Führen Sie eine abgestufte CRI-Bewertung durch, um den Stufenwert der Entität zu bestimmen

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Führen Sie eine CRI-Stufenbewertung für eine Entität durch, um ihre Stufe zu bestimmen. Basierend auf der Antwort des Beurteilers auf den CRI-Fragebogen wird der Compliance-Status jeder einer Frage zugeordneten Kontrolle bestimmt und die Gesamt-Compliance-Punktzahl der Entität berechnet.

    Vorbereitungen

    Erforderliche Rolle: sn_compliance_ws.corporate_compliance_analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Das Cyber Risk Institute (CRI) konzentriert sich auf die Zusammenarbeit mit Kunden aus der Finanzbranche und Aufsichtsbehörden und rationalisiert die Standards für das Compliance-Management in Finanzorganisationen. Um die Risiken zu mindern, hat CRI ein Profil als CRI-Profil erstellt, das auf NIST CSF v2.0-Inhalten basiert.

    Der Inhalt basiert auf NIST CSF v2.0-Funktionen wie Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen und Steuern, die als Diagnoseanweisungen bezeichnet werden. Diese Anweisungen sind verschiedenen Zitaten zugeordnet, die aus den Branchenstandards stammen und zu allgemeinen Kontrollzielen verallgemeinert wurden. Wenn Finanzinstitute diese Diagnoseanweisungen einhalten, erfüllen sie automatisch alle Vorschriften und Standards der Finanzbranche.

    ServiceNow Basissystem stellt Kunden den Inhalt dieses CRI-Profils bereit und sie sind:
    Die CRI-Bewertung besteht aus zwei Schritten:
    Abgestufte CRI-Bewertung
    Mit CRI können Sie Ihre Organisation mit einem verbindlichen Satz von Fragen abstufen, die Sie zur Bewertung Ihres Unternehmens beantworten. Basierend auf Ihren Antworten auf die Bewertung wird Ihrem Unternehmen ein Stufenwert zugewiesen, z. B. Stufe 1, Stufe 2, Stufe 3 oder Stufe 4.
    CRI-Bewertung
    Nach Abschluss der CRI-Abstufungsbewertung müssen Sie basierend auf dem Stufenstatus Ihres Unternehmens den zweiten Schritt abschließen, die CRI-Bewertung, die den Compliance-Status der Kontrollen und die Gesamt-Compliance-Punktzahl Ihres Unternehmens bestimmt.

    Prozedur

    1. Navigieren zu Alle > Richtlinien und Compliance > Compliance-Arbeitsbereich.
    2. Wählen Sie das Listensymbol ( Listensymbol.).
    3. Wählen Sie aus der Compliance-Bibliothek der Liste regulatorischer Dokumente im linken Bereich ein regulatorisches Dokument basierend auf CRI Profile v2.0 aus.
    4. Wählen Sie die zugehörige Liste Zitate aus, um die Zitate anzuzeigen, die dem regulatorischen Dokument zugeordnet sind, und wählen Sie ein Zitat aus.
      Jedem dieser Zitate ist ein Kontrollziel zugeordnet.
    5. Wählen Sie auf der Übersichtsseite des Zitatdatensatzes die zugehörige Liste Kontrollziel aus.
    6. Wählen Sie einen Kontrollzieldatensatz aus, und klicken Sie auf die zugehörige Liste „Zitate“, um die zugehörigen Zitate aus CSF Profile v2.0 und FFIEC anzuzeigen.
      Sie wissen, wie die Datensätze dem Inhalt von CSF Profile v2.0 zugeordnet werden. Sie haben auch die Inhalte für FFIEC CAT und NIST CSF v2.0 in der Compliance-Bibliothek – Regulatorische Dokumente. Wenn diese Inhalte verfügbar sind, können Sie die abgestufte Bewertung für Ihr Unternehmen oder Ihre Niederlassung durchführen.
    7. Wählen Sie auf der Seite Listen die Option Alle Entitäten aus, und klicken Sie auf einen Entitätsdatensatz.
    8. Wählen Sie die zugehörige Liste Details des Entitätsdatensatzes aus, und klicken Sie auf das Feld Klasse, um den Unternehmensdatensatz zu öffnen.
      Wählen Sie eine beliebige Entitätsklasse aus, in der die Option Ist CRI für das Cybersicherheitsrisikoprofil (CRI) des Unternehmens aktiviert ist. Diese Kennzeichnung bestimmt, ob diese Klasse für die CRI-Bewertung gilt. Jede Entität im Zusammenhang mit dieser Klasse ist für die abgestufte CRI-Bewertung berechtigt.
    9. Schließen Sie den Unternehmensdatensatz, und wählen Sie die zugehörige Liste Details der Entität aus.
    10. Geben Sie die Stufendetails in die zugehörige Liste „Cybersicherheits-Risikoprofil (CRI)“ ein.
      Weitere Informationen finden Sie unter
      • Das Entitätsformular in Entitäten erstellen.
      • Die zugehörigen Listen im Abschnitt „Entitäten“.
    11. Wählen Sie das Symbol Weitere Aktionen, und klicken Sie auf die Option Abgestufte CRI-Bewertung.
      Wenn Sie der Besitzer der Entität sind, können Sie diese UI-Option anzeigen und die abgestufte Bewertung initiieren.

      Popup-Fenster „Abgestufte CRI-Bewertung“.

    12. Geben Sie eine Nachricht in das Feld Nachricht ein, und wählen Sie im Popup-Fenster CRI-Tiering- Bewertung die Schaltfläche Tiering-Bewertung.
      Nachdem Sie die Tiering-Bewertung initiiert haben, wird die zugehörige Liste CRI-Tiering-Bewertungen im Entitätsdatensatz angezeigt.
    13. Wählen Sie die zugehörige Liste CRI-Tiering-Bewertungen aus, und klicken Sie auf den Link Bewertungsinstanz.
      Sie können auch über die Liste Stufenbewertungen der zugehörigen Liste Meine ausstehenden Aufgaben auf der Seite Aufgaben auf die Bewertung antworten. Überprüfen Sie die Anweisungen zur abgestuften Bewertung, und beantworten Sie die Fragen. Basierend auf Ihrer Antwort auf jede Frage wird die Stufenstufe der Entität bestimmt.

      Informationen zum Antworten auf eine Bestätigung finden Sie unter Antworten Sie auf Nachweise von der Seite „Aufgaben“ von Compliance Workspace und Auf Bewertungen reagieren.

    14. Nachdem Sie Ihre Bewertung übermittelt haben, öffnen Sie den Entitätsdatensatz, um den Stufenwert im Feld Stufe des Abschnitts „ Cybersicherheitsrisikoprofil (CRI) “ anzuzeigen.
      Darüber hinaus können Sie basierend auf dem Stufenwert auch die Anzahl der Steuerungen kennen, die basierend auf den Kontrollzielen generiert werden, die aus dem Stufenprofil stammen.
    15. Um die dem Stufenwert zugeordneten Steuerungen anzuzeigen, wählen Sie die zugehörige Liste Nachfolgende Steuerungen aus.
      Nachdem die Stufe basierend auf der abgestuften Bewertung bestimmt wurde, können Sie jetzt die CRI-Bewertung durchführen.