inhalt“ für die zugehörige Entität und das Kontrollziel von hinzugefügt Steuerung.
      Entität Zugehörige Entität
      Richtlinie Die dem Problem zugeordnete Richtlinie.
      Regulatorisches Dokument Das regulatorische Dokument, das dem Problem zugeordnet ist.
      Kontrollziel/Risikoerklärung Das Kontrollziel oder die Risikobeschreibung im Zusammenhang mit diesem Problem.
      Empfehlung Von Risiko-, Compliance- oder Audit-Teams empfohlene Lösungsaktionen.
      Aktionsplan Der Plan zur Korrektur des Problems.
      Daten
      Geplantes Startdatum Datum und Uhrzeit des voraussichtlichen Beginns der Arbeit an dem Problem.
      Geplantes Enddatum Datum und Uhrzeit, zu der die Arbeit an dem Problem voraussichtlich enden wird.
      Geplante Dauer Geschätzte Arbeitszeit für das Problem.
      Bestätigungsdatum (Ab Version 12.0.1) Das Datum, an dem das Problem bestätigt wird. Dieses Feld ist schreibgeschützt und zeigt das heutige Datum an, wenn das Problem von Neu in einen der folgenden Status verschoben wird:
      • Analysieren
      • Überprüfen
      • Beantworten
      Hinweis:
      Wenn ein Selektierungsproblem in ein tatsächliches Problem konvertiert wird, zeigt dieses Feld das Datum der Konvertierung an.
      Fälligkeitsdatum (Ab Version 12.0.1) Dieses Datum wird basierend auf einer GRC-Eigenschaft automatisch ausgefüllt. Navigieren zu Richtlinien und Compliance > Administration > GRC-Eigenschaften. Wenn die Eigenschaft Fälligkeitsdatum basierend auf Problembewertung automatisch ausfüllen auf Jafestgelegt ist, wird dieses Feld automatisch basierend auf dem vordefinierten Korrekturzeitrahmen für die Risikobewertung des Problems ausgefüllt. Andernfalls können Sie manuell ein Fälligkeitsdatum eingeben.

      Wenn ein Problem in den Status „Antworten“ übergeht, ist ein Eintrag in diesem Feld obligatorisch.
      Tatsächliches Startdatum Zeitpunkt, zu dem die Arbeit an diesem Problem begann.
      Tatsächliches Enddatum Ein schreibgeschützter Wert, der durch das Eingabefeld Tatsächliche Dauer bestimmt wird.
      Tatsächliche Dauer Arbeitszeit.
      Erstellt Datum und Uhrzeit der Erstellung des Problems.
      Geschlossen Datum und Uhrzeit der Schließung des Problems.
      Interaktion
      Interaktion Die zugehörige Interaktion.
      Aktivität
      Zusätzliche Kommentare (sichtbar für Kunden) Öffentliche Informationen zum Problem. Klicken Sie auf Veröffentlichen, um Ihre Kommentare zum Problem hinzuzufügen.
      Arbeitsnotizen Aktivieren Sie das Kontrollkästchen Arbeitsnotizen, um das Feld Arbeitsnotizen anzuzeigen. Informationen darüber, wie das Problem behoben werden kann, oder Schritte, die ggf. bereits zur Lösung des Problems unternommen wurden. Arbeitsnotizen sind für Benutzer sichtbar, die dem Problem zugewiesen sind. Klicken Sie auf Veröffentlichen, um dem Problem Ihre Arbeitsnotizen hinzuzufügen.
      Vertraulichkeit
      Vertraulich Option zum Aktivieren der Vertraulichkeit des Datensatzes. Nur die zugewiesenen vertraulichen Anwender oder vertraulichen Gruppen von Anwendern können auf den Datensatz zugreifen.

      Weitere Informationen zur Option „Vertraulich“ finden Sie unter Vertraulichkeitskennzeichnung für Audit- und Compliance-Datensätze.
      Risikoereignis
      Risikoereignis Das zugehörige Risikoereignis
    3. Speichern Sie den Problemdatensatz.
      Auf den Registerkarten unten auf dem Bildschirm können Sie verschiedene Aufgaben ausführen, um das Problem zu beheben. Sie können Richtlinienausnahmen hinzufügen und Korrekturaufgaben erstellen. Darüber hinaus können Sie andere Probleme, Indikatorergebnisse und Aufgaben-SLAs anzeigen, die sich auf das Problem beziehen.
      Hinweis:
      Ab Version 12.0.1 werden auf der Registerkarte Aufgaben-SLA SLAs basierend auf dem Fälligkeitsdatumerstellt und angezeigt. Benachrichtigungen werden an den Problembesitzer und den Problemmanager gesendet, wenn das Fälligkeitsdatum des Problems 50 % erreicht, dann 75 % und dann bei einem Verstoß. Wenn die Felder Zugewiesen an und Fälligkeitsdatum nicht leer sind und das Problem nicht den Status Neu aufweist, wird ein SLA für das Problem erstellt.

      Wenn sich das Fälligkeitsdatum für das SLA ändert, wird ein neues SLA erstellt. Das SLA ist abgeschlossen, wenn das Problem in den Status Geschlossen – vollständig oder Geschlossen – unvollständig übergeht. Außerdem wird das SLA abgebrochen, wenn die Felder Fälligkeitsdatum oder Zugewiesen an leer sind oder der Status Neu lautet.

      Ab Version 12.0.1 können Korrekturaufgaben mit den Benutzerrollen Zugewiesen an-Benutzer und Problem-Manager sowie mit jedem Benutzer mit der Rolle GRC Business-Benutzererstellt werden.