Strukturübersicht von Richtlinien- und Compliance-Management

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer
  • Die strukturelle Übersicht von Richtlinien- und Compliance-ManagementErmöglicht Ihnen, zu verstehen, wie die verschiedenen Module, aus denen besteht Richtlinien- und Compliance-ManagementAnwendung von ServiceNowIntegrieren und interagieren Sie miteinander.

    Abbildung : 1. Strukturübersicht der Module in „Richtlinie und Compliance“
    Infografik für den strukturellen Prozess-Flow der Module in „Richtlinie und Compliance“. Eine Textbeschreibung finden Sie in den Schritten im Prozess-Flow.
    Regulatorisches Dokument
    Richtlinien- und Compliance-Management Die Anwendung beginnt mit der Identifizierung regulatorischer Dokumente. Diese Dokumente sind externe Vorschriften, die Gesetze, Vorschriften und Standards enthalten, die Ihre Organisation einhalten muss, und die von der Art des Geschäfts, das Ihre Organisation tätigt, und ihrem Standort abhängen. Regulatorische Anforderungen werden normalerweise von Aufsichtsbehörden veröffentlicht, die Anforderungen bereitstellen, die gesetzlich oder in einer bestimmten Branche beschrieben sind. Diese Anforderungen können sich aus Bundes- oder Bundesvorschriften wie dem Krankenversicherungsportability and Accountability Act (HIPAA), internationalen Vorschriften wie der Datenschutz-Grundverordnung (DSGVO) oder Branchenvorschriften wie der Zahlungskartenbranche (PCI) ergeben. Jedes dieser Dokumente wie HIPAA, DSGVO und PCI ist ein regulatorisches Dokument.

    Beispielsweise sind Zahlungskartenbranche-Datensicherheitsstandards (PCI DSS) ein Informationssicherheitsstandard und ein regulatorisches Dokument, das den Zahlungskartenbetrug reduzieren soll. Es bietet eine Reihe von Sicherheitsstandards für alle Organisationen, die Kreditkartenzahlungen akzeptieren. Finanzdienstleister müssen PCI-Standards einhalten, um Betrug zu verhindern, Karteninhaberdaten zu schützen und sicherzustellen, dass ihre Business Services sicher und legal sind.

    Zitat
    Ein Zitat ist eine Passage oder ein Ausdruck aus einem regulatorischen Dokument (z. B. einheitliches Compliance-Framework (UCF)), das Ihr Unternehmen speziell einhalten muss. Es handelt sich um eine individuelle Anforderung in einem regulatorischen Dokument. Beispielsweise ist die Verschlüsselung der Übertragung von Karteninhaberdaten über öffentliche Netzwerke eine der Anforderungen von PCI DSS, um den Diebstahl persönlicher Finanzinformationen des Verbrauchers durch Zahlungskartentransaktionen zu verhindern.

    Bezugsvermerke können manuell erstellt oder über UCF importiert werden.

    Entitätstyp
    Der Entitätstyp ist eine Gruppierung der Entitäten, die einer Reihe von Filterbedingungen entsprechen. Sie können automatisch Entitäten basierend auf einer bedingten Abfrage für jede Tabelle in Ihrer Instanz generieren. Betrachten Sie beispielsweise einen Kunden, der ein Konto bei einer Bank hat, als Entitätstyp. Der Kunde hat Attribute wie Name, Kunden-ID, Kontotyp, Einkommensquelle und andere. die in einer Kundeninformationstabelle gespeichert sind, die basierend auf einem der Attribute abgefragt werden kann.
    Entität
    Eine Entität kann Personen, Abteilungen, Anwendungen, Objekte, Server, externe Netzwerkgeräte, verschiedene Standorte, Datenserver, Data Warehouse – im Wesentlichen alles, für das Sie einen Kontrolltest durchführen werden, und ist richtlinienkonform und Compliance. Beispiel: Eine Person, die ein Konto bei einer Bank mit einem Namen und zugehörigen Finanzinformationen führt.

    Entitäten werden automatisch generiert, wenn ein Entitätstyp erstellt wird.

    Richtlinie
    Nachdem regulatorische Dokumente identifiziert wurden, entwickeln Unternehmen Richtlinien, die festlegen, wie der Geschäftsbereich die regulatorischen Dokumente einhalten würde. Auf allgemeiner Ebene definieren Richtlinienerklärungen, was das Unternehmen tun soll oder was nicht. Beispielsweise kann eine Organisation eine Datenschutzrichtlinie festlegen, die die Anforderungen für den Schutz vertraulicher Kundeninformationen definiert. Richtlinien sind interne Dokumente einer Organisation und können wie Firewall-Richtlinie, Netzwerkrichtlinie, Richtlinie für zulässige Nutzung, Informationssicherheit, Netzwerksicherheit, Netzwerksicherheit, Umweltschutz und andere. Sie sind eine Zusammenfassung verschiedener Steuerungen und Kontrollziele, die sich auf einen bestimmten Aspekt des Unternehmens beziehen.
    Richtlinienbestätigung
    Mit dem Modul „Richtlinienbestätigung“ können Richtlinienbesitzer oder Compliance-Teams Richtlinien zur Überprüfung und Bestätigung durch Mitarbeiter senden, um Compliance-Anforderungen zu erfüllen.
    Richtlinienausnahme
    Dadurch können Sie eine Ausnahme für eine Richtlinie haben. Wenn Sie eine Richtlinie oder Kontrolle nicht einhalten können, können Sie aus irgendeinem Grund eine Ausnahme protokollieren.

    Das Modul „Richtlinienausnahme“ dokumentiert Situationen, in denen die Organisation die dokumentierte Kontrolle nicht befolgen kann. Richtlinienausnahme hat einen eigenen Lebenszyklus und eigene Genehmigungen.

    Kontrollziel
    Kontrollziele sind spezifische Ziele, die die Steuerungen erreichen sollen. Um beispielsweise die Datenschutzrichtlinie sicherzustellen, kann das Unternehmen ein sicheres Netzwerk erstellen und verwalten. Für eine Richtlinie zur zulässigen Verwendung kann ein Kontrollziel bestehen, um einen Proxy zu haben, der die Kontrolle über die Websites behält, die die Anwender besuchen. Für eine Netzwerkrichtlinie kann ein Kontrollziel vorhanden sein, um sichere Passwörter zu haben.

    Über die Kontrollziele können regulatorische Dokumente und Richtlinien zusammengebunden werden, um die Belastung durch Compliance zu verringern. Ein Kontrollziel kann mehrere interne und externe Anforderungen durchsetzen. Bezugsvermerke können auch einem oder mehreren Kontrollzielen zugeordnet werden. Auf der Ebene des Kontrollziels sind die Steuerungen und Richtlinien auch miteinander verknüpft. Alternativ können Sie sich ein Kontrollziel ansehen und die Zuordnungen zu regulatorischen Dokumenten und Richtlinien anzeigen, die zeigen, warum Sie die in den Zielen angegebenen Aktionen ausführen.

    Das Modul „Kontrollziele“ ist der Haupt-Hub von Richtlinien- und Compliance-ManagementAnwendung. Während regulatorische Dokumente regulatorische Ziele angeben und Richtlinien dokumentieren, was die Organisation tun soll oder nicht, definieren die Kontrollziele genau, wie diese Richtlinien und regulatorischen Dokumente eingehalten werden sollen.

    Kontrolle
    Eine Kontrolle ist eine spezifische Implementierung eines Kontrollziels. Beispielsweise kann das Unternehmen für eine Datenschutzrichtlinie sicherstellen, dass Daten regelmäßig gesichert werden, oder ein automatisiertes Sicherungssystem einrichten.

    Steuerungen werden automatisch generiert, wenn Sie eine Richtlinie einem Entitätstyp oder einen Entitätstyp einem Kontrollziel zuordnen, bei dem für jede Entität, die im Entitätstyp für das Kontrollziel aufgeführt ist, eine Steuerung erstellt wird. Steuerungen können jedoch auch manuell erstellt werden. Steuerungen werden getestet, um festzustellen, ob sie das beabsichtigte Kontrollziel erfolgreich erreichen.

    Steuerungstest
    Eine Kontrolle wird getestet, um sicherzustellen, dass sie bei der Erreichung des Kontrollziels effektiv ist. Ein Penetrationstest stellt beispielsweise die ordnungsgemäße Implementierung der Datenverschlüsselung sicher.
    Indikator
    Mit einem Indikator können Sie einen Test für die Kontrollen durchführen, und Tests können täglich, wöchentlich, monatlich oder vierteljährlich geplant werden. Eine Indikatoraufgabe wird erstellt und an den Anwender gesendet, um zu überprüfen, ob die Steuerung konform ist, und der Indikator kann als „Bestanden“ oder „Fehlgeschlagen“ markiert werden. Wenn die Aufgabe fehlschlägt, ist die Steuerung nicht konform, und ein Problem wird erstellt. Wenn der Indikator den Test besteht, ist die Steuerung bis zum nächsten geplanten Test konform.

    Indikatorvorlagen ermöglichen die Erstellung mehrerer Indikatoren für ähnliche Steuerungen. Die Indikatorvorlage definiert die Parameter der Indikatoren und wird der Risikobeschreibung oder dem Kontrollziel entsprechend dem Typ des überwachten Indikators zugeordnet.

    Jedes Mal, wenn der Indikator ausgeführt wird, wird eine Aufgabe erstellt, um das Indikatorergebnis zu erfassen. Eine Indikatoraufgabe wird gemäß einem Zeitplan erstellt, um die Überwachung gemäß einer voreingestellten Häufigkeit im Indikatorformular sicherzustellen.

    Bestätigung
    Ein Nachweis bewertet die Kontrolle, um ihre Compliance kontinuierlich zu überwachen. Im Gegensatz zu einem Indikator erfolgt der Nachweis hauptsächlich ad hoc und kann nicht geplant werden.
    Problem
    Wenn beim Testen einer Steuerung eine Lücke identifiziert wird, wird diese Lücke als Problem bezeichnet. Probleme können operative Beobachtungen aus Audits, Verstößen gegen regulatorische Compliance, Sicherheitsverletzungen oder andere negative Ergebnisse umfassen. Oder wenn ein Kontrolltest fehlschlägt und nicht konform ist, wird ein Problem erstellt. Probleme können von geteilt werden Richtlinien- und Compliance-Management, Risikomanagement, Und Audit-Management GRCAnwendungen. Sie können die Effektivität des Risikomanagementprogramms Ihres Unternehmens daran messen, wie schnell und gründlich Risiko- und Compliance-Probleme identifiziert und darauf reagiert werden.
    Nachbesserungsaufgabe
    Nachdem ein Problem bestätigt wurde, identifiziert die Organisation die erforderlichen Schritte zur Behebung des Problems. Um ein Risiko zu mindern, können Sie eine Korrekturaufgabe erstellen, um die Korrekturarbeit nachzuverfolgen. Wenn eine Selektierung durchgeführt wurde, wird das Selektierungsproblem in ein tatsächliches Problem oder Risikoereignis konvertiert. Sie können das Problem auch als Empfehlung nachverfolgen oder als nicht-Problem schließen.