Créer un contrôle à l’aide de Compliance Workspace
Les contrôles sont générés automatiquement lorsque vous associez une politique à un type d’entité, ou un type d’entité à un objectif de contrôle, ou lorsqu’une entité est ajoutée à un objectif de contrôle. Un contrôle est créé pour chaque entité répertoriée dans le type d’entité pour l’objectif du contrôle. Les contrôles peuvent également être créés manuellement à l’aide de .Compliance Workspace
Avant de commencer
Procédure
- Accédez à la Tous > Politique et Conformité > Espace de travail Compliance.
- Cliquez sur Créer une liste et sélectionnez Contrôle.
-
Renseignez les champs du formulaire.
Tableau 1. Formulaire Créer un contrôle Champ Description Numéro Numéro d’identification unique. Nom Nom du contrôle. Entité Entité connexe. Remarque :Si vous faites passer l’état de l’entité de l’état Actif à l’état Mis hors service, le contrôle créé manuellement sur l’entité passe également à l’état Brouillon.Statut État de contrôle. Les choix possibles sont : - Conforme
- Non conformes
- Non applicable
Hériter de l'objectif du contrôle Option permettant d’indiquer si le contrôle est créé via un processus de génération d’éléments. Pour plus d’informations, reportez-vous à la section Plusieurs contrôles pour une combinaison entité unique-objectif de contrôle. État État du contrôle. Les choix possibles sont : - Projet Dans cet état, tous les utilisateurs de conformité peuvent modifier le contrôle. Disponible uniquement lors de la création d’un contrôle ponctuel. Des contrôles ponctuels sont possibles mais non recommandés.
- Attester Lorsque le contrôle est créé à partir d’un objectif de contrôle, les contrôles sont dans cet état.Remarque :Lorsqu’un contrôle revient à l’état de brouillon, l’attestation est annulée.
- Examen Les contrôles sont automatiquement passés à l’état de révision à partir de la phase d’attestation.
- Moniteur Dans cet état, tous les gestionnaires de conformité peuvent passer le contrôle de l’état de révision à celui de surveillance.
- Retraite Les gestionnaires ou les administrateurs de conformité peuvent déplacer un contrôle de Moniteur vers Mis hors service. Remarque :Lorsqu’un contrôle est mis hors service :
- Les indicateurs associés ne s’exécutent pas
- Les attestations associées sont annulées
- Les changements apportés aux objectifs de contrôle associés ne mettent pas à jour le contrôle
Contrôle de première importance Indicateur indiquant que le contrôle est un contrôle clé. Cadre Marquez le contrôle comme exempté. Objectif du contrôle Objectif du contrôle connexe. Si vous créez un contrôle commun, vous devez sélectionner un objectif de contrôle.
Mise en application Liste des options : - Obligatoire
- Volontaire
Fonction Champ de fonction en lecture seule. Tous les contrôles créés sont des contrôles standard par défaut. Lorsque vous convertissez le contrôle en contrôle commun, la valeur devient Contrôle commun. Pondération Poids utilisé pour calculer le facteur d’échec du contrôle d’un risque. Définissez la pondération entre 1 et 10. Fréquence Liste des options : - Événementiel
- Quotidien
- Hebdomadaire
- Mensuel
- Trimestriel
- 2 fois par an
- Annuel
Remarque :Pour plus d’informations sur la différence entre le champFréquence d’un contrôle et le champFréquence d’attestation d’une entité, consultez KB0694607.Catégorie Liste des options : - Acquisition ou vente de services, de technologie et d'installations
- Audits et Gestion des risques
- Conformité et gouvernance du manuel de style
- Gestion des Ressources humaines
- Leadership et objectifs de haut niveau
- Surveillance et mesure
- Gestion des opérations
- Protection physique et environnementale
- Protection de confidentialité pour les données et les informations
- Gestion des enregistrements
- Renforcement du système via la gestion de configuration
- Continuité des systèmes
- Conception de systèmes, construction et implémentation
- Sécurité technique
- Surveillance des tiers et de la chaîne d’approvisionnement
- Racine
- Déconseillé
Type Liste des options : - Acquisition/Vente d'actifs ou de services
- Rapports ou mesures activables
- Audits et Gestion des risques
- Comportement
- Processus business
- Communiquer
- Configuration
- Données et gestion d'informations
- Dupliquer
- Établir des rôles
- Établir/maintenir la documentation
- Gestion des Ressources humaines
- Rechercher
- Zone d'impact IT
- Gestion des journaux
- Maintenance
- Surveiller et évaluer les occurrences
- Protection physique et environnementale
- Processus ou activité
- Gestion des enregistrements
- Continuité des systèmes
- Conception de systèmes, construction et implémentation
- Sécurité technique
- Test
- Formation
Classification Liste des options : - Prévention
- Correctif
- Détection
- Zone d'impact IT
Description Description du contrôle. Informations supplémentaires Informations supplémentaires sur le contrôle. Affectation Groupe propriétaire Groupe propriétaire de la politique. Propriétaire Utilisateur propriétaire de la politique. Remarque :Le propriétaire est toujours ajouté en tant que personne interrogée. Le propriétaire du contrôle que vous sélectionnez appartient au groupe propriétaire.Attestation Attestation Sélectionnez une option dans une liste d’options.
- D’autres types d’attestation peuvent être configurés.
- Si ce champ est renseigné, le champ Personnes chargées de répondre sur l’attestation devient automatiquement obligatoire et le propriétaire devient la personne chargée de répondre.
Remarque :Si l’utilisateur modifie le type d’attestation dans l’objectif du contrôle, tous les contrôles connexes sont également modifiés.Personnes chargées de répondre sur l'attestation - Utilisateurs affectés à l’attestation de ce contrôle.
- Seul un utilisateur ayant le rôle sn_grc.user peut être ajouté en tant que personne chargée de répondre.
Remarque :Lorsque les champs Attestation et Personnes chargées de répondre sur Attestation sont définis, des attestations sont créées lorsque vous cliquez sur Attester.Journal d'activité Commentaires supplémentaires Informations publiques sur le contrôle. -
Cliquez sur Enregistrer.
Le contrôle est créé et toutes les listes connexes sont visibles.
Si vous avez créé un contrôle commun, il existe des listes connexes Entités dépendantes et Types d’entités dépendantes, ainsi que d’autres listes connexes du contrôle. Utilisez la liste connexe Entités dépendantes pour associer des entités au contrôle commun. Vous pouvez également utiliser la liste connexe Types d’entités dépendantes pour ajouter un groupe d’entités d’un type d’entité au lieu de les associer une par une.
Figure 1. Listes connexes pour les contrôles communs Remarque :Pour plus d’informations sur l’association d’entités dépendantes pour un contrôle commun, consultez Convertir un contrôle standard en contrôle commun et ajouter des entités dépendantes. -
Sur la page Vue d’ensemble , cliquez sur le bouton Problèmes.
Vous pouvez ajouter un ou plusieurs problèmes connexes existants au contrôle que vous avez créé. En mappant les problèmes existants au contrôle, vous pouvez réduire le nombre de problèmes ouverts sur le document.
Lorsque vous ajoutez un problème à un contrôle, un enregistrement est créé pour associer l’élément qui est le contrôle au problème, dans la table Problème à contrôler [sn_grc_m2m_issue_item].
- Pour ajouter un problème au contrôle, cliquez sur le bouton Ajouter .
- Sélectionnez le ou les problèmes liés au contrôle dans la fenêtre contextuelle Problèmes.
-
Cliquez sur le bouton Ajouter .
Les problèmes sélectionnés sont ajoutés au contrôle en tant que problèmes connexes. Vous pouvez également créer un problème pour le contrôle en cliquant sur le bouton Nouveau .
-
Pour supprimer un problème qui est déjà ajouté au contrôle, sélectionnez-le et cliquez sur Supprimer.
Le mappage d’enregistrement associé entre le problème et le contrôle est supprimé de la table Problème vers l’élément.Remarque :Les boutons d’action d’interface utilisateur tels que Nouveau, Ajouter, Supprimer ne sont pas disponibles si le contrôle est dans l’état Mis hors service.