Réaliser un questionnaire de hiérarchisation CRI pour déterminer la valeur de niveau de l’entité

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 4 minutes de lecture

    • Réalisez un questionnaire de hiérarchisation CRI sur une entité pour déterminer son niveau. Les contrôles d’évaluation associés à ce niveau seront créés ou mis à jour. En fonction de la réponse de l’évaluateur au questionnaire CRI, l’état de conformité de chaque contrôle mappé à une question est déterminé et le score de conformité global de l’entité est calculé.

    Avant de commencer

    Rôle requis : sn_compliance_ws.corporate_compliance_analyst, sn_compliance_ws.corporate_compliance_manager sn_compliance_ws.it_compliance_manager

    Pourquoi et quand exécuter cette tâche

    Le Cyber Risk Institute (CRI) se concentre sur la collaboration avec les clients du secteur financier et les régulateurs et rationalise les normes de gestion de la conformité dans les organisations financières. Pour atténuer les risques, CRI a créé un profil en tant que profil CRI basé sur le contenu NIST CSF v2.0.

    Le contenu est basé sur les fonctions NIST CSF v2.0 telles que l’identification, la protection, la détection, la réponse, la récupération et la gouvernance, appelées instructions de diagnostic. Ces déclarations correspondent à diverses citations provenant des normes de l’industrie et généralisées en objectifs de contrôle communs. Lorsque les institutions financières se conforment à ces énoncés de diagnostic, elles se conforment automatiquement à toutes les réglementations et normes appliquées par le secteur financier.

    ServiceNow système de base fournit ce contenu de profil CRI aux clients et ils sont :
    L’évaluation CRI se fait en deux étapes :
    Questionnaire de hiérarchisation CRI
    Avec l’IRC, vous pouvez hiérarchiser votre organisation avec une série de questions prescriptives que vous posez pour évaluer votre entreprise. En fonction des réponses à l’évaluation, votre entreprise se voit attribuer une valeur de niveau.
    Évaluation du profil CRI
    Une fois le questionnaire de hiérarchisation CRI rempli et en fonction de l’état du niveau de votre entreprise, vous devez terminer la deuxième étape, l’évaluation du profil CRI, qui détermine l’état de conformité des contrôles et le score de conformité global de votre entreprise.

    Procédure

    1. Accédez à la Tous > Politique et Conformité > Espace de travail Conformité .
    2. Sélectionnez l’icône Listes (icône Listes).
    3. Dans la liste Bibliothèque de conformité des documents de référence du panneau de gauche, sélectionnez un document de référence basé sur CRI Profile v2.0.
    4. Sélectionnez la liste connexe Contenu des documents de référence pour afficher les contenus des documents de référence associés au document de référence, puis sélectionnez un contenu des documents de référence.
      Chacune de ces citations est associée à un objectif de contrôle.
    5. Dans la page de vue d’ensemble de l’enregistrement de citation, sélectionnez la liste connexe Objectif de contrôle.
    6. Sélectionnez un enregistrement d’objectif de contrôle et cliquez sur la liste connexe Contenu des documents de référence pour afficher les contenus des documents de référence connexes provenant du Profil CSF v2.0 et du FFIEC.
      Vous saurez comment les enregistrements sont mappés au contenu du profil CSF v2.0. Vous avez également le contenu pour FFIEC CAT et NIST CSF v2.0 dans la bibliothèque Compliance – Documents de référence. Avec ces contenus disponibles, vous pouvez remplir le questionnaire de hiérarchisation pour votre entreprise ou votre filiale.
    7. Dans la page Listes, sélectionnez Toutes les entités , puis cliquez sur un enregistrement d’entité.
    8. Sélectionnez la liste connexe Détails de l’enregistrement d’entité et cliquez sur le champ Classe .
      Sélectionnez n’importe quelle classe d’entité, où l’option Est CRI est activée pour le profil de risque de cybersécurité (CRI). Ce marqueur détermine si cette classe est applicable pour l’évaluation du profil CRI. Toute entité associée à cette classe a le droit d’être évaluée pour le questionnaire de hiérarchisation CRI.
    9. Fermez l’enregistrement et sélectionnez la liste connexe Détails de l’entité.
    10. Saisissez les détails du niveau dans la liste connexe Profil de risque de cybersécurité (CRI).
      Pour plus d'informations, consultez
      • Le formulaire Entité dans Créer une entité.
      • Les listes connexes de la section Entités.
    11. Sélectionnez l’icône Actions supplémentaires, puis cliquez sur l’option Initier le questionnaire de hiérarchisation CRI .
    12. Saisissez un message dans le champ Message et sélectionnez le bouton Initier le questionnaire de hiérarchisation dans la fenêtre contextuelle du questionnaire de hiérarchisation CRI.
      Une fois le questionnaire de hiérarchisation lancé, la liste connexe du questionnaire de hiérarchisation CRI apparaît dans l’enregistrement d’entité.
    13. Sélectionnez la liste connexe du questionnaire de hiérarchisation CRI et cliquez sur le lien de l’instance d’évaluation.
      Vous pouvez également répondre à l’évaluation à partir de la liste Évaluations de niveau de la liste connexe Mes tâches en attente sur la page Tâches et à partir du portail des employés. Passez en revue les instructions d’évaluation de la hiérarchisation et répondez aux questions. En fonction de votre réponse à chaque question, le niveau de l’entité est déterminé.

      Pour répondre à une attestation, consultez Répondre aux attestations à partir de la page Tâches de Conformité de l'espace de travail et Répondre aux évaluations.

    14. Après avoir soumis votre évaluation, ouvrez l’enregistrement d’entité pour afficher la valeur du niveau dans le champ Niveau de la section Profil de risque de cybersécurité (CRI).
      En outre, en fonction de la valeur du niveau, vous pouvez également connaître le nombre de contrôles qui sont générés en fonction des objectifs de contrôle provenant du profil de niveau.
    15. Pour afficher les contrôles mappés à la valeur du niveau, sélectionnez la liste connexe Contrôles en aval .
      Une fois le niveau déterminé en fonction du questionnaire de hiérarchisation, vous pouvez maintenant effectuer l’évaluation du profil CRI.