GRC の問題を手動で作成する
GRC ユーザーは、手動で問題を作成して、ポリシー、リスク、または監査観察事項を文書化するか、GRC の問題を受け入れることができます。問題のソースを特定して、問題の分析と分類を行うこともできます。
始める前に
必要なロール:(製品ごと)
- In ポリシーとコンプライアンス管理: sn_grc.business_user, sn_grc.business_user_lite
- In リスク管理: sn_grc.business_user, sn_grc.business_user_lite
- : Audit Managementsn_grc.business_user sn_grc.business_user_lite
問題に対するアクセス制御の制限の詳細については、「GRC business user role to control access and track usage of compliance tables (コンプライアンステーブルのアクセスを制御し、使用状況を追跡するための GRC ビジネスユーザーロール)」を参照してください。
手順
-
次のいずれかに移動します。
- すべて > Policy and Compliance > 問題 > 新規作成.
- リスク > 問題 > 新規作成.
- 監査 > 問題 > 新規作成.
注:上記の製品のバージョン 12.0.1 以降では、問題フォームの [アサイン先] ユーザーの最低限のロールは GRC ビジネスユーザー [sn_grc.business_user] です。[問題マネージャー] の最低限のロールは GRC ユーザー [sn_grc._user] です。 -
フォームのフィールドに入力します。
表 : 1. 問題フォーム フィールド 説明 数値 一意の識別番号。 アサイン先グループ この問題がアサインされているグループ。この問題でアクティビティが発生すると、各メンバーは通知を受信します。 アサイン先 問題を解決するためにアサインされたグループのメンバー。 バージョン 12.0.1 以降、ユーザーには少なくとも sn_grc.business_user ロールが必要です。
注:問題のアサイン先にする必要があるユーザーについての提案を得るには、電球アイコンを使用します。電球アイコンは、GRC: Predictive Intelligence アプリケーションが有効になっており、フォームが保存され、[アサイン先] フィールドが非アクティブになっており、GRC プロパティが類似性分析として選択されている場合にのみ表示されます。詳細については、「GRC のプロパティ」を参照してください。問題レコードにアクセスするユーザーの階層を構成できます。詳細については、「User hierarchy access control for issue and remediation task records (問題および修正タスクレコードのユーザー階層のアクセス制御)」を参照してください。
バージョン 12.0.1 以降では、問題マネージャーがより多くの情報を要求すると、アサイン先ユーザーにメール通知が送信されます。
バージョン 12.0.1 以降、問題が [対応] ステータスに移行する場合、[アサイン先] フィールドへの入力は必須です。
問題ソース 問題が作成されたソース。このフィールドには、問題の作成方法に基づいて次のいずれかのオプションが自動的に入力されます。 - インジケーター失敗:問題はインジケーターの失敗によって作成されます
- リスクアセスメント:問題はリスクで作成されます
- リスクイベント:問題はリスクイベントで作成されます
- コントロール証明書失敗:問題は非準拠コントロールが原因で作成されます
- コントロールテスト失敗:問題は、コントロールが無効で、コントロールテストが完了してクローズとしてマークされたときに作成されます
- アドホック:問題は手動で作成されます
問題タイプ 問題の種類。選択肢は次のとおりです。 - コントロール設計有効性の問題
- コントロール運用有効性の問題
- コントロールは要件を満たしていません
- コントロールが存在しません
- 規制への非準拠
- ポリシーへの非準拠
- 既存のポリシーに対する改善または提案
- 新しいポリシーの推奨事項
- プロセスの最適化または改善
- 観察事項
- データ漏洩
- 詐欺
- 虚偽
- トレーニング
- ドキュメント
- リスク問題
- その他
分類 問題タイプに基づく、リスク、コンプライアンス、または監査としての問題の分類。 問題マネージャーグループ 問題の管理とレビューを担当するグループ。 バージョン 12.0.1 以降、次の機能拡張と要件が導入されました。- 問題マネージャーグループのメンバーは、次のいずれかのロールが必要です。
- sn_audit.manager
- sn_audit.user
- sn_compliance.manager
- sn_compliance.user
- sn_grc.manager
- sn_grc.user
- sn_risk.manager
- sn_risk.user
- 問題が [分析] ステータスに移行するときは、[問題マネージャーグループ] または [問題マネージャー] フィールドのいずれかへの入力が必須です。
- 問題がグループにアサインされると、メンバーはメール通知を受信します。さらに、問題が [レビュー] ステータスに移行すると、問題マネージャーはメール通知を受信します。
問題マネージャー 問題の管理とレビューを担当するユーザー。 バージョン 12.0.1 以降、次の機能拡張と要件が導入されました。- 問題マネージャーには、少なくとも sn_grc.user ロールが必要です。
- アサイン先ユーザーが要求された情報を提供すると、問題マネージャーはメール通知を受信します。
- 問題が [分析] ステータスに移行する場合、このフィールドまたは [問題マネージャー] のいずれかへの入力が必須です。
- 問題が [応答] ステータスに移行する場合、このフィールドへの入力は必須です。
ステータス - 新規
- 分析
- 応答
- 評価
- 完了してクローズ
- 未完了でクローズ
サブステート サブステートとサブステートに適用される詳細。 優先度 問題を解決すべき順序 (影響度と緊急度に基づく): - 1 - 重大
- 2 - 高
- 3 - 中
- 4 - 低
- 5 - 計画中
問題評価 バージョン 12.0.1 以降、問題マネージャーは問題に問題評価をアサインすることができます。問題評価に基づいて、[日付] タブの下にある [期日] が次のように計算されて表示されます。 - 非常に高い (2 日)
- 高 (4 日)
- 中 (8 日)
- 低 (10 日)
- 非常に低い (15 日)
注:sn_grc.manager および sn_grc_advanced.issue_triage_manager ロールを持つユーザーは、次の場所に移動できます。 Policy and Compliance > 管理 > 問題評価 追加の問題評価を定義します。問題が [対応] ステータスに移行すると、[問題評価] フィールドは読み取り専用になります。
問題グループルール この問題にアサインされたグループルール。問題グループルールは、ルールで定義された条件に基づいて類似した問題を親問題にまとめてグループ化するために使用されます。このルールにより、同様の問題を同時に処理し、すべての問題が解決された後に親問題をクローズすることができます。それにより、すべての子問題がクローズされます。 親問題 この問題が属する親問題。 構成アイテム この問題に関連付けられているアイテム。すべての子問題に同じ構成アイテムがある場合、親問題にコピーされます 場所 問題が発生した場所。 簡単な説明 バージョン 12.0.1 以降、このラベルは [名前] に変更されました。
問題の名前。 説明 問題のより包括的な説明。 詳細 コントロール/リスク この問題に関連付けられたコントロールまたはリスク。 コントロールが関連付けられると、コントロールの対応するエンティティが [エンティティ] フィールドに追加され、コントロール目標が [コントロール目標/リスクステートメント] フィールドに追加されます。これらのコントロール目標とエンティティは、このコントロールにリンクされているものです。
コントロールが問題フォームに関連付けられると、m2m レコードがソース [sn_grc_m2m_issue_item] テーブルに作成されます。レコードがソーステーブルに追加されるたびに、対応するレコード [問題からエンティティ] が宛先 [sn_grc_m2m_issue_to_entity] テーブルに追加され、コントロールの関連付けられたエンティティとコントロール目標の別のレコード [問題からコンテンツ] が宛先 [sn_grc_m2m_issue_content] テーブルに追加されます。
エンティティ 関連エンティティ。 ポリシー 問題に関連付けられたポリシー。 各種法令・基準等 問題に関連付けられた各種法令・基準等。 コントロール目標/リスクステートメント この問題に関連するコントロール目標またはリスクステートメント。 推奨事項 リスク、コンプライアンス、または監査チームによって推奨される解決アクション。 アクションプラン 問題を修正するための計画。 日付 開始予定日 問題の作業の開始予定日時。 終了予定日 問題の作業の終了予定日時。 計画された期間 問題に対する作業時間の見積もり。 確認日 (バージョン 12.0.1 以降) 問題が確認された日付。このフィールドは読み取り専用で、問題が [新規] から次のいずれかのステータスに移行すると、当日の日付が表示されます。 - 分析
- レビュー
- 対応
注:トリアージ問題が実際の問題に変換された場合、このフィールドには変換された日付が表示されます。期日 (バージョン 12.0.1 以降) この日付は、GRC プロパティに基づいて自動入力されます。移動先 Policy and Compliance > 管理 > GRC プロパティ.[問題の評価に基づいて期日を自動入力] プロパティが [はい] に設定されている場合、問題のリスク評価に対して事前定義された修復期間に基づいてこのフィールドが自動入力されます。それ以外の場合は、期日を手動で入力できます。 問題が [応答] ステータスに移行する場合、このフィールドへの入力は必須です。
実開始日 この問題の作業が開始された時間。 実終了日 [実際の期間] 入力フィールドによって決定される読み取り専用の値。 実際の期間 作業時間。 作成日時 問題が作成された日時。 クローズ済み 問題がクローズされた日時。 エンゲージメント エンゲージメント 関連するエンゲージメント。 アクティビティ 追加コメント (顧客に表示) 問題に関する公開情報。[投稿] をクリックして、問題にコメントを追加します。 作業メモ [作業メモ] チェックボックスをクリックして、[作業メモ] フィールドを表示します。問題の解決方法に関する情報、または既に採った解決手順 (該当する場合)。作業メモは、問題にアサインされているユーザーに表示されます。[投稿] をクリックして、問題に作業メモを追加します。 機密性 機密 レコードの機密性を有効にするオプション。アサインされた機密ユーザーまたはユーザーの機密グループのみがレコードにアクセスできます。 機密オプションの詳細については、「監査およびコンプライアンスレコードの機密性フラグ」を参照してください。
リスクイベント リスクイベント 関連リスクイベント。 -
問題レコードを保存します。
画面の下部にあるタブを使用すると、問題を修正するためのさまざまなタスクを実行できます。ポリシー例外を追加し、修正タスクを作成できます。さらに、他の問題、インジケーターの結果、および問題に関連するタスク SLA を表示できます。注:バージョン 12.0.1 以降、[タスク SLA] タブは [期日] に基づいて SLA を作成して表示します。問題の [期日] までの 50% に達したとき、次に 75% に達したとき、その後、期日に達したときに、問題オーナーと問題マネージャーに通知が送信されます。[アサイン先] および [期日] フィールドが空でなく、問題が [新規] ステータスでない場合、その問題に対して SLA が作成されます。
SLA の期日が変更されると、新しい SLA が作成されます。問題が [完了してクローズ] または [未完了でクローズ] に移行すると、SLA は完了です。また、[期日] または [アサイン先] フィールドが空であるか、ステータスが [新規] の場合、SLA はキャンセルされます。
さらに、バージョン 12.0.1 以降では、アサイン先ユーザーおよび問題マネージャーのユーザーロール、および GRC ビジネスユーザーロールを持つユーザーを使用して修正タスクを作成できます。