Gérer les contrôles à l’aide de Conformité de l'espace de travail
Les contrôles sont des implémentations spécifiques d’un objectif de contrôle. Les contrôles mis hors service n’apparaissent pas dans la liste. Avant de définir des contrôles, prenez le temps de rationaliser, consolider et définir les contrôles importants de votre organisation.
Rationaliser vos contrôles
- Comment ce contrôle affecte-t-il mon objectif business ?
- Ce contrôle prévient-il ou détecte-t-il réellement le risque ?
- Y a-t-il un contrôle différent que vous pouvez placer qui protège mieux votre entreprise ?
- Y a-t-il un contrôle que vous pouvez mettre en place pour réduire les frais généraux de processus et améliorer les performances informatiques tout en atténuant les risques ?
- Un contrôle compliqué peut-il être remplacé par un contrôle plus simple et plus efficace ?
Consolidez vos contrôles
Définir des contrôles et des règles métier
- Identifier les contrôles et les propriétaires de contrôle
- Définir les tests de contrôle et les résultats attendus
- Établir les fréquences de test et de contrôle
- Identifier les risques : impact et probabilité
- Préparer les attestations, les évaluations, les questionnaires et les preuves requises
- Composer les cas d’utilisation probables (qui a besoin d’interagir avec le GRC système ou de l’afficher et à quelles fins)
- Mappez les sources d’autorité aux politiques, aux procédures, aux contrôles et aux risques
Exigences de contrôle
Lorsque l’option Créer des exigences de contrôle est activée pour un objectif de contrôle, des exigences de contrôle sont également créées automatiquement pour chaque contrôle généré sous un type d’entité. Auparavant, seuls des contrôles étaient créés pour les types d’entité. Le nombre d’exigences de contrôle est égal au nombre d’exigences d’objectifs de contrôle.
Attestation au niveau du besoin de contrôle
La fonctionnalité Attestation au niveau des besoins de contrôle permet une attestation à un niveau granulaire pour les exigences de contrôle individuelles au sein d’un contrôle. Les administrateurs peuvent activer l’attestation au niveau des besoins, affecter des personnes chargées de répondre et générer des tâches d’évaluation pour chaque exigence de contrôle. Les répondants attestent ensuite des exigences en indiquant si elles sont mises en œuvre ou non, en fournissant des preuves ou des explications au besoin. Les attestations ayant échoué génèrent automatiquement des problèmes, marquent le contrôle parent comme non conforme et déploient l’état sur l’entité et l’objectif de contrôle associés.
Accès basé sur l’entité (EBA)
- Contrôle
- Attestation
- Exception de politique pour le contrôle
Règles d’accès basées sur l’entité (EBA)
Lorsque les règles d’accès aux enregistrements basés sur des entités sont activées sur la page Propriétés de configuration de l’accès basé sur l’entité, tous les contrôles, attestations de contrôle, indicateurs et tâches d’indicateur nouvellement créés associés à une entité configurée hériteront automatiquement de cette entité la valeur d’accès basé sur l’entité (EBA). Auparavant, les utilisateurs devaient exécuter des mises à jour d’accès en bloc pour appliquer les restrictions EBA chaque fois que de nouveaux objets étaient créés.