ガバナンス、リスク、コンプライアンス と統合してアプリケーションのリスクとコントロールを特定します

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:7分

    • エンタープライズアーキテクチャ (旧 アプリケーションポートフォリオ管理) は ガバナンス、リスク、コンプライアンス (GRC) と統合され、ビジネスアプリケーションのリスクの特定と評価に役立ちます。

    始める前に

    必要なロール:アドミン

    このタスクについて

    GRC アプリケーションを使用すると、ハードウェア、ソフトウェア、ビジネスアプリケーションなどの資産に関連するリスクを分析できます。また、これらのリスクに関連付けられたコントロールを特定してテストしたり、それらの資産に対して実施された監査を確認したりすることもできます。この分析は、アプリケーションオーナーがビジネスアプリケーションのリスクを効果的に理解するのに役立ちます。

    アプリケーションオーナーは、外部監査システムを利用して監査プロセスを通じてアプリケーションを実行することなく、ビジネスアプリケーションがさらされている重大なリスクとコンプライアンスの問題を特定できます。

    エンタープライズアーキテクチャ を GRC と統合するには、次のプラグインをアクティブ化します。

    手順

    1. 移動先 すべて > システム定義 > プラグイン.
    2. GRC: GRC Profile Dependencies (com.snc.grc_profile_dep) プラグインをインストールします。
    3. GRC: ベンダーリスク管理依存関係 (com.snc.grc_vrm_dep) プラグインをインストールします。
    4. GRC: ポリシーとコンプライアンス管理依存関係 (com.snc.grc_policy_dep) プラグインをインストールします。

      これには、 ServiceNow アプリストアからの app-compliance のインストールも必要です。

      注:
      統合には、 ServiceNow アプリストアからインストールする必要がある特定のアプリケーションも必要です。アプリをダウンロードしてアクティブ化する方法については、「 ストアでアプリを要求する」 を参照してください。

    次のタスク

    ビジネスアプリケーションを参照するエンティティを作成します。エンティティを監査に添付します。

    ビジネスアプリケーションを参照する監査用のエンティティの作成

    ビジネスアプリケーションテーブルとその特定のアプリケーションレコードを参照してエンティティを作成します。エンティティを使用して、リスクエクスポージャーをスコーピングし、ビジネスアプリケーションのリスクアセスメントを実行します。

    始める前に

    必要なロール:sn_audit.admin または sn_audit.manager

    このタスクについて

    GRC では、プロファイルの代わりに エンティティという用語が使用されます。エンティティには、データベース、サーバー、ビジネスアプリケーションなど、監査可能なものが何でもかまいません。

    手順

    1. 移動先 すべて > 監査 > スコーピング > すべてのエンティティ.
    2. [新規] をクリックします。
    3. フォームで、フィールドに入力します。
      フィールドの詳細については、「エンティティフォーム」を参照してください。
    4. [送信] をクリックします。
      詳細については、以下を参照してください。

    エンティティへのリスクの関連付け

    エンティティをリスクに添付し、リスクレコードを作成します。ビジネスアプリケーションに悪影響を与える可能性のあるリスクを評価および特定します。

    始める前に

    必要なロール:sn_risk.admin および sn_risk.manager

    手順

    1. 移動先 すべて > リスク > リスク登録 > すべてのリスク.
    2. リスクフォームでリスクを作成します。

      リスクを手動で作成する」を参照してください。

      注:

      [ エンティティ ] フィールドでリスクをエンティティに関連付けます。

    エンゲージメントへのビジネスアプリケーションエンティティの追加

    エンティティが評価され、監査エンゲージメントについて評価されます。その後、監査エンゲージメントのスコープ対象で検証されたエンティティが監査に関連付けられます。

    始める前に

    必要なロール:sn_audit.manager または sn_audit.admin

    ビジネスアプリケーションエンティティをエンゲージメントに追加するには、エンティティフォームの [エンティティ] フィールドでビジネスアプリケーションを参照するエンティティを作成しておく必要があります。次を参照してください: ビジネスアプリケーションを参照する監査用のエンティティを作成します

    手順

    1. 移動先 すべて > 監査 > エンゲージメント > すべてのエンゲージメント.
    2. ビジネスアプリケーションエンティティをエンゲージメントに追加するには、[エンティティ] 関連リストの [追加] ボタンをクリックします。
      注:
      エンゲージメントは [スコープ] または [検証] ステータスである必要があります。

      エンゲージメントスコープにプロファイルを追加する」を参照してください。

      アプリケーションプロファイルがエンゲージメントに添付されると、関連付けられたプロファイルを持つエンゲージメントレコードがエンゲージメント [sn_audit_m2m_profile_engagement] テーブルに作成されます。

    ビジネスアプリケーションエンティティにコントロールを追加する

    リスクにさらされている可能性があるビジネスアプリケーションエンティティにコントロールを関連付けます。リスクを軽減し、ビジネスを保護するために、ビジネスアプリケーションを効果的にコントロールすることが必須です。ビジネスアプリケーションをアップグレードするときに、古いコントロールを置き換えることができます。

    始める前に

    必要なロール:アドミン

    コントロールを関連付ける前に、エンティティを作成しておく必要があります。コントロールは GRC で作成されます。

    手順

    コントロールを作成し、エンティティをコントロールに追加するには、「 コントロールの作成」を参照してください。
    • コントロール [sn_compliance_control] テーブルから選択するエンティティはビジネスアプリケーションである必要があり、レコードのエンティティ クラス はアプリケーションである必要があります。
    • コントロールレコードは、[ ドラフト ] または [廃止] ステータスのいずれかです。ただし、このような状況のコントロールは、ビジネスアプリケーションに関連付けられている エンタープライズアーキテクチャ (旧 アプリケーションポートフォリオ管理) には表示されません 。

    ビジネスアプリケーションのリスクとエンゲージメント ガバナンス、リスク、コンプライアンス 表示

    アプリケーションオーナーは、ビジネスアプリケーションがさらされているリスクを表示できます。ガバナンス、リスク、コンプライアンス (GRC) はビジネスアプリケーションエンティティを監査し、監査されたリスクとエンゲージメントは、ビジネスアプリケーションフォームのスクリプト化された関連リストとしてキャプチャされます。

    始める前に

    必要なロール:sn_apm.apm_user、sn_apm.business_stakeholder_apm_user

    手順

    1. 移動先 すべて > エンタープライズアーキテクチャ > アプリケーションポートフォリオ > すべてのビジネスアプリケーション.
    2. [ GRC リスク] 関連アイテムをクリックします。
    3. リスクステートメントの名前、その説明、リスクのカテゴリ (法務、財務、運用など)、リスクのレベルを示す固有の影響度、およびリスクが発生する可能性を示す固有の可能性を表示します。
      参照: リスク、リスクステートメント、およびリスクフレームワークの管理
    4. [ エンゲージメント ] 関連アイテムをクリックします。
    5. エンゲージメントの名前、エンゲージメントがアサインされているユーザー、エンゲージメントのステータス、アクティビティを開始する開始予定日、終了日、完了したエンゲージメントの割合、およびエンゲージメントの実際のコストを表示します。
      参照: エンゲージメントの管理
    6. [ コントロール] 関連アイテムをクリックします。
    7. コントロールの名前、その所有者、準拠しているかどうかのコントロールのステータス、予防、是正、検出のいずれかのコントロールの分類、およびスケジュール済みジョブが実行される証明書の頻度を表示します。

      参照: コントロールの管理

    8. GRC リスク関連リストのリスクレコードの横にある階層リストの表示/非表示矢印をクリックして、ビジネスアプリケーションのリスクに関連付けたすべてのコントロールを表示します。

      コントロールをリスクに関連付けると、コントロールとその関連リスクがリスクからコントロール [sn_risk_m2m_risk_control] テーブルに作成されます。

      図 : 1. リスクに関連付けられたコントロール
      リスクに関連付けられたコントロール