コントロールインジケーターを管理

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む11読むのに数分

    • 継続的な監視には、主要なリスクおよびコントロールインジケーターの特定と作成に関連するアクティビティが含まれます。コンプライアンスの概要は、コンプライアンス管理者とコンプライアンスマネージャーが利用でき、コンプライアンス要件、全体的なコンプライアンス、およびコンプライアンスのブレークダウンを提供します。

    インジケーターのサポート情報は、自動データ収集または手動タスクによって収集できます。インジケーターの結果は、コントロールの問題を作成し、リスクスコアを更新し、監査アクティビティとコントロールテストのサポート情報を提供するために使用されます。
    インジケーター
    インジケーターは、コントロールとリスクを監視するためにデータを収集し、監査証拠を収集します。インジケーターは単一のコントロールまたはリスクを監視します。
    インジケーターテンプレート
    インジケーターテンプレートを使用すると、類似するコントロールまたはリスクに複数のインジケーターを作成できます。

    コンプライアンスの概要

    表 : 1. ベースシステムのコンプライアンスの概要レポート
    名前 ビジュアル 説明
    コンプライアンス要件 ドーナツグラフ 特定のコンプライアンス領域にフォーカスするウェッジを選択します。
    全体的なコンプライアンス ドーナツグラフ システム内のすべてのコントロール要件の全体的なコンプライアンスを表示します。前のウィジェットで特定のウェッジを選択すると、その領域にフォーカスが移動します。
    エンティティ ドロップダウンリスト 1 つ以上のエンティティを選択して、複数のアイテムのコンプライアンスを表示します。
    コントロールステータス チェックリスト チェックボックスをオンまたはオフにして、コントロールのステータス別にフィルターレポートを表示します。
    各種法令・基準等別のコンプライアンス 棒グラフ 選択したエンティティや各種法令・基準等に応じて、コンプライアンスのレベルを比較します。
    コンプライアンスのブレークダウン マルチレベルピボット 関連する各種法令・基準等別のコントロールコンプライアンスのブレークダウンを表示します。
    非準拠のエンティティ 縦棒グラフ エンティティ別にグループ化された非準拠コントロール要件の数。

    各種法令・基準等

    各種法令・基準等は、法令・基準に確実に準拠するためのポリシー、リスク、コントロール、監査、およびその他のプロセスを定義します。

    各種法令・基準等はそれぞれレコードで定義され、そのレコードの関連リストには各種法令・基準等の個々の条件が含まれています。

    これらの各種法令・基準等関連リストアイテムの関係は、ポリシーとコンプライアンス管理 アプリケーションの GRC ワークベンチに表示されます。
    注:
    各種法令・基準等にコンテンツ参照タグを追加できます。コンテンツ参照タグを使用すると、レコードをフィルタリングして、各種法令・基準等に関連付けられたコンテンツパック、統合、およびユースケースアクセラレータをより簡単に識別できます。

    信頼できるソースコンテンツ

    各種法令・基準内項目には、相互に関連する可能性のある各種法令・基準等の規定が含まれています。各種法令・基準内項目は、各種法令・基準等を管理可能なテーマに分類します。

    引用を作成するか、UCF 各種法令・基準等からインポートして、引用間に必要な関係を作成できます。
    注:
    引用にコンテンツ参照タグを追加できます。コンテンツ参照タグを使用すると、レコードをフィルタリングして、引用に関連付けられたコンテンツパック、統合、およびユースケースアクセラレータをより簡単に識別できます。

    コントロールインジケーターを作成

    制御、リスク、監査の証拠のインジケーターデータは、GRC アプリケーションによって測定方法が異なります。

    始める前に

    必要なロール:sn_compliance_admin、sn_compliance_manager

    手順

    1. 次のいずれかに移動します。
      • Policy and Compliance > インジケーター > インジケーター.
      • リスク > インジケーター > インジケーター.
      • 監査 > インジケーター > インジケーター.
    2. [新規] を選択します。
    3. フォームのフィールドに入力します。
      表 : 2. インジケーターフォーム
      フィールド 説明
      カテゴリ コントロールインジケーターの場合は [コンプライアンスインジケーター] を、リスクインジケーターの場合は [リスクインジケーター] を選択します。
      名前 インジケーターの名前。
      適用先 [アイテム] に関連するエンティティ。
      所有グループ インジケーターを所有するグループ。
      所有者 インジケーターオーナー。
      番号 一意の識別番号。
      有効 インジケーターがアクティブかどうかを示すオプション。
      アイテム 関連するコントロールまたはリスク。
      テンプレート 関連するインジケーターテンプレート。
      テンプレートを上書き このインジケーターに関連付けられたインジケーターテンプレートを上書きするかどうかを示すオプション。
      最終結果 - 成功 前回の結果が成功したかどうかを示すオプション。
      スケジュール
      収集頻度 インジケーターの結果の収集頻度。インジケータータスクと結果は、インジケータースケジュールに基づいて自動的に生成されます。
      次回実行時間 インジケーターの結果の次回の収集時刻。
      方法 (Method)
      タイプ 結果は、タスクのアサインにより手動で、または基本フィルター条件、Performance Analytics、またはスクリプトを使用して自動的に収集できます。
      • マニュアル
      • 基本
      簡単な説明 このフィールドは、[タイプ] が [手動] の場合に存在します。問題の簡潔な説明。
      説明 このフィールドは、[タイプ] が [手動] の場合に存在します。インジケーターの結果の収集のための指示。
      必須の値 このフィールドは、[タイプ] が [手動] の場合に存在します。
      成功/失敗 このフィールドは、[タイプ] が [基本] の場合に存在します。インジケーターが成功または失敗します。
      PA しきい値 このフィールドは、[タイプ] が [PA インジケーター] の場合に存在します。関連する PA しきい値。
      スクリプト このフィールドは、[タイプ] が [スクリプト] の場合に存在します。必要なシステム情報を取得するスクリプト。
      提出データ
      注:
      バージョン 10.1 以降、インジケーターの結果またはインジケータータスクから得られるサポートデータレコードの実際の履歴データが表示されます。以前は、収集されたレコードのリアルタイムステータスのみを表示できました。
      テーブル サポートデータを使用して、他のアプリケーションから裏付け証拠を収集します。
      サポートデータフィールド 選択したテーブルに基づくサポートデータフィールド。
    4. [送信] を選択します。
      注:
      コンプライアンスマネージャーまたはコンプライアンス管理者は、ビジネスユーザー Lite ロールを持つユーザーにインジケータータスクをアサインできます。ビジネスユーザー Lite ロールを持つユーザーを [オーナー] フィールドでオーナーとしてアサインし、インジケーターを実行すると、[オープンタスク] 関連リストにインジケータータスクが作成されます。このインジケータータスクは、ビジネスユーザー Lite ロールを持つ所有者にアサインされます。

      ビジネスユーザー Lite ロールを持つユーザーは、次の場所に移動できます。 Policy and Compliance > インジケーター > 自分のインジケータータスク をクリックして、自分にアサインされているインジケータータスクを表示します。インジケーターを表示するには、[インジケーター] フィールドの横にある情報アイコンを選択します。[インジケータータスク] フォームの [結果] フィールド、[ステータス ] フィールド、[値] フィールド、[追加コメント]、および [作業メモ] を更新することもできます。

      Employee Center から同様のタスクを実行するには、以下を参照してください。 GRC Employee Center ポータルのタスク.

    次のタスク

    実装している場合 ポリシーとコンプライアンス管理 ソフトウェアを使用して、必要なセットアップ手順を完了します。戻る ポリシーとコンプライアンス管理 セットアップチェックリスト をクリックし、必要に応じてオプションの手順に進みます。

    GRC インジケーターテンプレートを作成する

    コンプライアンスマネージャーまたはリスクマネージャーは、多数のインジケーターを作成できるインジケーターテンプレートを作成します。

    始める前に

    必要なロール:
    • sn_compliance.admin または sn_compliance.manager
    • sn_risk.admin または sn_risk.manager
    • sn_audit.admin または sn_audit.manager
    • sn_grc.user

    手順

    1. 次のいずれかに移動します。
      • すべて > Policy and Compliance > インジケーター > インジケーターテンプレート.
      • すべて > リスク > インジケーター > インジケーターテンプレート.
    2. [新規] をクリックします。
    3. フォームのフィールドに入力します。
      表 : 3. インジケーターテンプレートフォーム
      フィールド 説明
      名前 インジケーターの名前。
      説明 インジケーターの説明。
      カテゴリ インジケータテンプレートを作成しているカテゴリ。たとえば、[リスク指標テンプレート] を選択して、リスク指標テンプレートを作成します。
      有効 インジケーターテンプレートがアクティブかどうかを判断するオプション。
      方法 (Method)
      タイプ インジケーターテンプレートのタイプを判断するために使用する方法。選択肢は次のとおりです。
      • [手動]:手動インジケーターは、ServiceNow インスタンスから取得できないデータに使用されます。これは、データがサードパーティの営業システムからの顧客データなど外部システムからのものであるためです。
      • [基本]:基本インジケーターは、インジケーターソースに基づく自動化されたインジケーターです。インジケータソースは、このテーブルのスコアが保存されるテーブルと頻度を指定します。
      • [スクリプト]:スクリプト化したインジケーターはカスタムスクリプトを使用してデータを収集します。
      値がターゲット値以上の場合の結果 結果構成フィールド。選択肢は次のとおりです。
      • 合格
      • 失敗

      たとえば、このフィールドに 100 を入力するとします。インジケーターの結果の出力が 100 を超えると、このフィールドに設定された値に基づいて、インジケーターのステータスは合格または失敗になります。
      ターゲットタイプ ターゲット値のタイプ。選択肢は次のとおりです。
      • [なし]:インジケーターのターゲットまたはしきい値を設定しない場合は、このオプションを使用します。
      • [パーセンテージ]:このオプションを使用して、パーセンテージ値でインジケーターの結果を決定します。
      • [カウント]:このオプションを使用して、カウント値または合計数でインジケーターの結果を決定します。
      ターゲット インジケーターが合格か失敗かを決定する値。
      説明 テンプレートの追加説明。
      必須の値 手動インジケーターのインジケータータスクで値を必須にするかどうかを決定するオプション。
      注:
      このオプションは、[タイプ] フィールドで [手動] が選択されている場合にのみ表示されます。このオプションは、[ターゲットタイプ] フィールドから [カウント] または [パーセンテージ] が選択されている場合に自動的に選択されます。
      サポートデータ
      注:
      バージョン 10.1 以降、インジケーターの結果またはインジケータータスクから得られるサポートデータレコードの実際の履歴データが表示されます。以前は、収集されたレコードのリアルタイムステータスのみを表示できました。
      提出データを含む インジケーターを実行するたびにサポートデータまたは証拠の収集を有効にするオプション。
      テーブル サポートデータの収集に使用されるテーブル。
      サポートデータフィールド サポートデータの収集に使用されるソーステーブルのフィールド。
      サンプルのコレクションタイプ カウントやパーセンテージなど、サポートデータ収集のタイプ。
      サンプルサイズ サポートデータの収集に使用する必要があるレコードの最小数。

      たとえば、基本インジケーターが大きなテーブルをクエリし、インジケーターの実行ごとに数千のレコードを返すことができます。すべてを保存する必要はありません。それらのレコードのサンプルのみで十分です。サンプルサイズに 100 を入力すると、クエリが数千を返しても 100 レコードのみが保存されます。
      基本基準
      基準 ソーステーブルからデータをフィルターする基準。
      参照フィールドを使用 [参照フィールド] の使用を有効にするオプション。
      参照フィールド サポートデータテーブルとエンティティの [適用するレコード] フィールド間の接続。
      追加の基準
      ターゲットを持つインジケーターを作成するには、詳細フィルター基準を使用します。このセクションは、[タイプ] フィールドで [基本] を選択している場合にのみ表示されます。このセクションは、さらにフィルター基準を提供するために使用されます。
      追加の基準 ターゲット値を計算するためのデータをフィルタリングするための追加の基準。このセクションは、[ターゲットタイプ] フィールドで [パーセンテージ] が選択されている場合にのみ表示されます。
      スケジュール
      収集頻度 インジケーターの結果の収集頻度。インジケータータスクと結果は、インジケータースケジュールに基づいて自動的に生成されます。
      最初の開始日 インジケーターの結果の初回収集時刻。このフィールドは、インジケーターまたはインジケーターテンプレートが初めて実行されるときに基づいて自動的に設定されます。このフィールドの値は変更できません。
      次回実行日 次回実行時間:このインジケーターテンプレートのすべてのダウンストリームインジケーターのインジケーター結果を収集します。
      期日の期間 (日数) インジケータータスクの作成から期日までの結果の生成までの期日期間。

      作成日に追加された期日期間は、インジケータータスクの 期日 として反映されます。

      このフィールドは、[タイプ] フィールドで [手動] を選択した場合にのみ表示されます。

      詳細については、「インジケーターの夜間ジョブのパフォーマンスの強化」を参照してください。
    4. これらのエントリを完了すると、次の関連リストの情報も表示することができます。
      • コントロール目標/リスクステートメント
      • コンテンツ参照
      注:
      [コントロール目標/リスクステートメント] タブを使用すると、同じテンプレートを複数のコントロール目標および / またはリスクステートメントに再利用できます。
    5. [送信] をクリックします。