Die strukturelle Übersicht von Richtlinien- und Compliance-Management Ermöglicht Ihnen, zu verstehen, wie die verschiedenen Module, aus denen besteht Richtlinien- und Compliance-Management Anwendung von ServiceNow Integrieren und interagieren Sie miteinander.

Regulatorisches Dokument

Richtlinien- und Compliance-Management Die Anwendung beginnt mit der Identifizierung regulatorischer Dokumente. Bei diesen Dokumenten handelt es sich um externe Vorschriften, die Gesetze, Vorschriften und Standards enthalten, die Ihre Organisation einhalten muss, und die von der Art des Geschäfts Ihrer Organisation und ihrem Standort abhängen. Regulatorische Anforderungen werden normalerweise von Aufsichtsbehörden veröffentlicht, die Anforderungen bereitstellen, die gesetzlich oder in einer bestimmten Branche festgelegt sind. Diese Anforderungen können sich aus Bundes- oder staatlichen Vorschriften wie dem Health Insurance Portability and Accountability Act (HIPAA), internationalen Vorschriften wie der Datenschutz-Grundverordnung (DSGVO) oder Branchenvorschriften wie Payment Card Industry (PCI) ergeben. Jedes dieser Dokumente wie HIPAA, DSGVO und PCI ist ein regulatorisches Dokument.

Beispielsweise ist Payment Card Industry Data Security Standards (PCI DSS) ein Informationssicherheitsstandard und ein regulatorisches Dokument, das den Zahlungskartenbetrug reduzieren soll. Es bietet eine Reihe von Sicherheitsstandards für alle Organisationen, die Kreditkartenzahlungen akzeptieren. Finanzdienstleister müssen PCI-Standards einhalten, um Betrug zu verhindern und Karteninhaberdaten zu schützen und sicherzustellen, dass ihre Geschäftsservices sicher und legal sind.

Bezugsvermerk

Ein Zitat ist eine Passage oder ein Ausdruck aus einem regulatorischen Dokument (z. B. Unified Compliance Framework (UCF)), das Ihr Unternehmen speziell einhalten muss. Es handelt sich um eine individuelle Anforderung innerhalb eines regulatorischen Dokuments. Beispielsweise ist die Verschlüsselung der Übertragung von Karteninhaberdaten über öffentliche Netzwerke eine der Anforderungen von PCI DSS, um den Diebstahl personenbezogener Finanzinformationen des Verbrauchers durch Zahlungskartentransaktionen zu verhindern.

Bezugsvermerke können manuell erstellt oder über UCF importiert werden.

Entitätstyp

Der Entitätstyp ist eine Gruppierung der Entitäten, die einer Reihe von Filterbedingungen entsprechen. Sie können Entitäten automatisch basierend auf einer bedingten Abfrage für eine beliebige Tabelle in Ihrer Instanz generieren. Betrachten Sie beispielsweise einen Kunden, der ein Konto bei einer Bank hat, als Entitätstyp. Der Kunde hat Attribute wie Name, Kunden-ID, Kontotyp, Einkommensquelle usw. die in einer Kundeninformationstabelle gespeichert sind, die basierend auf einem der Attribute abgefragt werden kann.

Entität

Eine Entität kann Personen, Abteilungen, Anwendungen, Objekte, Server, externe Netzwerkgeräte, verschiedene Standorte, Datenserver, Data Warehouse – im Wesentlichen alles, für das Sie einen Kontrolltest durchführen werden, und ist richtlinienkonform und Compliance. Zum Beispiel eine Person, die ein Konto bei einer Bank mit einem Namen und zugehörigen Finanzinformationen führt.

Entitäten werden automatisch generiert, wenn ein Entitätstyp erstellt wird.

Richtlinie

Nachdem regulatorische Dokumente identifiziert wurden, entwickeln Unternehmen Richtlinien, die festlegen, wie der Geschäftsbereich die regulatorischen Dokumente einhalten würde. Auf allgemeiner Ebene definieren Richtlinienbeschreibungen, was das Unternehmen tun soll oder was nicht. Beispielsweise kann eine Organisation eine Datenschutzrichtlinie festlegen, die die Anforderungen für den Schutz vertraulicher Kundeninformationen definiert. Richtlinien sind interne Dokumente einer Organisation und können wie eine Firewall-Richtlinie, eine Netzwerkrichtlinie, eine Richtlinie zur zulässigen Verwendung, Informationssicherheit, Netzwerksicherheit, Umweltschutz und andere. Sie sind eine Zusammenfassung verschiedener Steuerungen und Kontrollziele, die sich auf einen bestimmten Aspekt des Unternehmens beziehen.

Richtlinienbestätigung

Das Modul „Richtlinienbestätigung“ ermöglicht es Richtlinienbesitzern oder Compliance-Teams, Richtlinien zur Überprüfung und Bestätigung durch Mitarbeiter zu senden, um Compliance-Anforderungen zu erfüllen.

Richtlinienausnahme

Dadurch können Sie eine Ausnahme für eine Richtlinie haben. Wenn Sie eine Richtlinie oder Kontrolle nicht einhalten können, können Sie aus irgendeinem Grund eine Ausnahme protokollieren.

Das Modul „Richtlinienausnahme“ dokumentiert Situationen, in denen die Organisation die dokumentierte Kontrolle nicht befolgen kann. Richtlinienausnahme hat einen eigenen Lebenszyklus und eigene Genehmigungen.

Kontrollziel

Kontrollziele sind spezifische Ziele, die die Steuerungen erreichen sollen. Um beispielsweise die Datenschutzrichtlinie sicherzustellen, kann das Unternehmen ein sicheres Netzwerk erstellen und pflegen. Für eine Richtlinie zur zulässigen Verwendung kann es ein Kontrollziel geben, einen Proxy zu haben, der die Kontrolle über die Websites behält, die die Anwender besuchen. Für eine Netzwerkrichtlinie kann es ein Kontrollziel geben, um sichere Passwörter zu haben.

Über die Kontrollziele können regulatorische Dokumente und Richtlinien zusammengebunden werden, um die Belastung durch Compliance zu verringern. Ein Kontrollziel kann mehrere interne und externe Anforderungen durchsetzen. Bezugsvermerke können auch einem oder mehreren Kontrollzielen zugeordnet werden. Auch auf der Ebene des Kontrollziels sind die Steuerungen und Richtlinien miteinander verknüpft. Alternativ können Sie sich ein Kontrollziel ansehen und die Zuordnungen zu regulatorischen Dokumenten und Richtlinien anzeigen, die zeigen, warum Sie die in den Zielen angegebenen Aktionen ausführen.

Das Modul „Kontrollziele“ ist der Haupt-Hub von Richtlinien- und Compliance-Management Anwendung. Während regulatorische Dokumente regulatorische Ziele angeben und Richtlinien dokumentieren, was die Organisation tun soll oder nicht, definieren die Kontrollziele genau, wie diese Richtlinien und regulatorischen Dokumente eingehalten werden sollen.

Kontrolle

Eine Kontrolle ist eine spezifische Implementierung eines Kontrollziels. Beispielsweise kann das Unternehmen für eine Datenschutzrichtlinie sicherstellen, dass Daten regelmäßig gesichert werden, oder ein automatisiertes Sicherungssystem einrichten.

Steuerungen werden automatisch generiert, wenn Sie eine Richtlinie einem Entitätstyp oder einen Entitätstyp einem Kontrollziel zuordnen, bei dem für jede Entität, die im Entitätstyp für das Kontrollziel aufgeführt ist, eine Steuerung erstellt wird. Steuerungen können jedoch auch manuell erstellt werden. Steuerungen werden getestet, um festzustellen, ob sie das beabsichtigte Kontrollziel erfolgreich erreichen.

Kontrolltest

Eine Kontrolle wird getestet, um sicherzustellen, dass sie das Kontrollziel effektiv erreicht. Beispielsweise stellt ein Penetrationstest die ordnungsgemäße Implementierung der Datenverschlüsselung sicher.

Indikator

Mit einem Indikator können Sie die Kontrollen testen, und Tests können täglich, wöchentlich, monatlich oder vierteljährlich geplant werden. Eine Indikatoraufgabe wird erstellt und an den Anwender gesendet, um zu überprüfen, ob die Steuerung konform ist, und der Indikator kann als bestanden oder fehlgeschlagen markiert werden. Wenn die Aufgabe fehlschlägt, ist die Steuerung nicht konform, und ein Problem wird erstellt. Wenn der Indikator den Test besteht, ist die Steuerung bis zum nächsten geplanten Test konform.

Indikatorvorlagen ermöglichen die Erstellung mehrerer Indikatoren für ähnliche Steuerungen. Die Indikatorvorlage definiert die Parameter der Indikatoren und wird je nach Typ des überwachten Indikators der Risikobeschreibung oder dem Kontrollziel zugeordnet.

Jedes Mal, wenn der Indikator ausgeführt wird, um das Indikatorergebnis zu erfassen, wird eine Aufgabe erstellt. Eine Indikatoraufgabe wird gemäß einem Zeitplan erstellt, um die Überwachung gemäß einer voreingestellten Häufigkeit im Indikatorformular sicherzustellen.

Bestätigung

Mit einem Nachweis wird die Kontrolle bewertet, um ihre Compliance kontinuierlich zu überwachen. Im Gegensatz zu einem Indikator erfolgt der Nachweis hauptsächlich ad-hoc und kann nicht geplant werden.

Problem

Wenn beim Testen einer Steuerung eine Lücke identifiziert wird, wird diese Lücke als Problem bezeichnet. Probleme können operative Beobachtungen aus Audits, Verstößen gegen regulatorische Compliance, Sicherheitsverletzungen oder anderen negativen Ergebnissen umfassen. Oder wenn ein Kontrolltest fehlschlägt und nicht konform ist, wird ein Problem erstellt. Probleme können von geteilt werden Richtlinien- und Compliance-Management, Risikomanagement, Und Audit-Management GRC Anwendungen. Sie können die Effektivität des Risikomanagementprogramms Ihres Unternehmens daran messen, wie schnell und gründlich es Risiko- und Compliance-Probleme identifiziert und darauf reagiert.

Nachbesserungsaufgabe

Nachdem ein Problem bestätigt wurde, identifiziert die Organisation die erforderlichen Schritte zur Behebung des Problems. Um ein Risiko zu mindern, können Sie eine Korrekturaufgabe erstellen, um die Korrekturarbeit nachzuverfolgen. Wenn eine Selektierung durchgeführt wurde, wird das Selektierungsproblem in ein tatsächliches Problem oder Risikoereignis konvertiert. Sie können das Problem auch als Empfehlung nachverfolgen oder als nicht-Problem schließen.