통제는 통제 목표의 특정 구현입니다. 폐기된 통제는 목록에 나타나지 않습니다. 통제를 정의하기 전에 조직에서 중요한 통제를 합리화, 통합 및 정의하는 데 시간을 할애하십시오.
통제 합리화
모든 컨트롤을 대량으로 업로드하면 컨트롤 세트를 구체화하고 간소화할 수 있는 기회를 놓치게 됩니다. 비즈니스가 변화하고 IT 데이터, 프로세스 및 기술이 향상됨에 따라 애플리케이션을 구현할 때 오래된 제어와 절차를 대체하십시오 GRC . 다음 사항을 고려하십시오.
이 통제가 비즈니스 목표에 어떤 영향을 미칩니까?
이 통제가 실제로 위험을 방지하거나 탐지합니까?
비즈니스를 더 잘 보호하기 위해 배치할 수 있는 다른 통제가 있습니까?
위험을 완화하면서 프로세스 오버헤드를 줄이고 IT 성능을 개선할 수 있는 통제 수단이 있습니까?
복잡한 통제를 더 간단하고 효과적인 통제로 대체할 수 있습니까?
주:
통제를 수동으로 정의하거나 통합 준수 프레임워크(UCF)에서 통제를 임포트하면 엔터티가 통제와 연결됩니다. 통제 양식의 필수 필드입니다. 그러나 UCF 이외의 소스에서 컨트롤을 가져오는 경우 연결된 엔터티가 없는 컨트롤이 발생할 수 있습니다. 컨트롤 폼으로 돌아가서 컨트롤에 엔터티를 추가하는 것이 중요합니다. 엔터티가 누락되면 계산에 신뢰할 수 없는 결과가 발생할 수 있습니다. 또한 비활성화된 엔터티가 있는 통제가 발견되면 해당 통제를 폐기해야 합니다.
통제 통합
통제를 통합할 기회를 찾습니다. 프레임워크의 여러 규제 당국(예: SOX, GLBA 및 AML)에서 공통적이고 반복적인 통제를 찾습니다. 통제를 교차 매핑하고 중복 통제를 제거하여 각 규정에 대해 단일 통제를 여러 번 작동하지 않도록 합니다. 이 프로세스는 하나의 통합된 통제 세트 = 통제 프레임워크를 설정하며, 통제의 교차 매핑을 수행하고 보존하는 것은 감사에 매우 중요합니다.그림 1. 산업 규정 및 요구사항이 중복됨
통제 및 비즈니스 규칙 정의
미리 정의한 비즈니스 규칙은 나중에 구성 설정을 지정합니다 GRC . 다음을 준비하십시오.
통제 및 통제 소유자 식별
제어 테스트 및 예상 결과 정의
테스트 및 제어 빈도 설정
위험 식별: 영향 및 가능성
증명, 평가, 질문서, 필요한 증거 준비
가능성이 높은 사용 케이스(시스템 컨텐츠와 상호작용하거나 시스템 컨텐츠를 GRC 볼 필요가 있는 사람 및 목적)를 작성합니다.
