Visão geral estrutural de Gestão de políticas e conformidade

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 7 min. de leitura

    • Visão geral estrutural de Gestão de políticas e conformidade permite que você entenda como os diferentes módulos que compõem o. Gestão de políticas e conformidade aplicação de ServiceNow integrar e interagir uns com os outros.

    Figura 1. Visão geral estrutural dos módulos em Política e Conformidade
    Infográfico para fluxo do processo estrutural dos módulos em Política e Conformidade. Para obter a descrição do texto, consulte as etapas no fluxo do processo.
    Documento de autoridade
    Gestão de políticas e conformidade a aplicação começa identificando documentos de autoridade. Esses documentos são regulamentos externos que incluem leis, regulamentos e padrões com os quais sua organização precisa estar em conformidade, que dependem do tipo de negócio que sua organização faz e de sua localização. Os requisitos regulatórios geralmente são publicados por agências regulatórias que fornecem requisitos descritos por lei ou um determinado setor. Esses requisitos podem vir de regulamentações federais ou estaduais, como HIPAA (Health Insurance Portability and Accountability Act, Lei de Portabilidade e Responsabilidade de Seguro de Saúde), regulamentações internacionais, como GDPR (General Data Protection Regulation, Regulamento Geral de Proteção de Dados) ou regulamentações do setor, como PCI (Payment Card Industry, Indústria de Cartão de Pagamento) Cada um desses documentos, como HIPAA, GDPR e PCI, é um documento de autoridade.

    Por exemplo, o PCI DSS (Payment Card Industry Data Security Standards, Padrões de segurança de dados do setor de cartões de pagamento) é um padrão de segurança da informação e um documento de autoridade destinado a reduzir a fraude com cartão de pagamento. Ele fornece um conjunto de padrões de segurança para todas as organizações que aceitam pagamentos com cartão de crédito. Os provedores de serviços financeiros devem cumprir os padrões PCI para evitar fraudes e proteger os dados do titular do cartão e garantir que seus serviços comerciais sejam seguros e legais.

    Citação
    Uma citação é uma passagem ou uma expressão de um documento de autoridade (por exemplo, Unified Compliance Framework (UCF)) que sua empresa deve cumprir especificamente. É um requisito individual em um documento de autoridade. Criptografar a transmissão de dados do titular do cartão em redes públicas é um dos requisitos do PCI DSS para evitar o roubo de informações financeiras pessoais do consumidor por meio de transações com cartão de pagamento.

    As citações podem ser criadas manualmente ou importadas via UCF.

    Tipo de entidade
    O tipo de entidade é um agrupamento das entidades que correspondem a um conjunto de condições de filtro. Você pode gerar entidades automaticamente com base em uma consulta condicionada para qualquer tabela em sua instância. Por exemplo, considere um cliente com uma conta em um banco como um tipo de entidade. O cliente tem atributos como Nome, ID do cliente, tipo de conta, fonte de renda e outros, que são armazenados em uma tabela de informações do cliente, que pode ser consultada com base em qualquer um dos atributos.
    Entidade
    Uma entidade pode ser pessoas, departamentos, aplicações, objetos, servidores, equipamentos de rede externa, diferentes locais, servidores de dados, data warehouse - essencialmente qualquer coisa que você vai fazer um teste de controle e é de natureza política e conformidade. Por exemplo, uma pessoa que tem uma conta em um banco com um nome e informações financeiras relacionadas.

    As entidades são geradas automaticamente quando um tipo de entidade é criado.

    Política
    Depois que os documentos de autoridade são identificados, as empresas desenvolvem políticas que especificam como a unidade de negócios cumpriria os documentos de autoridade. Em um nível alto, as declarações de política definem o que a empresa deve ou não fazer. Por exemplo, uma organização pode definir uma política de proteção de dados que define os requisitos para proteger informações confidenciais do cliente. Políticas são documentos internos de uma organização e podem ser como uma política de firewall, política de rede, política de uso aceitável, segurança da informação, segurança de redes, proteção ambiental, e outros. Eles são uma agregação de diferentes controles e objetivos de controle que lidam com um aspecto específico do negócio.
    Confirmação da política
    O módulo de confirmação de política permite que os responsáveis pela política ou as equipes de conformidade enviem políticas para revisão e confirmação pelos funcionários para atender aos requisitos de conformidade.
    Exceção à política
    Isso permite que você tenha uma exceção em uma política. Por algum motivo, se você não puder cumprir uma política ou um controle, poderá registrar uma exceção em log.

    O módulo Exceção de política documenta qualquer situação em que a organização não pode seguir o controle documentado. A exceção de política tem seu próprio ciclo de vida e aprovações.

    Objetivo do controle
    Objetivos de controle são objetivos específicos que os controles devem atingir. Por exemplo, para garantir a política de proteção de dados, a empresa pode criar e manter uma rede segura. Para uma política de uso aceitável, pode haver um objetivo de controle para ter um proxy para manter o controle sobre os sites que os usuários estão visitando. Para uma política de rede, pode haver um objetivo de controle para ter senhas fortes.

    É por meio dos objetivos de controle que documentos e políticas de autoridade podem ser vinculados para aliviar a carga da conformidade - um objetivo de controle pode impor vários requisitos internos e externos. Citações também podem ser associadas a um ou mais objetivos de controle. Também é no nível de objetivo de controle que os controles e as políticas estão vinculados uns aos outros. Como alternativa, você pode ver um objetivo de controle e ver os mapeamentos de volta para Documentos de autoridade e políticas que mostram por que você executa as ações indicadas nos objetivos.

    O módulo de objetivos de controle é o hub principal do Gestão de políticas e conformidade aplicação. Enquanto os documentos de autoridade definem os objetivos regulatórios e as políticas documentam o que a empresa deve ou não fazer, os objetivos de controle definem exatamente como aderir a essas políticas e documentos de autoridade.

    Controle
    Um controle é uma implementação específica de um objetivo de controle. Por exemplo, para uma política de proteção de dados, a empresa pode garantir que os dados sejam copiados regularmente ou configurar um sistema de backup automatizado.

    Os controles são gerados automaticamente quando você associa uma política a um tipo de entidade ou um tipo de entidade a um objetivo de controle em que um controle é criado para cada entidade listada no tipo de entidade para o objetivo de controle. No entanto, os controles também podem ser criados manualmente. Os controles são testados para ver se são bem-sucedidos em atingir o objetivo de controle pretendido.

    Teste de controle
    Um controlo é posto à prova para garantir que é eficaz na realização do objetivo de controlo. Por exemplo, um teste de invasão garante a implementação adequada da criptografia de dados.
    Indicador
    Um indicador permite que você faça um teste nos controles e os testes podem ser programados diariamente, semanalmente, mensalmente ou trimestralmente. Uma tarefa de indicador é criada e enviada ao usuário para verificar se o controle está em conformidade e o indicador pode ser marcado como Aprovado ou Reprovado. Se a tarefa falhar, o controle não estará em conformidade e um problema será criado. Se o indicador passar no teste, o controle estará em conformidade até o próximo teste programado.

    Os modelos de indicador permitem a criação de vários indicadores para controles semelhantes. O modelo de indicador define os parâmetros dos indicadores e é mapeado para a Declaração de risco ou o objetivo de controle de acordo com o Tipo de indicador que ele monitora.

    Uma tarefa é criada sempre que o indicador é executado para coletar o resultado do indicador. Uma tarefa de indicador é criada de acordo com uma programação para garantir o monitoramento de acordo com uma frequência predefinida no formulário de indicador.

    Atestado
    Uma certificação avalia o controle para monitorar continuamente sua conformidade. Ao contrário de um indicador, a certificação é principalmente ad hoc e pode não ser programada.
    Ocorrência
    Se uma lacuna for identificada durante o teste de um controle, essa lacuna será chamada de problema. Os problemas podem incluir observações operacionais de auditorias, violações de conformidade normativa, violações de segurança ou outros resultados negativos. Ou, quando um teste de controle falha e não está em conformidade, um problema é criado. Os problemas podem ser compartilhados entre Gestão de políticas e conformidade, Gestão de riscos e Gestão de auditorias GRC aplicações. Você pode medir a eficácia do programa de gestão de riscos da sua empresa pela rapidez e profundidade com que ele identifica e reage a problemas de risco e conformidade.
    Tarefa de correção
    Depois que um problema é confirmado, a empresa identifica as etapas necessárias para corrigir o problema. Para mitigar um risco, você pode criar uma tarefa de correção para rastrear o trabalho de correção. Se uma triagem foi realizada, o problema de triagem será convertido em um problema real ou evento de risco. Você também pode rastrear o problema como uma recomendação ou fechá-lo como um não problema.