Composants installés avec Policy and Compliance Management

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 12 minutes de lecture

    • Les rubriques de référence fournissent des informations supplémentaires sur les composants installés avec l’activation Policy and Compliance Management du module d’extension. Ces composants comprennent des tables, des rôles d’utilisateur et des propriétés.

    Remarque :
    La table Fichiers d'application répertorie les composants installés avec cette application. Pour savoir comment accéder à cette table, consultez Trouver les composants installés avec une application.

    Les données de démonstration sont disponibles pour cette fonctionnalité.

    Tables installées avec Policy and Compliance Management

    Des tables sont ajoutées avec l’activation de GRC: Policy and Compliance Management.

    Tableau 1. Tables installées
    Table Description
    Document de référence

    [sn_compliance_authority_document]

    		 Étend la table Document [sn_grc_document] et stocke toutes les sources de référence.
    Contrôle

    [sn_compliance_control]

    		 Étend la table Élément [sn_grc_item] et stocke tous les contrôles.
    Stratégie

    [sn_compliance_policy]

    		 Étend la table Document [sn_grc_document] et stocke toutes les politiques.
    Modèle d'article

    [sn_compliance_article_template]

    		 Utilisé pour formater le texte de politique contenu dans un enregistrement de politique lors de la publication de la politique dans la base de connaissances (KB).
    Contenu source d'autorité

    [sn_compliance_citation]

    		 Étend la table Contenu [sn_grc_content] et stocke toutes les citations.
    Mappage de la cote de risque de l’exception de politique [sn_compliance_policy_exception_risk_rating_mapping] Stocke les détails du mappage de la cote d’évaluation des risques avec la cote de risque de l’exception de politique.
    Politique à Type d'entité

    [sn_compliance_m2m_policy_profile_type]

    		 Étend le document au type d’entité [sn_grc_m2m_document_profile_type] et est une table de relations plusieurs-à-plusieurs utilisée pour gérer les relations entre les politiques et les types d’entité.
    Objectif du contrôle à Citation

    [sn_compliance_m2m_statement_citation]

    		 Table de relations plusieurs-à-plusieurs utilisée pour gérer les relations entre les objectifs de contrôle et leurs citations connexes.
    Objectif du contrôle à Type d'entité

    [sn_compliance_m2m_statement_profile_type]

    		 Étend le contenu au type d’entité [sn_grc_m2m_content_profile_type] et est une table de relations plusieurs-à-plusieurs utilisée pour gérer les relations entre les objectifs de contrôle et le type d’entité.
    Objectif du contrôle

    [sn_compliance_policy_statement]

    		 Étend la table Contenu [sn_grc_content] et stocke tous les objectifs de contrôle.
    Exigence d'objectifs de contrôle

    [sn_compliance_policy_stmt_requirement]

    		 Stocke le numéro et la description de l’exigence d’une exigence d’objectif de contrôle.
    Objectif du contrôle associé à l'exigence d'objectif du contrôle

    [sn_compliance_m2m_policy_stmt_policy_stmt_rqmt]

    		 Table de relations plusieurs-à-plusieurs utilisée pour gérer les relations entre l’objectif de contrôle et l’exigence d’objectif de contrôle.
    Exigence de contrôle

    [sn_compliance_control_requirement]

    		 Stocke le numéro d’exigence du contrôle
    Exigence de contrôle à contrôle

    [sn_compliance_m2m_control_control_requirement]

    		 Table de relations plusieurs-à-plusieurs qui stocke le contrôle et les détails des exigences de contrôle. Le champ État d’implémentation indique si l’exigence est héritée ou auto-implémentée.
    Sélection du besoin

    [sn_compliance_hybrid_selection]

    		 Stocke les sélections d’exigences de contrôle. Elle contient les détails des exigences de contrôle, de l’objectif de contrôle, de l’entité et du package d’autorisation.
    Exception de politique

    [sn_compliance_policy_exception]

    		 Stocke toutes les exceptions de politique.
    Politique à Déclaration de politique

    [sn_compliance_m2m_policy_policy_statement]

    		 Table de relations plusieurs-à-plusieurs utilisée pour gérer les relations entre les objectifs de politique et de contrôle.
    Contrôle à l’entité [sn_compliance_m2m_control_entity] Étend l’élément à la table d’entité [sn_grc_m2m_entity_item].
    Remarque :
    Toutes les tables supplémentaires installées par les modules d’extension dépendants sont également nécessaires pour Policy and Compliance Management.

    Rôles installés avec GRC: Policy and Compliance Management

    Des rôles sont ajoutés avec l’activation de GRC: Policy and Compliance Management.

    Tableau 2. Rôles installés
    Titre du rôle [name] Description Contient des rôles
    Administrateur de conformité

    [sn_compliance.admin]

    		 Contient les rôles de lecteur, d’utilisateur, de gestionnaire et d’administrateur dans sn_grc champs d’application, ainsi que les rôles de lecteur, d’utilisateur et de gestionnaire dans l’application Policy and Compliance Management . En plus des autorisations héritées, l’administrateur de conformité peut supprimer des documents de référence, des citations, des politiques, des objectifs de contrôle et des contrôles.
    • sn_compliance.manager
    • sn_grc.admin
    Créateur de l’attestation

    sn_compliance.attestation_creator

    		 Rôle utilisé pour créer le type de mesure d’attestation, ainsi que les GRC questionnaires d’exception. assessment_admin
    Développeur de conformité

    [sn_compliance.développeur]

    		 Contient les rôles de lecteur, d’utilisateur, de gestionnaire, d’administrateur et de développeur dans sn_grc champs d’application, ainsi que les rôles de lecteur, d’utilisateur, de gestionnaire et d’administrateur dans l’application Policy and Compliance Management . En plus des autorisations héritées, le développeur de conformité peut créer des modèles d’article et modifier des scripts.
    • sn_compliance.admin
    • sn_grc.développeur
    Gestionnaire de conformité

    [sn_compliance.gestionnaire]

    		 Contient les rôles de lecteur, d’utilisateur et de gestionnaire dans sn_grc champs d’application, ainsi que les rôles de lecteur et d’utilisateur dans l’application Policy and Compliance Management . En plus des autorisations héritées, le gestionnaire de conformité peut créer des documents de référence, des citations, des objectifs de contrôle et des contrôles.
    • sn_compliance.user
    • sn_grc.manager
    • sn_vdr_risk_asmt.vendor_assessment_reviewer
    Lecteur de conformité

    [sn_compliance.reader]

    		 Contient le rôle de lecteur dans sn_grc champs d’application. En plus des autorisations héritées, le lecteur de conformité peut se voir affecter des indicateurs, des modèles de modèles, des indicateurs et des problèmes.
    • sn_grc.reader
    • survey_reader
    Utilisateur de conformité

    [sn_compliance.utilisateur]

    		 Contient les rôles de lecteur et d’utilisateur dans sn_grc champs d’application, ainsi que le rôle de lecteur dans l’application Policy and Compliance Management . En plus des autorisations héritées, l’utilisateur de conformité peut se voir affecter des contrôles et créer des politiques, et dispose d’un accès en lecture seule à l’application Gestion des risques et aux modules. L’utilisateur de conformité peut également créer des objectifs de contrôle.
    • sn_compliance.reader
    • sn_grc.user
    • sn_risk.reader
    • survey_reader
    • vendor_reader
    Analyste de conformité d’entreprise [sn_compliance_ws.corporate_compliance_analyst] Contient les rôles de lecteur et d’utilisateur dans sn_grc champs d’application, et le rôle de lecteur dans le Compliance Workspace.
    • sn_compliance.user
    • sn_audit.user
    Gestionnaire de conformité d’entreprise [sn_compliance_ws.corporate_compliance_manager] Contient les rôles de lecteur, d’utilisateur et de gestionnaire dans sn_grc champs d’application, ainsi que les rôles de lecteur et d’utilisateur dans le Compliance Workspace.
    • sn_compliance.manager
    • sn_compliance_ws.corporate_compliance_analyst
    • sn_audit.gestionnaire
    Gestionnaire de conformité informatique [sn_compliance_ws.it_compliance_manager] Contient les rôles de lecteur, d’utilisateur et de gestionnaire dans sn_grc champs d’application, ainsi que les rôles de lecteur et d’utilisateur dans le Compliance Workspace.
    • sn_compliance.manager
    • sn_audit.gestionnaire

    Rôle d’utilisateur métier GRC pour contrôler l’accès aux tables de conformité

    Les limitations de contrôle d’accès (ACL) ou les conditions d’absence de rôle avec snc_internal rôle (ou aucun rôle) sont remplacées par le rôle sn_grc.business_user pour contrôler le niveau d’accès de différents utilisateurs aux tables de conformité et également pour suivre leur utilisation.

    Rôle d’utilisateur métier GRC (sn_grc.business_user)
    Le rôle d’utilisateur métier GRC est accordé aux utilisateurs capables d’effectuer des opérations GRC. Elle est également accordée aux utilisateurs ayant snc_internal rôle qui ont effectué toutes les opérations telles que la création d’exceptions de politique, de problèmes et la réponse aux attestations, aux confirmations et à d’autres opérations. Ce rôle est fourni avec l’installation du module d’extension GRC Profiles.
    Rôle GRC Utilisateur métier – Lite (sn_grc.business_user_lite)
    Les utilisateurs qui pourraient effectuer des opérations limitées avec snc_internal rôle sont considérés comme des opérateurs légers. Ces utilisateurs se voient attribuer le rôle d’utilisateur métier GRC – lite (sn_grc.business_user_lite) afin de suivre l’utilisation simplifiée des tables de conformité à l’aide du rôle. Ce rôle est accordé via le module d’extension de rôles explicites, GRC : Business User – Lite, qui peut être installé par les utilisateurs disposant d’un accès à la maintenance ou par les équipes d’assistance ServiceNow.
    Pour plus d’informations sur l’installation, la mise à niveau et les affectations de rôles, consultez l’article Rôle d’utilisateur métier GRC [KB0864247] dans la base de Now Support connaissances.
    Remarque :
    Vous devez vous connecter pour Now Support afficher les articles.

    Les limitations d’accès des utilisateurs ayant le rôle d’utilisateur métier GRC et d’autres rôles pour différentes tables de conformité et autres tables connexes sont répertoriées ci-dessous. Pour plus d’informations, consultez l’article Renforcement de la sécurité pour GRC : Policy and Compliance Management [KB1112315] dans la Now Support base de connaissances.

    Objectif du contrôle
    • Les utilisateurs disposant du rôle d’utilisateur métier GRC ou d’utilisateur métier léger peuvent lire tous les objectifs de contrôle.
    • Si l’application GRC : Audit Management est installée et qu’une politique publiée est associée à l’objectif de contrôle, les utilisateurs disposant du rôle d’auditeur externe peuvent lire ces objectifs de contrôle.
    • Les utilisateurs disposant de l’option Utilisateur métier lite disposent d’un accès en lecture pour signaler un problème ou une exception de politique.
    Stratégie
    • Les utilisateurs disposant du rôle d’utilisateur métier GRC ou d’utilisateur métier léger peuvent lire toutes les politiques.
    • Si l’application GRC : Audit Management est installée, les utilisateurs disposant du rôle d’auditeur externe peuvent lire toutes les politiques publiées.
    • Les utilisateurs disposant de l’utilisateur métier Lite ont un accès en lecture aux politiques afin de créer des exceptions de politique.
    Politique d’objectif du contrôle M2M
    • Les utilisateurs disposant du rôle d’utilisateur métier GRC ou d’utilisateur métier léger peuvent lire une politique pour contrôler l’enregistrement M2M de l’objectif.
    • Si l’application GRC : Audit Management est installée, les utilisateurs disposant du rôle d’auditeur externe peuvent lire une politique pour contrôler l’enregistrement M2M de l’objectif si la politique est publiée.
    Contrôle [sn_compliance_control]
    • Les utilisateurs disposant du rôle d’utilisateur métier GRC ou d’utilisateur métier léger peuvent afficher un contrôle.
    • Si l’application GRC : Audit Management est installée, les utilisateurs disposant du rôle d’auditeur externe peuvent lire un contrôle.
    Instance d’évaluation [asmt_assessment_instance]
    • Les utilisateurs disposant des rôles GRC Business User et Business User Lite peuvent afficher les attestations qui leur sont affectées.
    • ServiceNow les utilisateurs disposant du rôle GRC Business User ou Business User Lite peuvent passer des évaluations.
    • Les utilisateurs disposant du rôle d’utilisateur métier GRC ou d’utilisateur métier Lite peuvent afficher le module Mes attestations groupées.
    • Les utilisateurs disposant des rôles d’utilisateur métier GRC et d’utilisateur métier léger peuvent voir les actions d’interface utilisateur d’évaluation de groupe et d’évaluation de dissociation.
    • Les utilisateurs disposant des rôles d’utilisateur métier GRC et d’utilisateur métier léger peuvent afficher l’option Mes attestations dans le menu d’application GRC.
    Type de mesure d’évaluation [asmt_metric_type]
    Le rôle d’utilisateur est défini sur Utilisateur métier GRC ou Utilisateur métier lite si l’évaluation est une attestation, que la table est Exception de politique et que le rôle est vide.
    Rapport Vue d’ensemble des contrôles
    L’utilisateur disposant du rôle de lecteur GRC peut afficher le rapport de vue d’ensemble des contrôles.
    Problème [sn_grc_issue]
    Signaler et afficher les problèmes dans Service Portal
    Les utilisateurs disposant du rôle d’utilisateur métier GRC ou d’utilisateur métier léger peuvent signaler un problème et afficher les problèmes qu’ils ont signalés dans Portail de services. Le rôle d’utilisateur métier GRC ou d’utilisateur métier allégé est le rôle minimum requis pour afficher Mes problèmes dans .Portail de services
    Lecture
    Les utilisateurs ayant les rôles suivants peuvent afficher un problème :
    • Rôle d’utilisateur GRC (sn_grc.user)
    • Rôle d’utilisateur métier GRC ou d’utilisateur métier allégé . En outre, l’utilisateur doit remplir l’une des conditions suivantes :
      • Le champ Affecté à dans le problème est l’utilisateur.
      • Affecté au problème parent est l’utilisateur ou le groupe d’affectation du problème parent est l’un des groupes de l’utilisateur.
      • Le groupe d’affectation est l’un des groupes de l’utilisateur. En outre, l’utilisateur doit également avoir le rôle d’utilisateur métier GRC.
      • Le gestionnaire des problèmes est l’utilisateur.
      • Le groupe du gestionnaire des problèmes est l’un des groupes qui appartiennent à l’utilisateur connecté.
      • Le contrôle/risque du problème a un propriétaire et le propriétaire est l’utilisateur.
      • Le problème est créé par l’utilisateur connecté.
      • Le problème est créé à partir d’un triage de problème ouvert par l’utilisateur.
      • L’utilisateur connecté est le délégataire ou l’utilisateur figurant sur la liste de surveillance d’une tâche de correction du problème.
      • Si GRC : Audit Management est installé, vous n’êtes qu’un auditeur externe. et un auditeur sur une mission fermée qui a eu des problèmes de test de contrôle ou d’autres problèmes, ne peut voir que ces problèmes.
    Écriture/mise à niveau
    Si l’utilisateur ayant le rôle d’utilisateur métier est également l’utilisateur désigné dans le champ Affecté à , alors l’utilisateur peut modifier :
    • Nom
    • Description
    • Gestionnaire des problèmes
    • Groupe du gestionnaire des problèmes
    • Plan d'action
    • État
    • Problème parent
    • Commentaires supplémentaires
    • Notes de travail
    • Réponse
    • Explication
    Si l’utilisateur ayant le rôle d’utilisateur métier léger est également l’utilisateur désigné dans le champ Affecté à , l’utilisateur peut modifier :
    • Gestionnaire des problèmes
    • Groupe du gestionnaire des problèmes
    • État
    • Problème parent
    • Commentaires supplémentaires
    • Notes de travail
    • Réponse
    • Explication
    Remarque :
    Si des utilisateurs disposant des rôles d’utilisateur métier et d’utilisateur métier léger ont signalé un problème, ils peuvent ajouter des commentaires au problème. Toutefois, un GRC utilisateur peut modifier tous les problèmes.
    Afficher mes problèmes ouverts
    Les utilisateurs ayant un rôle minimum d’utilisateur métier GRC ou d’utilisateur métier lite peuvent afficher leurs problèmes ouverts.
    Regroupement des problèmes
    Le regroupement des problèmes n’est ouvert qu’aux utilisateurs disposant d’un rôle d’utilisateur GRC.
    Envoyer les informations
    Au minimum, le rôle d’utilisateur métier GRC ou d’utilisateur métier allégé est requis pour envoyer des informations relatives au problème.
    Source du problème [sn_grc_issue_source]
    Au moins le rôle d’utilisateur métier GRC est requis pour afficher et modifier la table Source du problème.
    Tâche de rattrapage [sn_grc_task]
    • L’utilisateur dans le champ Affecté à de la table Tâche de rattrapage doit avoir au minimum un rôle GRC d’utilisateur métier ou d’utilisateur métier léger .
    • Pour l’accès en lecture, les utilisateurs auxquels une tâche de rattrapage est affectée ou qui figurent sur la liste de surveillance de la tâche de rattrapage doivent disposer d’un rôle GRC Business User ou Business User Lighte . L’utilisateur affecté au problème, le gestionnaire du problème ou tout utilisateur ayant le rôle de gestionnaire GRC (sn_grc.manager) peut afficher une tâche de correction.
    • Mes tâches de rattrapage ouvertes sont visibles par les utilisateurs ayant au minimum le rôle d’utilisateur métier GRC ou d’utilisateur métier lite.
    Ma tâche d’indicateur [sn_grc_indicator_task]
    Les utilisateurs disposant du rôle d’utilisateur métier GRC ou d’utilisateur métier allégé peuvent accéder à Mes tâches d’indicateur.
    Confirmation de politique
    Les utilisateurs disposant du rôle d’utilisateur métier GRC ou d’utilisateur métier léger peuvent :
    • Authentifier les politiques de l’interface Now Platform utilisateur et Portail de services.
    • Afficher l’option de menu Mes confirmations dans Portail de services.
    • Affichez les instances de confirmation [sn_compliance_policy_acknowledgement_instance] qui leur sont affectées.
    Exception de politique [sn_compliance_policy_exception]
    Les utilisateurs disposant du rôle d’utilisateur métier GRC ou d’utilisateur métier léger peuvent :
    • Émettre des exceptions de politique à partir de Now Platform et Portail de services.
    • Afficher l’exception de politique. Les utilisateurs ayant un accès en lecture comprennent les utilisateurs qui ont demandé une exception de politique, qui sont présents dans la liste de surveillance et qui sont des approbateurs de vérification, des approbateurs finaux, des propriétaires des contrôles impactés et des gestionnaires de conformité.
    Pour en savoir plus, consultez :

    Propriétés installées avec GRC: Policy and Compliance Management

    Des propriétés sont ajoutées avec l’activation de GRC: Policy and Compliance Management.

    Nom Description
    Définit pour lequel le contrôle est actif (le premier état est l'état actif par défaut)

    sn_compliance.active_states

    		 Les administrateurs de conformité peuvent modifier ce paramètre.
    • Type : chaîne
    • Valeur par défaut : brouillon, évaluation, révision, suivi
    • Localisation : Politique et Conformité > Administration > Propriétés
    États pour lesquels le contrôle est inactif (le premier état est inactif par défaut)

    sn_compliance.états_fermés

    		 Les administrateurs de conformité peuvent modifier ce paramètre.
    • Type : chaîne
    • Valeur par défaut : mis hors service
    • Localisation : Politique et Conformité > Administration > Propriétés
    Nom du type de mesure d'évaluation utilisée pour les attestations

    sn_compliance.attestation_par défaut

    		 Les administrateurs système peuvent modifier ce paramètre.
    • Type : chaîne
    • Valeur par défaut : Attestation GRC
    • Localisation : Politique et Conformité > Administration > Propriétés
    sn_compliance.glide.script.block.client.globals
    • Type : vrai | faux
    • Valeur par défaut : faux
    • Localisation : Politique et Conformité > Administration > Propriétés
    Nom de la base de connaissances utilisée pour publier des articles sur la politique

    sn_compliance.knowledge_base

    		 Les administrateurs de conformité peuvent modifier ce paramètre.
    • Type : chaîne
    • Valeur par défaut : Gouvernance, risque et conformité
    • Localisation : Politique et Conformité > Administration > Propriétés