CRI 階層アセスメントを実行してエンティティの階層値を決定する

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:5分

    • エンティティの CRI 階層アセスメントを実行して、その階層を決定します。CRI アンケートへの査定人の回答に基づいて、質問にマップされた各コントロールのコンプライアンスステータスが決定され、エンティティの全体的なコンプライアンススコアが計算されます。

    始める前に

    必要なロール:sn_compliance_ws.corporate_compliance_analyst

    このタスクについて

    Cyber Risk Institute (CRI) は、金融セクターの顧客や規制当局との協力を中心に、金融機関におけるコンプライアンス管理基準の簡素化を推進しています。リスクを軽減するために、CRI は NIST CSF v2.0 コンテンツに基づくプロファイルを CRI プロファイルとして作成しました。

    コンテンツは、診断ステートメントとして呼び出される識別、保護、検出、応答、復旧、統制などの NIST CSF v2.0 の機能に基づいています。これらのステートメントは、業界標準からのさまざまな引用にマッピングされ、共通のコントロール目標として一般化されています。金融機関は、これらの診断ステートメントに準拠することで、金融セクターで施行されているすべての規制と基準に自動的に準拠できます。

    ServiceNow ベースシステム は、この CRI プロファイルコンテンツをお客様に提供し、以下が含まれます。
    • CRI プロファイルの各種法令・基準等。
    • FFIEC CAT は CRI Accelerator の一部です。詳細については、「Cyber Risk Institute Accelerator」を参照してください。
    • NIST CSF v2.0 コンテンツは CSF Accelerator の一部です。詳細については、「NIST CSF プロセスの概要」を参照してください。
    CRI アセスメントは、次の 2 つのステップで構成されます。
    CRI 階層アセスメント
    CRI では、会社を評価するための規範的な一連の質問を使用して組織を階層化できます。アセスメントへの回答に基づいて、会社には階層 1、階層 2、階層 3、階層 4 などの階層値が割り当てられます。
    CRI アセスメント
    CRI 階層アセスメントが完了した後、会社の階層ステータスに基づいて、2 つ目のステップである CRI アセスメントを完了する必要があります。CRI アセスメントでは、コントロールのコンプライアンスステータスと会社の全体的なコンプライアンススコアを決定します。

    手順

    1. 移動先 すべて > Policy and Compliance > Compliance ワークスペース.
    2. リスト (リストアイコン) アイコンを選択します。
    3. 左ペインの [各種法令・基準等のコンプライアンスライブラリ (Compliance library of Authority documents)] リストから、CRI プロファイル v2.0 に基づいて各種法令・基準等を選択します。
    4. [引用] 関連リストを選択して、各種法令・基準等に関連付けられた引用を表示し、引用を選択します。
      これらの各引用には、コントロール目標が関連付けられています。
    5. 引用レコードの概要ページから、[コントロール目標] 関連リストを選択します。
    6. コントロール目標レコードを選択し、[引用] 関連リストをクリックして、CSF プロファイル v2.0 および FFIEC からの関連する引用を表示します。
      レコードが CSF プロファイル v2.0 コンテンツにどのようにマッピングされるかがわかります。また、コンプライアンスライブラリ - 各種法令・基準等に FFIEC CAT および NIST CSF v2.0 のコンテンツがあります。これらのコンテンツが利用可能になると、会社または子会社の階層アセスメントを実行できます。
    7. [リスト] ページで [すべてのエンティティ] を選択し、エンティティレコードをクリックします。
    8. エンティティレコードの [詳細] 関連リストを選択し、[クラス] フィールドをクリックして会社レコードを開きます。
      会社のサイバーセキュリティリスクプロファイル (CRI)[CRI である (Is CRI)] オプションが有効になっているエンティティクラスを選択します。このフラグは、このクラスが CRI アセスメントに適用可能かどうかを決定します。このクラスに関連するすべてのエンティティは、CRI 階層アセスメントを受ける資格があります。
    9. 会社レコードを閉じ、エンティティの [詳細] 関連リストを選択します。
    10. [サイバーセキュリティリスクプロファイル (CRI)] 関連リストに階層の詳細を入力します。
      詳細については、次を参照してください。
      • エンティティの作成 のエンティティフォーム。
      • [エンティティ] セクション の関連リスト。
    11. [その他のアクション] アイコンアイコンを選択し、[CRI 階層アセスメント] オプションをクリックします。
      エンティティのオーナーである場合は、この UI オプションを表示して階層アセスメントを開始できます。

      [CRI 階層アセスメント (CRI tiering assessment)] ポップアップ。

    12. [メッセージ] フィールドにメッセージを入力し、[CRI 階層アセスメント (CRI tiering assessment)] ポップアップの [階層アセスメント (Tier assessment)] ボタンを選択します。
      階層アセスメントを開始すると、[CRI 階層アセスメント (CRI tiering assessment)] 関連リストがエンティティレコードに表示されます。
    13. [CRI 階層アセスメント (CRI tiering assessment)] 関連リストを選択し、アセスメントインスタンスのリンクをクリックします。
      [タスク] ページの [自分の処理待ちのタスク] 関連リストの [階層アセスメント (Tier assesments)] リストからアセスメントに回答することもできます。階層アセスメント手順を確認し、質問に回答します。各質問への回答に基づいて、エンティティの階層レベルが決定されます。

      証明書に回答するには、「コンプライアンスワークスペース の [タスク] ページからの証明書に回答する」と「アセスメントに回答する」を参照してください。

    14. アセスメントを送信した後、エンティティレコードを開いて、[サイバーセキュリティリスクプロファイル (CRI)] セクションの [階層] フィールドの階層値を表示します。
      さらに、階層値に基づいて、階層プロファイルからのコントロール目標に基づいて生成されるコントロールの数を知ることもできます。
    15. 階層値にマッピングされたコントロールを表示するには、[ダウンストリームコントロール] 関連リストを選択します。
      階層アセスメントに基づいて階層が決定されると、CRI アセスメントを実行できます