Domain Separation in GRC: Richtlinien- und Compliance-Management

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer
  • Mit der Domain Separation können Sie Daten, Prozesse und Verwaltungsaufgaben in logische Gruppierungen, sogenannte Domänen, aufteilen. Sie können verschiedene Aspekte dieser Trennung steuern, einschließlich der Benutzer, die Daten sehen und darauf zugreifen können.

    Supportstufe: Standard

    • Geschäftslogik: Stellen Sie sicher, dass Daten in die richtige Domäne für die Anwendungsfälle des Application Service Providers übertragen werden.
    • Die Anwendung unterstützt die Domänentrennung zur Laufzeit. Die Domänentrennung umfasst Trennung von der Anwenderoberfläche, Cache-Schlüssel, Berichterstellung, Rollups und Zusammenfassungen.
    • Der Besitzer der Instanz muss die Anwendung einrichten, damit sie über mehrere Mandanten hinweg funktioniert.

    Beispielanwendungsfall: Wenn ein Service Provider (SP) einen Chat verwendet, um auf die Nachricht eines Mandanten-Kunden zu antworten, muss der Kunde die Antwort des SP sehen können.

    Weitere Informationen zu den Supportstufen finden Sie unter Anwendungssupport für Domänentrennung.

    Vorteile der Verwendung von domänengetrennten Tabellen in Richtlinien- und Compliance-Management

    Domänentrennung ist am besten für Kunden geeignet, die:
    • Absolute Datentrennung zwischen Geschäftsentitäten muss erzwungen werden (Datentrennung).
    • Passen Sie Geschäftsprozessdefinitionen und Anwenderoberflächen für jede Domäne an (delegierte Verwaltung).
    • Verwalten Sie einige globale Prozesse und globale Berichte in einer einzigen Instanz.
    Diese Anwender können den Domänenbereich erweitern oder reduzieren, um Daten aus anderen Domänen anzuzeigen oder auszublenden.
    Hinweis:
    Anwender haben immer Zugriff auf Daten aus Domänen, die ihnen explizit durch Domänensichtbarkeit gewährt wurden.

    Wie GRCVerarbeitet Domänentrennung

    Während GRC die Trennung von Daten unterstützt, wird die Trennung von Logik und Prozess nicht vollständig unterstützt.

    • Viele Arten von Datensätzen in GRC werden automatisch über Anwenderprozesse generiert. Entitäten, Steuerungen, Risiken, Indikatoren und Kontrolltests sind alle Datensätze, die automatisch generiert werden können. Für Datensätze, die automatisch generiert werden (und für jeden manuell generierten GRC-Datensatz), ist die Domäne des Datensatzes mit der Domäne des Anwenders identisch, der für die Erstellung oder Generierung der Datensätze verantwortlich ist.
    • Die automatische Generierung sollte berücksichtigt werden, wenn in einer domänengetrennten GRC-Implementierung gearbeitet wird. Anwender sollten sicherstellen, dass sie Datensätze auf der richtigen Domänenebene erstellen/generieren, damit sie für die richtigen Anwender sichtbar sind.

      Angenommen, Sie haben Domänen, die wie folgt aussehen:

    Abbildung : 1. Domain Separation
    Domänentrennung in GRC.
    • Wenn Sie ein Risiko oder eine Kontrolle haben, das bzw. die Sie von Anwendern in den Domänen A und B bewertet werden möchten, sollte das Risiko oder die Steuerung auf globaler Ebene generiert oder manuell erstellt werden. Wenn das Risiko oder die Steuerung in Domäne B erstellt wird, können Sie das Risiko oder die Steuerung in Domäne A aufgrund der Indizierung nicht neu erstellen.
    • Wenn Sie ein Risiko oder eine Kontrolle haben, das bzw. die Sie von Anwendern in OBEN und Domäne A bewertet werden möchten, können Sie das Risiko oder die Kontrolle in Domäne A erstellen

    Sofern sich die Risiken und Steuerungen nicht in der globalen Domäne befinden, sollten Anwender in einer höheren Domäne keine Risiken oder Steuerungen Anwendern in einer niedrigeren Domäne zuweisen. Wenn Sie im obigen Beispiel ein Steuerelement in der OBERSTEN Domäne haben, sollten Sie es Anwendern in den Domänen A oder B nicht zum Nachweis zuweisen, da diese Anwender keinen Zugriff auf das Steuerelement haben. Daher würde der Nachweis- oder Bewertungsfragebogen nicht generiert.

    Ebenso sollten Anwender keine Kontrollziele und Risikobeschreibungen in einer höheren Domäne Nachweisen und Bewertungen in einer niedrigeren Domäne zuweisen. Andernfalls wird der Nachweis- oder Bewertungsfragebogen nicht generiert.

    Anwendungsfall

    GRC-Daten dafür können von den GRC-Daten anderer Abteilungen getrennt werden. Jeder Geschäftsbereich, der die GRC-Anwendung verwendet, kann separate Daten haben, die nicht für andere Abteilungen freigegeben werden können. Daher kann jede Abteilung eigene Entitäten, Richtlinien, Steuerungen, Risiken usw. haben.

    Bei der Betrachtung eines Steuerelements aus der IT-Domäne kann der Anwender den Domänenbereich erweitern, um Werte aus der Finanzdomäne anzuzeigen, oder den Domänenbereich reduzieren, um nur Steuerungen anzuzeigen, die der IT-Domäne entsprechen.

    Standardmäßig fügt Domänentrennung der Aufgabe ein Domänenfeld hinzu [Aufgabe] Und Konfigurationselemente [cmdb_ci] Tabellen und ihre Erweiterungen.

    Sie können die Domänentrennung auf alle neuen Tabellen erweitern, die Sie erstellen, indem Sie hinzufügen sys_Domain Feld zur Wörterbuchdefinition der Tabelle. Standardmäßig trennt das System gegebenenfalls nur Plattform- und Baseline-Anwendungstabellen.

    Warnung:
    ServiceNowEmpfiehlt keine Domänentrennplattformtabellen (beliebige Tabellen mit dem Präfix „sys_“, z. B. Wörterbucheintrag [sys_dictionary] Und Überschreibung des Wörterbucheintrags [sys_dictionary_override] Tabellen), da dies zu unerwarteten Ergebnissen führen kann.

    In diesem Anwendungsfall Client-Skripts, Business-Regeln, Workflows, Prozesse, und so weiter kann domänengetrennt werden.

    Während das Verhalten, das mit der Domänentrennung angeboten wird, Unterstützung für mehrere Mandanten bietet, ist die Mandantenfähigkeit weiterhin in einer einzelnen Instanz enthalten. Dies bedeutet, dass einige globale Eigenschaften, einige globale Daten und einige globale Prozesse für alle Domänen freigegeben werden. Beispielsweise ist die Option „mich speichern“ des Systems auf der Anmeldeseite global und kann nicht pro Domäne angegeben werden.

    Wenn Sie eine vollständige und vollständige Trennung aller Systemeigenschaften benötigen und keine globalen Berichterstellungen oder globalen Prozesse erfordern, sind separate Instanzen die beste Option.

    Zuordnung von Domänenwerten zu Richtlinien- und Compliance-ManagementObjekte

    Datensätze, die entweder durch geplante Aufgaben oder Hintergrundskripts automatisch generiert werden, werden basierend auf ihrem übergeordneten Objekt oder der Anwenderdomäne für alle Richtlinien- und Compliance-Objekte domänengetrennt. Ebenso müssen Steuerungen, Risiken oder Risikobewertungen, die basierend auf den Entitäten automatisch generiert werden, ebenfalls domänengetrennt sein.

    Die folgenden Änderungen werden am Domänenzuweisungsprozess vorgenommen, um die Datentrennung durch die Managed Service Provider im Zusammenhang mit zu verwalten Richtlinien- und Compliance-ManagementTabellen:
    Richtlinien- und Compliance-Management Objekte Domänenquelle
    Richtlinie Anwenderdomäne
    Bestätigungskampagne Richtliniendomäne
    Richtlinie für Kontrollziel Richtliniendomäne
    Regulatorisches Dokument Anwenderdomäne
    Zitat Dokumentdomäne
    Kontrollziel Anwenderdomäne
    Kontrollziel für Zitat Zitatdomäne
    Richtlinienausnahme Anwenderdomäne
    Genehmigungen für Richtlinienausnahme Richtlinienausnahmedomäne
    Zugehörige Datensätze der Richtlinienausnahme Richtlinienausnahmedomäne
    Bestätigung KB-Artikeldomäne
    Richtlinienkategorie Anwenderdomäne
    Integrationsregistrierung der Richtlinienausnahme Anwenderdomäne
    Zuordnung von Risikobewertung für Richtlinienausnahme Anwenderdomäne
    Compliance-Status von Richtlinie/Vorschrift Dokumentdomäne
    Grund-Auswahlliste Anwenderdomäne
    Grund-Auswahlmöglichkeiten Registrierungsdomäne Für Richtlinienausnahme-Integration
    Regulatorisches Dokument zu Taxonomie Regulatorische Dokumentdomäne
    Zitat zu Taxonomie Zitatdomäne
    Kontrolle Entitätsdomäne
    Entitäts-Compliance-Status Entitätsdomäne
    Steuerung an Entität Steuerung.Entitätsdomäne
    Kontrollziel zu Element Kontrollzieldomäne
    Kontrollziel für Entitätstyp Entitätstypdomäne
    Richtlinie für Entitätstyp Entitätstypdomäne
    Artikelvorlage Anwenderdomäne
    Compliance-Datenquellenregistrierung Anwenderdomäne