애플리케이션 위험 및 제어를 식별하기 위해 거버넌스, 리스크 및 컴플라이언스와 통합

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 5분

    • 엔터프라이즈 아키텍처 (이전 애플리케이션 포트폴리오 관리) 는 비즈니스 애플리케이션의 위험을 식별하고 평가하는 데 도움이 되는 (GRC)와 거버넌스, 리스크 및 컴플라이언스 통합됩니다.

    시작하기 전에

    필요한 역할: 관리자

    이 태스크 정보

    GRC 애플리케이션을 사용하여 하드웨어, 소프트웨어 및 비즈니스 애플리케이션과 같은 자산과 관련된 위험을 분석할 수 있습니다. 또한 이러한 위험과 관련된 제어 기능을 식별하고 테스트할 수 있으며, 이러한 자산을 대상으로 실시된 감사를 확인할 수도 있습니다. 이 분석을 통해 애플리케이션 소유자는 비즈니스 애플리케이션의 위험을 효과적으로 파악할 수 있습니다.

    애플리케이션 소유자는 외부 감사 시스템에 참여하고 감사 프로세스를 통해 애플리케이션을 실행할 필요 없이 비즈니스 애플리케이션이 노출되는 중요한 위험과 준수 문제를 식별할 수 있습니다.

    다음 플러그인을 활성화하여 GRC와 통합합니다 엔터프라이즈 아키텍처 .

    프로시저

    1. 다음으로 이동 모두 > 시스템 정의 > 플러그인.
    2. GRC: GRC Profile Dependencies(com.snc.grc_profile_dep) 플러그인을 설치합니다.
    3. GRC: Vendor Risk Management Dependencies(com.snc.grc_vrm_dep) 플러그인을 설치합니다.
    4. GRC: Policy and Compliance Management Dependencies(com.snc.grc_policy_dep) 플러그인을 설치합니다.

      이를 위해서는 ServiceNow 앱 스토어에서 앱 규정 준수 기능을 설치해야 합니다.

      주:
      통합을 위해서는 ServiceNow 앱 스토어에서 설치해야 하는 특정 애플리케이션도 필요합니다. 애플리케이션 다운로드 및 활성화 지침은 스토어에서 앱 요청을 참조하십시오.

    다음에 수행할 작업

    비즈니스 애플리케이션을 참조하는 엔터티를 생성합니다. 엔터티를 감사에 연결합니다.

    비즈니스 애플리케이션을 참조하는 감사를 위한 엔터티 생성

    비즈니스 애플리케이션 테이블과 해당하는 특정 애플리케이션 기록에 대한 참조를 사용하여 엔터티를 생성합니다. 엔터티를 사용하여 위험 노출의 범위를 지정하고 비즈니스 애플리케이션에 대한 위험 평가를 수행합니다.

    시작하기 전에

    필요한 역할: sn_audit.admin 또는 sn_audit.manager

    이 태스크 정보

    GRC에서는 프로필 대신 엔터티라는 용어를 사용합니다. 엔터티는 감사할 수 있는 데이터베이스, 서버 또는 비즈니스 애플리케이션 등이 될 수 있습니다.

    프로시저

    1. 다음으로 이동 모두 > 감사 > 범위 지정 > 모든 엔터티.
    2. 새로 만들기를 클릭합니다.
    3. 양식의 필드에 내용을 입력합니다.
      필드 정보는 엔터티 양식 문서를 참조하십시오.
    4. 제출을 클릭합니다.
      자세한 내용은 다음을 참조하십시오.

    엔터티에 위험 연결

    엔터티를 위험에 연결하고 위험 기록을 생성합니다. 비즈니스 애플리케이션에 부정적인 영향을 미칠 수 있는 위험을 평가하고 식별합니다.

    시작하기 전에

    필요한 역할: sn_risk.admin 및 sn_risk.manager

    프로시저

    1. 다음으로 이동 모두 > 위험 > 위험 등록 > 모든 위험.
    2. 위험 양식에서 위험을 생성합니다.

      참조: 수동으로 위험 생성.

      주:

      엔터티 필드의 엔터티와 위험을 연결합니다.

    계약에 비즈니스 애플리케이션 엔터티 추가

    엔터티는 감사 계약에 따라 평가됩니다. 감사 계약 범위가 지정되면 확인된 엔터티가 감사에 연결됩니다.

    시작하기 전에

    필요한 역할: sn_audit.manager 또는 sn_audit.admin

    계약에 비즈니스 애플리케이션 엔터티를 추가하려면 엔터티 양식의 엔터티 필드에서 비즈니스 애플리케이션을 참조하는 엔터티를 생성해두어야 합니다. 비즈니스 애플리케이션을 참조하는 감사를 위한 엔터티 생성을 참조하십시오.

    프로시저

    1. 다음으로 이동 모두 > 감사 > 참여 > 모든 참여.
    2. 계약에 비즈니스 애플리케이션 엔터티를 추가하려면 엔터티 관련 목록에서 추가 버튼을 클릭합니다.
      주:
      계약은 범위 또는 확인 상태여야 합니다.

      참조: 계약 범위에 프로필 추가.

      애플리케이션 프로필이 계약에 연결되면 프로필이 연결된 계약 기록이 계약 프로필[sn_audit_m2m_profile_engagement] 테이블에 생성됩니다.

    비즈니스 애플리케이션 엔터티에 통제 추가

    위험이 있을 수 있는 비즈니스 애플리케이션 엔터티에 통제를 연결합니다. 위험을 완화하고 비즈니스를 보호하려면 비즈니스 애플리케이션에 효과적인 통제를 설정해야 합니다. 비즈니스 애플리케이션을 업그레이드하면 오래된 통제를 교체할 수 있습니다.

    시작하기 전에

    필요한 역할: admin

    통제를 연결하기 전에 엔터티를 생성해두어야 합니다. GRC에서 통제가 생성됩니다.

    프로시저

    통제를 생성하고 통제에 엔터티를 추가하려면 통제 생성을 참조하십시오.
    • 통제[sn_compliance_control] 테이블에서 선택하는 엔터티는 비즈니스 애플리케이션이어야 하며 기록의 엔터티 클래스는 애플리케이션이어야 합니다.
    • 통제 기록은 초안 또는 폐기됨 상태일 수 있습니다. 그러나 이러한 상태의 통제는 (이전의 애플리케이션 포트폴리오 관리)에서 엔터프라이즈 아키텍처 비즈니스 애플리케이션과 연결되지 않습니다.

    비즈니스 애플리케이션의 거버넌스, 리스크 및 컴플라이언스 위험 및 계약 보기

    애플리케이션 소유자는 비즈니스 애플리케이션이 노출된 위험을 볼 수 있습니다. 거버넌스, 리스크 및 컴플라이언스(GRC)에서는 비즈니스 애플리케이션 엔터티를 감사하고 감사 대상 위험 및 계약은 비즈니스 애플리케이션 양식에서 스크립팅된 관련 목록으로 캡처됩니다.

    시작하기 전에

    필요한 역할: sn_apm.apm_user, sn_apm.business_stakeholder_apm_user

    프로시저

    1. 다음으로 이동 모두 > 엔터프라이즈 아키텍처 > 애플리케이션 포트폴리오 > 모든 비즈니스 애플리케이션.
    2. GRC 위험 관련 항목을 클릭합니다.
    3. 위험 설명의 이름, 설명, 위험 범주(법무, 재무, 운영 등), 위험 수준을 나타내는 고유 영향, 위험이 발생할 가능성을 나타내는 고유 가능성을 봅니다.
      참조: 위험, 위험 설명 및 위험 프레임워크 관리
    4. 계약 관련 항목을 클릭합니다.
    5. 계약 이름, 계약이 할당된 사용자, 계약 상태, 활동을 시작할 계획된 시작 날짜, 종료 날짜, 완료된 계약의 비율 및 실제 계약 비용을 봅니다.
      참조: 계약 관리
    6. 통제 관련 항목을 클릭합니다.
    7. 통제 이름, 소유자, 규정 준수 여부에 대한 통제 상태, 예방, 시정 또는 감지 여부에 대한 통제 분류, 예약된 작업이 실행되는 증명 빈도를 봅니다.

      참조: 통제 관리

    8. GRC 위험 관련 목록의 위험 기록 옆에 있는 계층형 목록 표시/숨김 화살표를 클릭하여 비즈니스 애플리케이션의 위험에 연결된 모든 통제를 봅니다.

      통제를 위험에 연결하면 위험이 연결된 통제가 통제할 위험 [sn_risk_m2m_risk_control] 테이블에 생성됩니다.

      그림 1. 위험에 연결된 통제
      위험에 연결된 통제