コントロール証明書を管理

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:13分

    • 証明書は、コントロールが実装されていることを証明する証拠を収集するサーベイです。証明書には、コントロールの測定方法が記録されます。このメソッドは、[ドラフト] および [監視] ステータスでよく使用されます。

    証明書デザイナーは、ユーザーが証明書を作成および編集したり、スコアリングパラメーターを変更したりするために使用できる単一のインターフェイスを提供します。質問集にはさまざまなカテゴリの質問のライブラリが用意されているため、各アンケートを最初からビルドする必要はありません。

    注:
    コントロール証明書の詳細については、「ポリシーとコンプライアンス管理 のポリシーライフサイクルの概要」を参照してください。

    ユーザーは複数の証明書タイプを作成し、コントロール目標を異なる証明書に設定できます。[GRC 証明書] と呼ばれるサンプル証明書もデフォルトの証明書として提供されます。これは、以下の簡単な質問で構成されています。

    デフォルトでは、[GRC 証明書] はコントロールに使用され、次のアセスメントの質問を提供します。
    • このコントロールは実装されているか?
    • 証拠を添付
    • 説明

    [自分の証明書] はポリシーとコンプライアンスアプリケーションの [コントロール] セクションにあり、自分が回答者であるアクティブな証明書が含まれています。証明書は、コントロールごとに 1 つの証明書レコードでリストに表示されます。

    [自分のグループ化された証明書] には、類似のアセスメントに対して繰り返し回答するタスクを排除するためにグループ化した証明書が含まれています。

    [すべての証明書] はポリシーとコンプライアンスアプリケーションの [コントロール] セクションにあり、すべてのアクティブな証明書が含まれています。

    コンプライアンスマネージャーは、ニーズに合わせてさまざまなタイプの質問を含む証明書タイプを作成できます。「証明書デザイナーを使用してコントロール証明書を作成」を参照してください。

    コンプライアンスマネージャーは、コントロール目標ごとに新しい質問セットを作成できます。質問集にはさまざまなカテゴリの質問のライブラリが用意されているため、各アンケートを最初からビルドする必要はありません。「証明書タイプを作成」を参照してください。

    証明書デザイナー

    証明書デザイナーは、ユーザーが証明書を作成および編集したり、スコアリングパラメーターを変更したりするために使用できる単一のインターフェイスを提供します。

    すべての証明書レコードはアセスメントテーブルに保存され、それらのテーブルの証明書ビューに表示されます。

    証明書デザイナーを使用してコントロール証明書を作成

    証明書デザイナーを使用して、メトリクスタイプを作成および編集します。コントロールごとに異なるメトリクスタイプを使用します。証明書に対して複数の回答者を選択し、スコアリングパラメーターを変更します。

    始める前に

    必要なロール:sn_compliance.attest_creator、sn_compliance.manager、sn_compliance.administrator

    手順

    1. 次のように移動する。 All (すべて) > ポリシーとコンプライアンス > アドミニストレーション > 証明書タイプ.
    2. [証明書デザイナー] をクリックします。
      デザイナーには次の要素が含まれています。
      要素 説明
      コントロール サポートされている質問データのタイプは [Controls] パレットで利用可能です。コントロールをデザイナーキャンバスにドラッグして、そのタイプの質問を作成します。
      質問 さまざまなカテゴリの質問のライブラリで、各アンケートを最初からビルドする必要はありません。
      カテゴリ [デザイン] ビューで新しいアセスメントが開きます。アンケートの [名前] フィールドが、キャンバスの最初のカテゴリの上に表示されます。空白の質問フィールドがカテゴリコンテナに表示されます。
    3. [名前] フィールドに名前を入力します。
    4. コントロールをデザイナーキャンバスにドラッグして、そのタイプの質問を作成します。
      表 : 1. 質問コントロール
      データタイプ 説明 採点済み
      添付ファイル ユーザーが 1 つまたは複数のファイルを添付できる、[添付ファイルを管理] アイコンがある質問。 N
      ブーリアン ユーザー応答のためにチェック ボックスまたは [はい/いいえ] リストがある質問。 Y
      選択肢 事前定義済みオプションのリスト。詳細については、[選択肢] の定義を参照してください。 Y
      日付 [日付] フィールド。 N
      日付/時刻 [日付/時刻] フィールド。 N
      番号 事前定義された最小値と最大値を持つ数値フィールド。デフォルトは 1 ~ 10 です。 N
      パーセンテージ 範囲が指定されている [パーセンテージ] フィールド。 N
      スケール 事前定義されたリッカート尺度。回答オプションはラジオボタンとして表示されます。 Y
      数値スケール 選択可能な数値スケール。デフォルトは 1 ~ 5 です。回答オプションはラジオボタンとして表示されます。 Y
      文字列 1 行または複数行のテキスト フィールド。 N
      テンプレート オプションの事前定義済みスケールを示すテンプレートの選択リスト。
      注:
      すべての証明書にテンプレートをアサインすることが重要です。これにより、コントロール目標とエンティティタイプに基づいてコントロールを自動的に作成できます。
      		 Y
      参照 指定された参照テーブルからのフィールドの選択リスト。このデータタイプは参照修飾子をサポートしていません。 N
      注:
      採点するメトリクスの正しい答えを設定します。採点済みメトリクスは、コントロールのコンプライアンスステータスを決定します。
    5. 証明書デザイナーの右上にあるメニューアイコンをポイントして、次のいずれかのオプションを選択します。
      注:
      各オプションの可用性は、デザイナーで開いている証明書のステータスに依存します。
      オプション説明
      新しい証明書 新しい証明書の新規キャンバスを開きます。
      証明書をロード 選択して編集できる既存の証明書のリストを開きます。
      他のタイプのアセスメントとは異なり、コントロール証明書は セルフサービス > 自分のアセスメントとサーベイ 多くのコントロール証明書が一度に生成される可能性があるためです。代わりに、コントロール証明書はリストとして ポリシーとコンプライアンス > コントロール > 自分の証明書 モジュールと [すべての証明書 ] モジュール。

    次のタスク

    実装している場合 ポリシーとコンプライアンス管理 ソフトウェアを ポリシーとコンプライアンス管理 セットアップチェックリスト をクリックし、次のステップに進みます。

    証明書タイプを作成

    デフォルトの [GRC 証明書] タイプを使用するのではなく、コンプライアンスマネージャーはコントロール目標ごとに新しい質問セットを作成できます。

    始める前に

    必要なロール:sn_compliance.attestation_creator、sn_compliance.manager、または sn_compliance-admin

    手順

    1. 次のように移動する。 All (すべて) > ポリシーとコンプライアンス > アドミニストレーション > 証明書タイプ.
    2. [New] をクリックします。
    3. フォームのフィールドに入力します。
      表 : 2. アセスメントメトリクスタイプフォーム
      フィールド 説明
      名前 アセスメントタイプの名前。
      アセスメント期間 アセスメントの生成からアセスメントの完了までの許容時間。
      テーブル このアセスメントを適用するテーブル。
      尺度値 すべてのアセスメント結果に使用するスケール値。
      条件 テーブルから特定のレコードを定義します。
      説明 アセスメントに関する詳細。
      状況 アセスメントのステータス:[ドラフト] または [公開]
      条件を強制 指定された条件を満たさないこのタイプのアクセス可能なレコードを削除するかどうかを示すオプション。
      ロール このメトリクスタイプについての情報へのアクセス権限を持つロール。
    4. [送信] をクリックします。

    同じ応答機能を使用してコントロール証明書を統合する

    ポリシーとコンプライアンス管理リスク管理 は、証明書とリスクアセスメントをグループに統合するための 2 つの方法を提供し、これにより、類似のアセスメントに対して繰り返し応答するタスクを排除できます。グループ化されたアセスメントに同じ証拠を提供することも、同じユーザーインターフェイスで個々のアセスメントに応答することもできます。

    始める前に

    必要なロール: sn_grc.business_usersn_grc.business_user_lite

    このタスクについて

    同じ応答機能を使用してコントロール証明書を統合する場合は、最大 1000 件の質問を含む証明書をグループ化できます。グループの証明書またはリスクアセスメントが取得されると、グループ内のすべてのレコードが回答を継承します。
    注:
    1,000 件の質問制限を変更するには、次に移動します: All (すべて) > ポリシーとコンプライアンス > アドミニストレーション > GRC プロパティ をクリックし、 sn_grc.consolidated_questions_limit プロパティを変更します。

    ユーザーがこの機能にアクセスできないようにするには、次に移動します: All (すべて) > ポリシーとコンプライアンス > アドミニストレーション > GRC プロパティをクリックし、 sn_grc.enable_consolidate_asmt プロパティを無効にします。

    手順

    1. 次のように移動する。 All (すべて) > ポリシーとコンプライアンス > コントロール > 自分の証明書.
    2. グループ化する証明書を選択します。
    3. [選択した行のアクション] 選択リストから [グループアセスメント] を選択します。
      グループアセスメント
    4. [応答タイプ] で、[すべてのアセスメントに同じ回答を提供] を選択します。
    5. 必要に応じて、フィールドに入力します。
      フィールド 説明
      デフォルト基準 このフィールドのデフォルトは [メトリクスタイプ] です。
      追加の基準 オプションで、追加のグループ化基準を定義できます。
      • カテゴリ
      • コントロール目標/リスクステートメント
      • エンティティ

      デフォルトがニーズに合わない場合は、追加のアセスメント基準を定義することもできます。

      注:
      グループ化された証明書に選択した基準の複数のインスタンスが含まれている場合は、これらのグループ化スキームを使用することをお勧めします。たとえば、1 つのエンティティに関連付けられている 10 の証明書と、別のエンティティに関連付けられている他の 10 の証明書の計 20 の証明書のグループを選択した場合、このフィールドで [エンティティ] を選択すると、2 つの別々の証明書のグループが作成されます。ただし、グループが 1 つのエンティティに関連付けられた 5 つの証明書と、異なるエンティティに関連付けられた他の 15 の証明書で構成されている場合は、それらの 5 つの証明書のみがグループ化され、残りは無視されます。
      プレビュー [プレビュー] には、グループ化される証明書の数が表示されます。選択した [追加の基準] によっては、[プレビュー] に複数のグループが表示される場合があります。グループ化する証明書を表示するには、グループ化する証明書またはリスクアセスメントの数を示すリンクをクリックします。
    6. 統合する証明書またはリスクアセスメントに問題がない場合は、[グループ] をクリックします。

      確認メッセージと証明書グループへのリンクが表示されます。

      アセスメントで作成されたメッセージ
      注:
      証明書グループが作成されたら、次に移動して表示できます: ポリシーとコンプライアンス > コントロール > 自分のグループ化された証明書. グループ化された証明書を開いている場合、グループから 1 つ以上の証明書を削除することができます。これを行うには、削除する証明書を選択し、[選択した行のアクション] 選択リストから [アセスメントのグループ解除] を選択します。証明書が 1 つしかない状態でグループから証明書を削除すると、そのグループが削除されます。
    7. アセスメントを受ける準備ができたら、確認メッセージのリンクをクリックするか、[自分のグループ化された証明書] の証明書番号をクリックします。
      アセスメントインスタンス
    8. [アセスメントを実施] をクリックします。
    9. 他の場合と同様にアセスメントを完了し、[送信] をクリックします。
      グループ内のすべての証明書が入力された回答を継承し、グループ内の各証明書のステータスが [完了] に変更されます。

    異なる応答機能を使用してコントロール証明書を統合する

    ポリシーとコンプライアンス管理リスク管理 は、証明書とリスクアセスメントをグループに統合するための 2 つの方法を提供し、これにより、類似のアセスメントに対して繰り返し応答するタスクを排除できます。グループ化されたアセスメントに同じ証拠を提供することも、同じユーザーインターフェイスで個々のアセスメントに応答することもできます。

    始める前に

    必要なロール: sn_grc.business_usersn_grc.business_user_lite

    このタスクについて

    異なる応答機能を使用してコントロール証明書またはリスクアセスメントを統合する場合は、最大 150 件の質問を含む証明書またはリスクアセスメントをグループ化できます。すべての質問が 1 つの UI に表示されます。
    注:
    1,000 件の質問制限を変更するには、次に移動します: ポリシーとコンプライアンス > アドミニストレーション > GRC プロパティ をクリックし、 sn_grc.grouped_questions_limit プロパティを変更します。

    手順

    1. 次のように移動する。 All (すべて) > ポリシーとコンプライアンス > コントロール > 自分の証明書.
    2. グループ化する証明書を選択します。
    3. [選択した行のアクション] 選択リストから [グループアセスメント] を選択します。
      グループアセスメント
    4. [応答タイプ] で、[アセスメントごとに異なる応答を提供] を選択します。
    5. 必要に応じて、フィールドに入力します。
      フィールド 説明
      デフォルト基準 このフィールドのデフォルトは [メトリクスタイプ] です。
      追加の基準 オプションで、追加のグループ化基準を定義できます。
      • カテゴリ
      • コントロール目標/リスクステートメント
      • エンティティ

      デフォルトがニーズに合わない場合は、追加のアセスメント基準を定義することもできます。

      注:
      グループ化された証明書に選択した基準の複数のインスタンスが含まれている場合は、これらのグループ化スキームを使用することをお勧めします。たとえば、1 つのエンティティに関連付けられている 10 の証明書と、別のエンティティに関連付けられている他の 10 の証明書の計 20 の証明書のグループを選択した場合、このフィールドで [エンティティ] を選択すると、2 つの別々の証明書のグループが作成されます。ただし、グループが 1 つのエンティティに関連付けられた 5 つの証明書と、異なるエンティティに関連付けられた他の 15 の証明書で構成されている場合は、それらの 5 つの証明書のみがグループ化され、残りは無視されます。
      プレビュー [プレビュー] には、グループ化される証明書の数が表示されます。選択した [追加の基準] によっては、[プレビュー] に複数のグループが表示される場合があります。グループ化する証明書を表示するには、グループ化する証明書またはリスクアセスメントの数を示すリンクをクリックします。
    6. 統合する証明書またはリスクアセスメントに問題がない場合は、[グループ] をクリックします。

      確認メッセージと証明書グループへのリンクが表示されます。

      アセスメントで作成されたメッセージ
      注:
      証明書グループが作成されたら、次に移動して表示できます: ポリシーとコンプライアンス > コントロール > 自分のグループ化された証明書. グループ化された証明書を開いている場合、グループから 1 つ以上の証明書を削除することができます。これを行うには、削除する証明書を選択し、[選択した行のアクション] 選択リストから [アセスメントのグループ解除] を選択します。証明書が 1 つしかない状態でグループから証明書を削除すると、そのグループが削除されます。
    7. アセスメントを受ける準備ができたら、確認メッセージのリンクをクリックするか、[自分のグループ化された証明書] の証明書番号をクリックします。
      アセスメントインスタンス
    8. [アセスメントを実施] をクリックします。
      グループで選択したすべての証明書のアンケートが表示されます。
    9. 各証明書のアセスメントを完了し、[送信] をクリックします。

    アセスメントのグループ化基準を定義する

    デフォルトの基準がニーズに合わない場合は、必要に応じて、追加のグループ化基準を定義できます。

    始める前に

    必要なロール:sn_compliance.admin、sn_compliance.manager

    手順

    1. 次のように移動する。 All (すべて) > ポリシーとコンプライアンス > アドミニストレーション > アセスメントのグループ化基準.
      アセスメントのグループ化基準
    2. [新規] をクリックします。
      新しいアセスメントグループ化基準レコードを作成
    3. フォームのフィールドに入力します。
      フィールド 説明
      名前 アセスメントのグループ化基準の名前。
      フィールド名 アセスメントのインスタンス [asmt_assessment_instance] テーブルからフィールド名を選択します。
      [Active (アクティブ)] グループ化基準を有効にする場合に選択します。
    4. [Submit (送信)] を選択します。