GRC 証明書テンプレートに基づくコントロールアセスメント

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:6分

    • アセスメント手法を使用してコントロールを証明するオプションを選択できます。このアセスメントは、Now Platform 手法に基づく従来のアセスメントに代わる手法です。

    スマートアセスメントを可能にする前提条件

    GRC 証明書テンプレートに基づくアセスメント手法を使用してコントロールを評価する場合は、Enable smart assessments on control システムプロパティを true に設定する必要があります。システムプロパティの詳細については、「スマートアセスメントをコントロールで有効にする」を参照してください。

    ベースシステム は、GRC: Policy and Compliance Management (sn_compliance) プラグインがインストールされている場合に、GRC スマートアセスメントテンプレートをユーザーに提供します。ただし、以下のスコープ対象のアプリケーションが必要です。
    1. Smart Assessment core (sn_smart_asmt)
    2. Smart assessment Migration tools (sn_smart_asmt_mig)
    3. Smart Assessment Connected (sn_smart_assessment_connected)
    4. スマートアセスメントデザイナー (sn-smart-assessment-builder)

    スマートアセスメントのユーザーロールに対するアクセスコントロール制限

    sn_grc.business_user および sn_grc.business_user_lite
    ログインしているユーザーは、コンプライアンスワークスペース、リスクポータル、従業員センター のタスクページにある [自分の証明書 (My Attestations)] にある証明書に回答できます。
    sn_compliance_ws.corporate_compliance_manager および sn_compliance_ws.it_compliance_manager
    テンプレートを表示および編集できます。
    sn_compliance.attestation_creator
    テンプレートカテゴリとテンプレートの移行を作成できます。
    sn_compliance.user
    コントロールカテゴリに関連するすべてのアセスメントを読み取ることができます。

    アセスメントのテンプレートカテゴリと移行のテーブル

    アセスメントのテンプレートカテゴリ [sn_smart_asmt_template_category]
    [カテゴリロール (Category role)] フィールドには、このカテゴリのテンプレートを読み取るために必要な最小限のリーダーロールの構成が含まれます。ロールには sn_smart_asmt.template_reader ロールが含まれている必要があります。
    アセスメントのテンプレートの移行 [sn_smart_asmt_mig_template_migration]
    既存のソースのメトリクスタイプとテンプレートカテゴリを新しいアセスメントのテンプレートフォーマットに移行するために使用されます。

    認証方法がコントロール目標とコントロール生成に及ぼす影響

    Enable smart assessments on control システムプロパティが true に設定され、コントロール目標レコードの [認証方法 (Attestation method)] フィールドの値が [証明書 (Attestation)] である場合、認証後にこのコントロール目標レコードに対して生成されるすべてのコントロールには、コントロール目標からのデフォルト値が設定されます。[認証方法 (Attestation method)] フィールドのデフォルト値は [証明書 (Attestation)] です。

    • コントロール目標がコントロールに関連付けられている場合、生成されたコントロールは [認証方法 (Attestation method)][証明書 (Attestation)] フィールドの値を継承します。
    • コントロールがコントロール目標から作成される場合、コントロール目標にこれらのフィールドの値があれば、[認証方法 (Attestation method)][証明書 (Attestation)] フィールドが事前に入力されます。
      注:
      コントロール目標に対して [コントロールを自動的に作成 (Create controls automatically)] オプションが有効になっている場合、コントロールは自動的に作成されます。

      [認証方法 (Attestation method)] フィールドは読み取り専用です。ただし、[証明書 (Attestation)] フィールドを編集して、証明書に別のテンプレートを選択することができます。コントロール目標に加えられたいかなる変更も、関連付けられたコントロールで自動的に更新されます。

    • コントロールが保存され、認証されると、コントロールレコードに [証明書 (Attestation)] 関連リストが表示されます。この関連リストには、[オープン (Open)] と [完了 (Completed)] ステータスにあるすべてのアセスメントインスタンスが表示されます。

      コントロール目標レコードでアセスメント手法が [従来の認証 (Classic attestation)] から [証明書 (Attestation)] に変更された場合、その変更は、コントロール目標に対して生成されたすべてのコントロールレコードに反映されます。コントロールが [証明 (Attest)] ステータスに移行するまでは、[認証方法 (Attestation method)][証明書 (Attestation)] フィールドの値を更新できます。

    • コントロールが以前に従来の認証方法を選択して生成されていた場合、 [従来の認証 (Classic attestation)] 関連リストには、完了したすべての認証の詳細が含まれます。
    • [ドラフトに戻る (Return to Draft)] ボタンを選択してコントロールを [ドラフト] ステータスに移行すると、アクティブだったすべてのアセスメントがキャンセルされます。同様に、コントロールが廃止されると、関連するすべてのアセスメントもキャンセルされます。
    • ポリシーの例外によりコントロールが [免除 (Exempt)] とマークされている場合、関連付けられたすべてのアセスメントがキャンセルされます。ただし、コントロールの [免除 (Exempt)] オプションがクリアされて、コントロールが [証明 (Attest)] ステータスにある場合は、アセスメントは再トリガーされます。また、コントロールの [証明書 (Attestation)] セクションのすべてのフィールドが読み取り専用になります。
    • ポリシーがコントロール目標に関連付けられており、そのポリシーが公開された場合、コントロール目標フォームのすべてのフィールドが読み取り専用になります。
    • コントロールが [証明 (Attest)] ステータスに移行すると、アセスメントがトリガーされます。メール通知は、コントロールオーナーとコントロールの証明書の回答者に送信されます。その件名には、当該コントロール番号の新しい証明書名および証明書の提出期限が示されています。
    • コントロール目標から生成されたコントロールのいずれかについて証明書が失敗した場合、そのコントロールは非準拠となり、問題が作成されます。または、コントロールに既存の問題がある場合は、 [問題ソース (Issue source)] フィールドが更新されます。コントロールが [証明 (Attest)] ステータスに移行し、証明書が合格した場合、既存の問題はクローズされ、コントロールは準拠した状態になります。