거버넌스, 리스크 및 컴플라이언스 애플리케이션 명명법 업데이트 및 업계 용어
다음 용어는 애플리케이션 및 GRC /또는 GRC 업계에서 사용됩니다.
GRC 명명법 업데이트
이전 릴리스부터 모든 GRC 핵심 애플리케이션 내의 많은 용어가 업데이트되었습니다.
주:
이러한 용어 업데이트는 모든 탐색 레이블, 버튼, 정보 메시지, 보고서 제목, 관련 링크, 탭 및 기타 UI 요소에 적용됩니다.
| GRC 모듈 | 이전 | 현재 |
|---|---|---|
| 범위 지정 | 프로필 | 엔터티 |
| 프로파일 유형 | 엔터티 유형 | |
| 프로파일 클래스 | 엔터티 클래스 | |
| 내 프로필 | 사용자 엔터티 | |
| 모든 프로파일 | 모든 엔터티 | |
| 관리 | 프로파일 계층 | 엔터티 계층 |
| 프로파일 클래스 규칙 | 엔터티 클래스 규칙 | |
| 표시기 | 필드 | 통제/위험 필드 |
| 범주 필드는 준수 표시기인지 위험 표시기인지 여부를 나타냅니다. | ||
| 필드 | 통제 목표/위험 설명 | |
| 문제 | 필드 | 통제 목표/위험 설명 |
| 필드 | 제어/위험 | |
| 정책 및 준수 | 정책 설명 | 통제 목표 |
| 위험 | 필드 | |
| 필드 | 필드 |
산업 참조
| 용어 | 정의 |
|---|---|
| 바젤 III | 규제 당국이 은행이 잠재적 위험을 상쇄하기 위해 얼마나 많은 자본을 보유해야 하는지에 대한 규제를 제정할 때 사용할 수 있는 은행에 대한 국제 표준입니다. 은행의 위험이 클수록 지급 능력을 유지하기 위해 더 많은 자본을 확보해야 합니다. 이 규정은 바젤 은행 감독 위원회에서 발표한 세 번째 표준이었으므로 Basel III이라는 이름이 붙었습니다. |
| CISA | 사이버보안정보공유법 |
| 시즘 | 인증 정보 보안 관리자 |
| 코비트 | COBIT(Control Objectives for Information and Related Technologies)는 베스트 프랙티스를 기반으로 위험 및 준수 문제를 관리하는 IT 거버넌스 프레임워크를 제공합니다. IT 거버넌스 협회 및 정보 시스템 감사 및 통제 협회(ISACA)에서 발행합니다. |
| 코소 | 후원 조직 위원회(COSO)는 사기 재무 보고에 관한 국가 위원회를 후원하기 위해 1985년에 결성되었습니다. COSO는 사기 재무 보고로 이어질 수 있는 원인 요인을 연구하고 상장 기업, SEC 및 기타 규제 기관 및 교육 기관을 위한 권장 사항을 개발한 독립적인 민간 부문 이니셔티브입니다. |
| 에드파 | 유럽 데이터 개인정보 보호법 |
| 에니사 | 유럽 네트워크 및 정보 보안국 |
| 먹기 | 제품 내 에너지 사용(EUP)은 기업이 에너지를 덜 사용하도록 제품을 설계하도록 요구하는 EU 지침입니다. |
| 데이터 보호에 관한 유럽 지침 | 인터넷 개인 정보 보호를 구체적으로 다루는 데이터 개인 정보 보호법의 첫 번째이자 가장 중요한 부분 중 하나입니다. |
| FCA | 재무행위감독청 |
| GDPR | 일반 데이터 보호 규정(GDPR)은 2018년 5월 25일부터 시행되는 규정으로, 유럽 연합 시민의 데이터 보호 권리를 강화하고 조화시키기 위해 데이터 보호 지침 95/46/EC를 대체합니다. |
| GRI | GRI(Global Reporting Initiative)는 지속 가능성 보고를 위한 G3 프레임워크를 만든 국제 그룹입니다. |
| ITGI | IT 거버넌스 연구소 |
| PII | 개인 식별 정보/개인 식별 정보(PII)는 개인의 신원을 직간접적으로 유추할 수 있는 정보입니다. |
| PCI DSS | PCI DSS(Payment Card Industry Data Security Standard)는 신용 카드 정보를 수락, 처리, 저장 또는 전송하는 모든 회사가 보안 환경을 유지할 수 있도록 설계된 일련의 보안 표준입니다. |
| 지급 능력 II | 지급 능력 II |
| SOX | 사베인스-옥슬리법(SOX)은 공개 회사 회계 감독 위원회를 설립하고 상장 회사, 그 임원, 이사회 및 감사인에 대한 요구 사항을 추가했습니다. 기업 금융 사기에 대한 처벌을 강화했습니다. 이 미국 법안은 세간의 이목을 끄는 Enron과 WorldCom 금융 스캔들에 대응하여 제정되었습니다. 그 목표는 기업의 회계 오류와 사기 행위로부터 주주와 일반 대중을 보호하는 것입니다. SOX는 미국에서 공개적으로 거래하는 회사에 적용됩니다. |
| 용어 | 정의 |
|---|---|
| ALE | 연간 손실 예상(ALE) = 단일 손실 예상(SLE) x 연간 발생률(ARO). 양적 위험 점수 매기기에 사용됩니다. |
| 아로 | 연간 발생률입니다. |
| 수용 | 특정 위험이 허용 오차 수준 내에 있거나 추가 완화 및 통제가 실제로 위험의 예상 영향(또는 유의성)보다 훨씬 더 많은 비용이 드는 경우 경영진은 특정 위험을 수용하여 심층 통제 또는 더 높은 수준의 완화에 대한 추가 투자를 중단할 수 있습니다. |
| 어설션 | 경영진이 수행한 주제에 대한 공식 선언 또는 선언 세트입니다. |
| 평가 | 구조화된 보증 이니셔티브에서 다루지 않는 요소를 포함하는 회사 또는 기능의 다양한 측면에 대한 광범위한 검토입니다. |
| 증명 | 어떤 것이 사실인지 확인하는 프로세스입니다. 예를 들어, 통제 효과성 또는 규정 준수는 이행자가 전자적으로 서명한 질문서를 통해 증명할 수 있습니다. |
| 감사 | 표준 또는 일련의 지침을 준수하고 있는지, 레코드가 정확한지 또는 효율성 및 효과성 목표를 충족하는지 확인하기 위한 공식 검사 및 검증입니다. 에서 ServiceNow®조직은 한 번에 테스트하려는 모든 제어를 식별하고 전체 감사의 책임을 한 사람에게 할당합니다. 단일 작업으로 모든 통제 테스트를 관리합니다. |
| 감사 활동 | 감사를 실행하기 위해 개인에게 할당된 감사 내의 작업 중 하나입니다. |
| 감사위원회 | 이사회 구성원을 포함하는 위원회로서 재무 보고 및 내부 통제를 감독할 책임이 있습니다. |
| 감사 문서(작업 문서) | 계약에서 적용된 절차, 수행된 테스트, 획득한 정보 및 도달한 관련 결론에 대해 감사자가 보관한 기록입니다. 이 문서는 감사자 보고서에 대한 주요 지원을 제공합니다. |
| 감사 증거 | 감사 절차 중에 수집된 사실로, 감사 중인 재무제표에 대한 의견을 형성하기 위한 합리적인 근거를 제공합니다. |
| 감사 목표 | 재무제표 주장을 뒷받침하는 증거를 얻을 때 감사인은 이러한 주장에 비추어 특정 감사 목표를 개발합니다. 예를 들어, 인벤토리 잔액에 대한 완전성 어설션과 관련된 목표는 인벤토리 수량에 현재 보유한 모든 제품, 자재 및 공급품이 포함된다는 것입니다. |
| 감사 관찰 | 내부 감사자가 통제 격차를 식별하거나 새로운 위험을 식별하는 데 사용합니다. |
| 자동 통제 | 컴퓨터 시스템에 의해 자동으로 실행되는 내부 통제. 수동 통제는 해당 작업을 담당한 사람이 실행하며 일반적으로 트랜잭션 및 데이터의 하위 집합에 대해 수행됩니다. 자동화된 통제는 모든 관련 트랜잭션 또는 데이터 요소에 대해 실행될 수 있으므로 적은 노력으로 더 높은 정확성을 보장합니다. |
| 권한 문서 | 조직이 규정을 준수하기 위해 선택하거나 요구하는 규정, 인증, 프레임워크, 표준 및 베스트 프랙티스입니다. 권한 문서는 통제, 위험 및 정책과 관련이 있습니다. |
| 비즈니스 위험 | 엔터티의 목표 달성 및 전략 실행 능력에 부정적인 영향을 미칠 수 있는 위험입니다. |
| 계산된 점수 | 계산된 점수는 고유 점수와 잔여 점수에서 전체 결과로 산출됩니다. 구현된 통제 시스템의 품질을 기준으로 실제 위험 노출을 나타냅니다. |
| 증거 관리 이력 | 증거의 유효성과 무결성에 관한 법적 원칙입니다. 법적 절차에서 증거로 사용되는 모든 것에 대한 책임이 필요합니다. 이를 통해 수집된 시점부터 법원에 제출될 때까지 설명할 수 있습니다. |
| 최고 규정 준수 책임자(CCO) | 조직 내에서 규정 준수 문제를 감독하고 관리할 책임이 있는 기업 공무원입니다. 이 사람은 회사가 규제 요구 사항을 준수하고 있으며 회사가 내부 정책 및 절차를 준수하고 있는지 확인합니다. |
| 최고 운영 책임자(COO) | 회사의 일상적인 운영을 담당하는 임원인 최고 운영 책임자라고도 합니다. |
| 최고 위험 책임자(CRO) | 최고 위험 관리 책임자라고도 하며, 기업 위험 관리 및 회사의 규정 준수 노력을 담당하는 임원입니다. |
| 인용 | 권한 문서에서 인용하는 특정 요구 사항이 포함된 기록입니다. 인용 기록은 권한 문서를 해당 해당 통제와 관련시킵니다. |
| 준수 | 법률, 규정 또는 정책을 준수하고 준수를 입증하는 행위입니다. 규정 준수는 재무, 환경, 글로벌 무역, 근로자 안전 및 개인 정보 보호를 포함한 여러 영역의 규정과 관련이 있습니다. |
| 기밀성 | 개인정보 보호 및 독점 정보 보호 수단을 포함하여 액세스 및 공개에 대한 승인된 제한을 유지합니다. |
| 봉쇄 통제 | 위험이 발생할 경우 위험의 영향(또는 중요성)을 제한하도록 설계된 통제입니다. |
| 통제 | 조직에서 수행하는 실제 통제 활동입니다. 통제 기록에는 통제에 대한 기본적인 필수 정보(소유자, 활동, 빈도 등)가 포함됩니다. 통제는 권한이 부여된 소스 콘텐츠, 정책 및 위험과 관련될 수 있습니다. 위험을 관리하기 위해 경영진, 이사회 및 기타 당사자가 취하는 모든 조치입니다. 경영진은 목적과 목표가 달성되었다는 합리적인 확신을 제공하기 위해 충분한 조치의 수행을 계획, 조직 및 지시합니다. 통제 기록에는 통제에 대한 기본적인 필수 정보(소유자, 활동, 빈도 등)가 포함됩니다. 통제는 권한이 부여된 소스 콘텐츠, 정책 및 위험과 관련될 수 있습니다. |
| 통제 프레임워크 | 재무 손실, 정보 손실을 방지하거나 보다 일반적으로 기업 내 위험을 방지하기 위해 통제의 교차 매핑을 수행하고 보존하는 일련의 기본 통제입니다. |
| 통제 인스턴스 | 정기적으로 또는 요청 시 제어 테스트 정의의 실제 실행으로, 테스트 활동의 결과 데이터 샘플, 증명 또는 수동 결과를 보여줍니다. |
| 제어 테스트 정의 | 통제 테스트 정의는 테스트 단계, 예상 결과, 테스트를 담당하는 그룹 또는 개인, 테스트 일정 등 통제를 테스트하는 방법과 시기를 지정합니다. 제어 테스트 인스턴스는 테스트 일정에서 자동으로 생성됩니다. 제어 테스트가 실패하거나 감사 관찰 결과가 기록되면 정정이 자동으로 생성됩니다. |
| 시정 통제 | 문제가 발견되면 작동하는 내부 통제입니다. 예를 들어 과도한 권한을 가진 사용자의 액세스 권한을 제거하거나 물리적 재해가 발생한 후 백업 및 복구 계획을 실행하는 경우를 들 수 있습니다. |
| 기업 성과 관리 | 기업 성과 관리(CPM)는 기업이 성과를 측정하고 개선할 수 있도록 지원하는 전략 관리, 계획, 보고 및 통합과 수익, 비용 및 수익성 모델링의 조합입니다. |
| 탐지 | 관리 작업 및 통제를 사용하여 목표뿐만 아니라 실제 및 잠재적인 바람직하지 않은 조건과 이벤트를 향한 지속적인 진행 상황입니다. |
| 탐지 통제 | 의도하지 않은 이벤트 또는 결과를 검색하도록 설계된 통제입니다. 또한 특정 위험이 발생하는지 여부와 발생 시기를 감지할 수 있습니다. |
| 효과 | 어떤 항목에 대한 이벤트의 가능성, 타이밍 및 영향에 대한 척도입니다. |
| 효과적인 내부 통제 | 운영 목표를 달성하고, 게시된 재무제표가 안정적으로 준비되었으며, 기업이 관련 법률 및 규정을 준수한다는 합리적인 보증. |
| 계약 | 일련의 목적 또는 목표를 달성하는 감사 작업을 포함할 수 있는 감사 프로젝트입니다. |
| 이벤트 | 옵저버블 작업, 발생 또는 조건 변경입니다. 이벤트에는 조건이 변경되지 않았더라도 조건에 대한 지식의 변경이 포함됩니다. |
| 엔터티 | 의 기본 개념 GRC엔터티는 통제와 위험을 연관시킬 수 있는 모든 엔터프라이즈 요소를 모델링하는 데 사용됩니다. 예를 들면 비즈니스 단위, 서버, 노트북 등이 있습니다. |
| 엔터티 유형 | 여러 유사한 엔터티를 참조하는 데 사용됩니다. 예: 아시아 및 태평양 비즈니스 단위, Linux 서버, MacBook Pro. |
| 평가 | 기준에 대해 무언가를 측정하기 위해 |
| 증거(증거 사안) | 감사자가 추론을 통해 결론에 도달할 수 있도록 하는 서면 및 전자 정보(예: 수표, 전자 자금 이체 기록, 송장, 계약서 및 기타 정보)를 포함합니다. |
| 사기 | 속임수, 은폐 또는 신뢰 위반을 특징으로 하는 모든 불법 행위. 이러한 행위는 폭력이나 물리적 힘의 위협에 의존하지 않습니다. 사기는 당사자와 조직이 금전, 재산 또는 서비스를 획득하고 지불이나 서비스 손실을 피하거나 개인 또는 비즈니스 이익을 확보하기 위해 저지릅니다. |
| 일반 통제 | 네트워크 운영, 소프트웨어 획득 및 유지관리, 액세스 보안에 대한 통제를 포함하여 컴퓨터 시스템의 적절한 작동을 보장하기 위한 정책과 절차입니다. |
| 거버넌스, 리스크 및 컴플라이언스(GRC) | 거버넌스, 위험 관리, 규정 준수는 전통적으로 별도의 기업 기능이었습니다. GRC 는 조직이 불확실성을 해결하고 무결성을 가지고 행동하면서 목표를 안정적으로 달성할 수 있도록 지원하는 역량 통합 모음입니다. 여기에는 거버넌스, 보증 및 관리 성과, 위험 및 준수가 포함됩니다. GRC 는 조직이 위험을 관리하여 운영하는 동시에 외부 및 내부 표준을 준수하여 성과를 최적화하는 방법에 대한 비즈니스입니다. GRC 프로세스, 제어, 보안 및 문화가 통합되어 조직의 무결성을 보장하는 방식을 수용합니다. |
| 영향도 | 가능성과 함께 위험의 심각도를 평가하는 데 사용됩니다. 특정 위험이 발생할 경우 조직에 미칠 수 있는 영향 수준을 평가합니다. |
| 표시기 | 통제 및 위험을 모니터링하고 감사 증거를 수집하기 위해 데이터를 수집하는 데 사용되는 메트릭입니다. |
| 고유 가능성 | 대응 전략이 구현되기 전에 식별된 위험이 발생할 가능성입니다. |
| 고유 위험 | 가능성 및 영향(또는 유의성) 측면에서 관련 내부 통제와 완화 조치가 아직 마련되지 않았다고 가정한 위험 노출 수준입니다. |
| 고유 점수 | 대응 전략이 구현되기 전 위험 점수입니다. |
| 고유 중요성 | 대응 전략이 구현되기 전 위험의 유의성입니다. |
| 무결성 | 정보, 정보 시스템 또는 시스템의 구성요소가 무단으로 수정되거나 파괴되지 않은 속성입니다. 소스에서 정보를 생성한 시점부터 전송, 저장 및 목적지에서 최종 수신하는 동안 정보가 변경되지 않은 상태로 남아 있는 상태입니다. |
| 내부 감사 | 가치를 더하고 조직의 운영을 개선하기 위해 고안된 독립적이고 객관적인 보증 및 컨설팅 서비스를 제공하는 부서, 부서, 컨설턴트 팀 또는 기타 실무자입니다. 내부 감사 활동은 체계적이고 규율 있는 접근 방식을 도입하여 거버넌스, 위험 관리 및 통제 프로세스의 효과를 평가하고 개선함으로써 조직이 목표를 달성할 수 있도록 돕습니다. |
| 내부 감사자 | 엔터티의 경영진 및 이사회에 분석, 평가, 보증, 권장 사항 및 기타 정보를 제공할 책임이 있는 클라이언트의 직원입니다. 내부 감사자의 중요한 책임은 통제 이행을 모니터링하는 것입니다. |
| 내부 통제 | 비즈니스 목표가 달성되고 원치 않는 이벤트가 방지되거나 탐지 및 수정될 수 있다는 합리적인 확신을 제공하도록 설계된 정책, 절차, 관행 및 조직 구조입니다. |
| 문제 | GRC 최종 사용자가 통제 및 위험 문제를 문서화하고 응답을 추적하여 문제를 정정하거나 수락할 수 있는 작업입니다. |
| IT 거버넌스 | 기업의 IT가 기업의 전략과 목표를 유지하고 확장하도록 보장하는 리더십, 조직 구조 및 프로세스입니다. 이는 임원과 이사회의 책임입니다. |
| IT GRC | 확립된 베스트 프랙티스를 기반으로 IT 관점에서 규정 준수 및 위험 관리 노력을 지원하는 데 사용되는 소프트웨어 및 하드웨어와 관련 정책과 절차를 포함합니다. |
| 가능성 | 어떤 일이 일어났을 확률입니다. |
| 관리 | 엔터티, 프로세스 또는 자원을 내부적으로 지시, 제어 및 평가하는 행위입니다. |
| 수동 통제 | 컴퓨터가 아닌 수동으로 제어합니다. |
| 소재(중대성) | 재무 영향을 계산할 수 있는 경우 위험이 중대합니다. |
| 완화 | 특정 규칙 위반과 관련된 위험 감소. 위험이 발생하기 전에 가능한 관련 통제 실패를 해결하거나 위험 노출을 줄이기 위해 적절한 완화 작업이 수행됩니다. |
| 목표 | 엔터티가 달성하거나 달성하려는 항목입니다. |
| 운영 감사 | 기능 또는 부서의 다양한 내부 통제, 경제성 및 효율성을 평가하기 위해 고안된 감사입니다. |
| 운영 통제 | 모든 목표가 달성되도록 하기 위한 회사 또는 기업의 일상적인 운영과 관련된 통제입니다. |
| 운영 위험 | 조직의 임무 및 목표를 달성하는 데 필요한 사람, 프로세스 및 시스템과 관련된 위험입니다. |
| 객관성 | 선입견이나 편견 없이 고객 기록을 평가하는 능력. |
| 의무 | 의무에 대한 어설션은 부채가 지정된 날짜에 엔터티의 의무인지 여부를 다룹니다. 예를 들어, 경영진은 대차대조표에서 임대에 대해 자본화된 금액이 임대 부동산에 대한 기업의 권리 비용을 나타내고 해당 임대 부채가 기업의 의무를 나타낸다고 주장합니다. |
| 소유자 | 위험, 통제 또는 완화/정정 작업의 소유자가 책임을 수락합니다. 소유권과 관련된 일부 작업을 위임할 수 있지만 조직에 대한 책임은 유지됩니다. |
| 동료 검토 | 한 CPA 회사의 감사 문서를 다른 회사의 독립 파트너가 주기적으로 검토하여 직업 표준을 준수하는지 확인하는 실무 모니터링 프로그램입니다. |
| 계획 | 감사 계획은 감사 수행 및 범위에 대한 전반적인 전략을 개발하는 것입니다. 계획의 성격, 범위 및 시기는 엔터티의 규모와 복잡성, 엔터티에 대한 경험 및 비즈니스에 대한 지식에 따라 달라집니다. 감사를 계획할 때 감사인은 기업의 사업 및 산업, 회계 정책 및 절차, 회계 정보 처리에 사용되는 방법, 계획된 평가 통제 위험 수준 및 감사 중대성에 대한 감사인의 예비 판단을 고려합니다. |
| 정책 | 결정된 대략적인 원칙 또는 작업 과정을 기록하는 문서입니다. 의도된 목적은 기업 경영진이 수립한 철학, 목표 및 전략 계획에 부합하도록 현재와 미래의 의사 결정에 영향을 미치고 안내하는 것입니다. 정책 내용 외에도 정책은 정책을 준수하지 않을 경우의 결과, 예외를 처리하는 방법, 정책 준수를 확인하고 측정하는 방식을 설명합니다. 에서 ServiceNow®승인된 정책은 에 게시됩니다.지식베이스 정책은 권한 문서 및 통제 기록과 관련이 있습니다. 정책 설명은 프로세스가 정책 내에서 따르는 특정 세부 정보를 정의합니다. |
| 예방적 통제 | 의도하지 않은 이벤트를 방지하도록 설계된 통제입니다. |
| 절차 | 감사 프로그램의 일부로 또는 클라이언트의 내부 통제의 일부로 수행되는 단계와 같은 작업입니다. 정책의 "방법"을 제공하고 구현을 안내합니다. 절차는 대상별로 다르며 지정된 정책 준수를 보장하는 정확한 지침을 제공합니다. ServiceNow® 정책과 절차를 동일한 방식으로 취급합니다. 따라서 두 용어는 서로 바꿔서 사용될 수 있습니다. 이는 정책과 절차를 두 개의 개별 항목으로 정의하는 COBIT 5.1과 같은 프레임워크와 다를 수 있습니다. |
| 전문적인 회의론 | 의문을 제기하는 마음가짐으로 감사에 접근합니다. |
| 질적 영향 | 영향(위험의 유의성을 의미함) 및 가능성(위험이 발생할 확률을 의미함) 등급을 포함합니다. 영향에 가능성을 곱하여 점수가 계산됩니다. 종종 순서 척도 또는 명목 척도를 사용하여 표현되는 영향입니다. |
| 양적 영향 | 금융 자산, 유형 자산, 무형 자산, 비즈니스 연속성, 건강 및 안전에 긍정적/부정적 영향을 미칩니다. 단일 손실 예상(SLE) x 연간 발생률(ARO) = 연간 손실 예상(ALE)으로 계산됩니다. 정량적 영향은 숫자로 표현됩니다. |
| 질문서 | 내부 통제 질문서는 감사 현장 작업 중에 답변해야 할 내부 통제 시스템에 대한 질문 목록(예, 아니요 또는 해당 사항 없음과 같은 답변 포함)입니다. 질문서는 고객의 내부 통제에 대한 감사인의 이해에 대한 문서의 일부입니다. |
| 임의 샘플(난수 샘플링) | 표본에 대해 선택되는 각 모집단 항목의 확률이 동일합니다. 또한 난수를 사용하여 모집단에서 임의의 표본을 선택합니다. |
| 합리적인 보증(내부 통제) | 내부 통제는 아무리 잘 설계되고 운영되더라도 모든 내부 통제 시스템에 내재된 한계 때문에 기업의 목표가 달성된다고 보장할 수 없습니다. |
| 정정 | 장애가 식별되고 평가된 후에는 적절한 정정을 통해 문제를 완화하거나 제거할 수 있습니다. 잔여 가능성: 대응 전략이 구현된 후 식별된 위험이 발생할 가능성입니다. |
| 요구 사항 | 약속을 한 결과로 엔터티가 해결해야 하는 사항입니다. |
| 잔여 가능성 | 대응 전략이 구현된 후 식별된 위험이 발생할 가능성입니다. |
| 잔여 위험 | 관련 내부 통제 및 완화 작업이 마련되고 효과적인 후 가능성 및 영향(또는 유의) 측면에서 위험 노출 수준입니다. |
| 잔여 점수 | 대응 전략이 구현된 후의 위험 점수입니다. |
| 잔여 심각도 | 대응 전략이 구현된 후 위험의 유의성입니다. |
| 위험 | 위험은 조직의 비즈니스 목표에 부정적인 영향을 미칠 수 있는 위협 또는 취약성입니다. 모든 위험은 하나의 위험 리포지토리에 포함되어 있습니다. 위험은 모든 항목, 정책, 통제 및 정정 작업과 관련될 수 있습니다. 즉각적이거나 지속적인 주의가 필요한 위험은 정의된 통제 및 관련 통제 테스트를 사용하여 완화, 방지 또는 통제할 수 있습니다. 위험 설명은 위협이 취약성을 악용하는 경우 발생할 수 있는 정의된 결과입니다. 위험은 영향(또는 중요) 및 가능성의 관점에서 측정됩니다. 위험 유형에는 운영 위험(예: 사기), 미준수 위험(법률을 준수하기 위해 적절한 문서를 제출하지 않음) 및 전략적 위험(예: 브랜드 평판에 영향을 미치는 인시던트)이 포함됩니다. 기업 내에서 IT의 사용, 소유권, 운영, 관여, 영향 및 채택과 관련된 비즈니스 위험입니다. |
| 위험 분석 | 지정된 이벤트가 발생할 수 있는 빈도와 그 결과의 규모를 결정하기 위해 사용 가능한 정보를 체계적으로 조사합니다. |
| 위험 선호도 | 조직이 목표를 추구하기 위해 기꺼이 수용할 수 있는 위험의 수준입니다. |
| 위험 평가 | 엔터티, 자산, 시스템 또는 네트워크, 조직 운영, 개인, 지리적 영역, 기타 조직 또는 사회가 직면한 위험에 대한 평가로, 불리한 상황이나 사건이 유해한 결과를 초래할 수 있는 정도를 결정하는 것을 포함합니다. |
| 위험 기준 | 위험 수준을 평가하는 양적 또는 정성적 값입니다. |
| 위험 관리 | 위험 관리의 목적은 불확실성을 줄이는 것입니다. 이는 조직의 목표를 추구하면서 위험을 해결하기 위해 프로세스와 자원을 관리하는 행위입니다. 위험을 식별, 분석, 평가 및 전달하고 수행된 작업의 관련 비용과 이점을 고려하여 허용 가능한 수준으로 위험을 수용, 방지, 이전 또는 통제하는 프로세스입니다. |
| 위험 관리 프레임워크 | 명시적으로 위험을 관리하기 위한 공식화된 프로세스입니다. 프레임워크는 위험 평가, 대응, 주변 위험 및 완화 활동에 대한 책임으로 구성됩니다. |
| 위험 완화 | 위험을 줄이기 위해 정책, 프레임워크 및 책임과 같은 통제 환경에 내장된 프로세스입니다. |
| 위험 등록 | 잠재적 및 알려진 IT 위험 문제의 주요 속성에 대한 리포지토리입니다. 속성에는 이름, 설명, 소유자, 예상/실제 빈도, 고유/잔여 수준, 잠재적/실제 비즈니스 영향 및 완화/정정 계획이 포함될 수 있습니다. |
| 위험 대응 | 위험을 수용하거나, 위험을 거부하거나, 위험을 처리 또는 완화하거나, 다른 당사자와 위험을 공유하기로 한 결정입니다. |
| 위험 설명 | 조직의 어딘가에서 발생할 수 있는 잠재적 위험 또는 위협에 대한 일반적인 설명입니다. |
| 위험 공차 | 조직이 목표를 달성하기 위해 초과할 의사가 없는 위험 수준입니다. 특정 위험 범주에 대해 조직의 다양한 관리 수준에 부여된 임계치(일반적으로 재무) 측면에서 위험 선호도를 표현한 것입니다. |
| 샘플 크기 | 모집단에서 표본을 가져올 때 선택된 모집단 항목의 수입니다. |
| 샘플링 | 전체 기록 모집단을 나타내기 위해 적지만 적절하고 대표적인 수의 기록을 선택합니다. |
| 샘플링 위험 | 표본에서 도출된 결론이 전체 모집단에 대한 올바른 결론을 나타내지 않을 가능성. |
| 업무 분리(SoD) | 다른 사람에게 거래 승인, 거래 기록 및 자산 보관 유지의 책임을 할당합니다. 업무 분리는 한 사람이 오류나 사기를 저지르고 은폐할 수 있는 기회를 줄입니다. |
| 심각도 | 가능성과 함께 위험의 심각도를 평가하는 데 사용됩니다. 특정 위험이 발생할 경우 조직에 미칠 수 있는 영향 수준을 평가합니다. |
| SLE | 단일 손실 예상(SLE) = 단일 손실 예상 = 자산 가치 x 노출 요인. |
| 이해 관계자 | 조직의 작업, 목표 및 정책에 영향을 미치거나 영향을 받을 수 있기 때문에 조직에 직간접적으로 이해 관계가 있는 개인, 그룹 또는 조직입니다. |
| 표준 | 광범위한 내부 감사 활동을 수행하고 내부 감사 성과를 평가하기 위한 요구 사항을 설명하는 내부 감사 표준 위원회에서 공표한 전문 선언문입니다. |
| 전략적 위험 | 정치적 요인, 고객 우선순위, 브랜드 또는 평판과 같은 전략적 목표와 관련합니다. |
| 대상 | 엔터티가 달성하기 위해 노력하는 측정 가능한 가치입니다. |
| 테스트 | 모집단의 특성을 추정하기 위한 모집단의 샘플입니다. |
| 테스트 계획 | 단일 통제의 설계 및 운영 효과성에 대한 특정 감사 테스트입니다. |
| 위협 | 균형적으로 목표 달성에 바람직하지 않은 영향을 미치는 이벤트입니다. |
| 허용 오차 | 대상에서 허용되는 이탈 수준입니다. |
| 통합 준수 프레임워크(UCF) | 네트워크 프론티어 통합 준수 프레임워크(UCF)에는 인스턴스로 임포트할 수 있는 권한 문서가 포함되어 있습니다.ServiceNow® 자세한 내용은 통합 준수 프레임워크를 참조하십시오. |
| 불확실성 | 무언가를 완전히 예측하거나, 결정하거나, 정의할 수 없는 상태입니다. |