Kontrollnachweise verwalten

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 10 Minuten Lesedauer

    • Nachweise sind Umfragen, die Nachweise sammeln, um nachzuweisen, dass eine Kontrolle implementiert ist. Der Nachweisdesigner bietet eine einzige Schnittstelle, über die Benutzer Nachweise erstellen und bearbeiten sowie Bewertungsparameter ändern können. Der Fragenpool bietet eine Bibliothek mit Fragen für verschiedene Kategorien, sodass Sie nicht jeden Fragebogen von Grund auf neu erstellen müssen.

    Benutzer können mehrere Nachweistypen erstellen und ihre Kontrollziele auf verschiedene Nachweise festlegen. Ein Beispielnachweis mit der Bezeichnung GRC-Nachweis wird auch als Standardnachweis bereitgestellt, der aus den folgenden einfachen Fragen besteht:

    Standardmäßig wird der GRC-Nachweis für Steuerungen verwendet und stellt die folgenden Bewertungsfragen bereit:
    • Wurde diese Kontrolle implementiert?
    • Beweis anfügen
    • Erklären

    Meine Nachweise befindet sich im Abschnitt „ Steuerungen “ der Anwendung „Policy and Compliance“ und enthält aktive Nachweise, für die Sie der Befragte sind. Die Nachweise werden in einer Liste mit einem einzigen Nachweisdatensatz pro Steuerung angezeigt.

    Meine gruppierten Nachweise enthält Nachweise, die Sie gruppiert haben, um die Aufgabe zu vermeiden, sich wiederholende Antworten für ähnliche Bewertungen bereitzustellen.

    Alle Nachweise sind im Abschnitt „ Steuerungen “ der Anwendung „Policy and Compliance“ enthalten und enthalten alle aktiven Nachweise.

    Compliance-Manager können Nachweistypen erstellen, die verschiedene Arten von Fragen enthalten, die ihren Anforderungen entsprechen. Weitere Informationen finden Sie unter Erstellen Sie mit dem Attestierungsdesigner einen Steuerungsnachweis.

    Compliance-Manager können für jedes Kontrollziel einen neuen Fragensatz erstellen. Die Fragenbank bietet eine Bibliothek mit Fragen für verschiedene Kategorien, sodass Sie nicht jeden Fragebogen von Grund auf neu erstellen müssen. Weitere Informationen finden Sie unter Erstellen Sie einen Nachweistyp.

    Designer für Bestätigungen

    Der Nachweisdesigner bietet eine einzige Schnittstelle, über die Benutzer Nachweise erstellen und bearbeiten sowie Bewertungsparameter ändern können.

    Alle Nachweisdatensätze werden in Bewertungstabellen gespeichert und in Nachweisansichten dieser Tabellen angezeigt.

    Erstellen Sie mit dem Attestierungsdesigner einen Steuerungsnachweis

    Verwenden Sie den Nachweis-Designer, um Metriktypen zu erstellen und zu bearbeiten. Verwenden Sie verschiedene Metriktypen für verschiedene Steuerungen. Wählen Sie mehrere Befragte für eine Bestätigung aus, und ändern Sie die Bewertungsparameter.

    Vorbereitungen

    Erforderliche Rolle: sn_compliance.attest_creator, sn_compliance.manager, sn_compliance.administrator

    Prozedur

    1. Navigieren zu Alle > Richtlinien und Compliance > Administration > Bestätigungstypen.
    2. Klicken Sie auf Attestierungsdesigner.
      Der Designer enthält folgende Elemente:
      Element Beschreibung
      Steuerungen Unterstützte Fragedatentypen sind in der Steuerungspalette verfügbar. Ziehen Sie ein Steuerelement auf die Designer-Canvas, um eine Frage dieses Typs zu erstellen.
      Fragen Eine Bibliothek mit Fragen für verschiedene Kategorien, sodass Sie nicht jeden Fragebogen von Grund auf neu erstellen müssen.
      Kategorien Neue Bewertungen werden in der Designansicht geöffnet. Das Feld Name des Fragebogens wird über der ersten Kategorie im Canvas-Bereich angezeigt. Im Kategoriencontainer wird ein leeres Fragenfeld angezeigt.
    3. Geben Sie einen Namen in das Feld Name ein.
    4. Ziehen Sie ein Steuerelement auf die Designer-Canvas, um eine Frage dieses Typs zu erstellen.
      Tabelle : 1. Fragensteuerungen
      Datentyp Beschreibung Bewertet
      Anhang Frage mit dem Symbol „Anhänge verwalten“, mit dem Benutzer eine oder mehrere Dateien anhängen können. N
      Boolean Frage mit einer Checkbox oder einer Ja/Nein-Liste für Benutzerantworten. Y
      Auswahl Liste vordefinierter Optionen. Weitere Informationen finden Sie in der Definition für Auswahlmöglichkeiten. Y
      Datum Datumsfeld. N
      Datum/Uhrzeit Datum- und Uhrzeitfeld. N
      Nummer Zahlenfeld mit vordefinierten Minimal- und Maximalwerten. Der Standardwert ist 1–10. N
      Prozentsatz Prozentfeld mit einem vorgegebenen Bereich. N
      Skala Vordefinierte Likert-Skala. Antwortmöglichkeiten werden als Auswahlschaltflächen angezeigt. Y
      Numerische Skala Wählbare Zahlenskala. Der Standardwert ist 1–5. Antwortmöglichkeiten werden als Auswahlschaltflächen angezeigt. Y
      Zeichenfolge Ein- oder mehrzeiliges Textfeld. N
      Vorlage Auswahlliste der Vorlagen, die eine vordefinierte Skala von Optionen bieten.
      Hinweis:
      Es ist wichtig, jeder Attestierung eine Vorlage zuzuweisen. Dadurch können Steuerungen automatisch basierend auf Kontrollzielen und Entitätstypen erstellt werden.
      		 Y
      Referenz Auswahlliste der Felder aus einer angegebenen Referenztabelle. Dieser Datentyp unterstützt keine Referenzqualifizierer. N
      Hinweis:
      Legen Sie die richtige Antwort für die Metrik fest, die bewertet werden soll. Bewertete Metriken bestimmen den Compliance-Status der Kontrollen.
    5. Zeigen Sie auf das Menüsymbol oben rechts im Nachweisdesigner, um eine der folgenden Optionen auszuwählen.
      Hinweis:
      Die Verfügbarkeit der einzelnen Optionen hängt vom Status der im Designer geöffneten Bestätigung ab.
      OptionBezeichnung
      Neue Bestätigung Öffnet eine neue Canvas für einen neuen Nachweis.
      Bestätigung laden Öffnet eine Liste vorhandener Nachweise, die Sie auswählen und bearbeiten können.
      Im Gegensatz zu anderen Arten von Bewertungen werden Steuerungsnachweise nicht in angezeigt Selfservice > Meine Bewertungen und Umfragen -Modul, da viele Steuerungsnachweise gleichzeitig generiert werden könnten. Stattdessen werden Steuerungsnachweise als Liste im angezeigt Richtlinien und Compliance > Steuerungen > Meine Nachweise -Modul und Modul „Alle Nachweise “.

    Nächste Maßnahme

    Wenn Sie implementieren, Policy and Compliance Management -Software, kehren Sie zum zurück Policy and Compliance Management Setup-Prüfliste und fahren Sie mit dem nächsten Schritt fort.

    Erstellen Sie einen Nachweistyp

    Anstatt den standardmäßigen GRC -Nachweistyp zu verwenden, kann der Compliance-Manager für jedes Kontrollziel einen neuen Satz von Fragen erstellen.

    Vorbereitungen

    Erforderliche Rolle: sn_compliance.attestation_creator oder sn_compliance.manager oder sn_compliance-admin

    Prozedur

    1. Navigieren zu Alle > Richtlinien und Compliance > Administration > Bestätigungstypen.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 2. Formular „Bewertungsmetriktyp“
      Feld Beschreibung
      Name Name des Bewertungstyps.
      Bewertungsdauer Dauer von der Generierung bis zum Abschluss der Bewertung.
      Tabelle Tabelle, für die diese Bewertung gilt.
      Skalierungsfaktor Skalawert, der für alle Bewertungsergebnisse verwendet werden soll.
      Bedingung Definieren Sie bestimmte Datensätze aus der Tabelle.
      Beschreibung Weitere Details zur Bewertung.
      Status Status der Bewertung: Entwurf oder Veröffentlicht
      Bedingung erzwingen Option, die angibt, ob zugängliche Datensätze dieses Typs, die die angegebenen Bedingungen nicht erfüllen, gelöscht werden.
      Rollen Rollen, die Zugriff auf Informationen zu diesem Metriktyp haben.
    4. Klicken Sie auf Absenden.

    Kontrollnachweise mit der Funktion „Gleiche Antwort“ konsolidieren

    Policy and Compliance Management und Risikomanagement bieten zwei Methoden zum Konsolidieren von Nachweisen und Risikobewertungen in Gruppen, die dazu beitragen, sich wiederholende Antworten für ähnliche Bewertungen nicht mehr bereitzustellen. Sie können dieselben Nachweise für die gruppierten Bewertungen bereitstellen oder auf einzelne Bewertungen in derselben Benutzeroberfläche reagieren.

    Vorbereitungen

    Erforderliche Rolle: sn_grc.business_user, sn_grc.business_user_lite

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn Sie Kontrollnachweise mit der Funktion „Gleiche Antwort“ konsolidieren, können Sie Nachweise gruppieren, die maximal 1000 Fragen enthalten. Wenn die Attestierung oder Risikobewertung für die Gruppe durchgeführt wird, erben alle Datensätze in der Gruppe die Antworten.
    Hinweis:
    Um das Limit für 1000 Fragen zu ändern, navigieren Sie zu Alle > Richtlinien und Compliance > Administration > GRC-Eigenschaften und ändern Sie die Eigenschaft sn_grc.consolidated_questions_limit.

    Wenn Sie nicht möchten, dass Ihre Benutzer auf diese Fähigkeit zugreifen können, navigieren Sie zu Alle > Richtlinien und Compliance > Administration > GRC-Eigenschaften, und deaktivieren Sie die Eigenschaft sn_grc.enable_consolidate_asmt.

    Prozedur

    1. Navigieren zu Alle > Richtlinien und Compliance > Steuerungen > Meine Nachweise.
    2. Wählen Sie die Nachweise aus, die Sie gruppieren möchten.
    3. Klicken Sie in der Auswahlliste Aktionen für ausgewählte Zeilen auf Gruppenbewertungen.
      Gruppenbewertungen
    4. Wählen Sie unter Antworttypdie Option Gleiche Antwort für alle Bewertungen bereitstellen aus.
    5. Füllen Sie die Felder nach Bedarf aus.
      Feld Beschreibung
      Standardkriterien Dieses Feld ist standardmäßig auf Metriktyp festgelegt.
      Zusätzliche Kriterien Sie können optional zusätzliche Gruppierungskriterien definieren:
      • Kategorie
      • Kontrollziel/Risikoerklärung
      • Entität

      Sie können auch zusätzliche Bewertungskriterienoptionen definieren, wenn die Standardwerte nicht Ihren Anforderungen entsprechen.

      Hinweis:
      Die Verwendung dieser Gruppierungsschemata ist sinnvoll, wenn die gruppierten Nachweise mehrere Instanzen der ausgewählten Kriterien enthalten. Wenn Sie beispielsweise eine Gruppe von 20 Nachweisen ausgewählt haben, von denen 10 einer Entität und die anderen 10 einer anderen Entität zugeordnet sind, werden durch Auswahl von Entität in diesem Feld zwei separate Gruppen von Nachweisen erstellt. Wenn die Gruppe jedoch aus 5 Nachweisen besteht, die einer Entität zugeordnet sind, und aus den anderen 15 Nachweisen, die verschiedenen Entitäten zugeordnet sind, werden nur diese 5 Nachweise gruppiert und der Rest ignoriert.
      Vorschau Die Vorschau zeigt die Anzahl der zu gruppierenden Nachweise an. Abhängig von den zusätzlichen Kriterien, die Sie ausgewählt haben, werden in der Vorschau möglicherweise mehrere Gruppen angezeigt. Wenn Sie die zu gruppierenden Nachweise anzeigen möchten, klicken Sie auf den Link, der die Anzahl der zu gruppierenden Nachweise oder Risikobewertungen anzeigt.
    6. Wenn Sie mit den zu konsolidierenden Nachweisen oder Risikobewertungen zufrieden sind, klicken Sie auf Gruppe.

      Eine Bestätigungsmeldung wird zusammen mit einem Link zur Nachweisgruppe angezeigt.

      Nachricht „Bewertung erstellt“
      Hinweis:
      Wenn Nachweisgruppen erstellt wurden, können Sie sie anzeigen, indem Sie zu navigieren Richtlinien und Compliance > Steuerungen > Meine gruppierten Nachweise. Wenn Sie eine gruppierte Attestierung öffnen, haben Sie die Möglichkeit, eine oder mehrere Attestierungen aus der Gruppe zu entfernen. Dies erreichen Sie, indem Sie diejenigen auswählen, die Sie entfernen möchten, und Gruppierung der Bewertung aufheben in der Auswahlliste Aktionen für ausgewählte Zeilen auswählen. Wenn Sie Nachweise aus einer Gruppe entfernen, bis nur noch ein Nachweis vorhanden ist, wird die Gruppe entfernt.
    7. Wenn Sie bereit sind, die Bewertung abzugeben, klicken Sie auf den Link in der Bestätigungsmeldung oder auf die Nachweisnummer unter Meine gruppierten Nachweise.
      Assessment-Instanzen
    8. Klicken Sie auf Bewertung durchführen.
    9. Schließen Sie die Bewertung wie bei jeder anderen Bewertung ab, und klicken Sie auf Absenden.
      Alle Nachweise in der Gruppe erben die von Ihnen angegebenen Antworten, und der Status jeder Bestätigung in der Gruppe ändert sich in Abgeschlossen.

    Konsolidieren Sie Kontrollnachweise mithilfe der Funktion „Unterschiedliche Antworten“.

    Policy and Compliance Management und Risikomanagement bieten zwei Methoden zum Konsolidieren von Nachweisen und Risikobewertungen in Gruppen, die dazu beitragen, sich wiederholende Antworten für ähnliche Bewertungen bereitzustellen. Sie können dieselben Nachweise für die gruppierten Bewertungen bereitstellen oder auf einzelne Bewertungen in derselben Benutzeroberfläche reagieren.

    Vorbereitungen

    Erforderliche Rolle: sn_grc.business_user, sn_grc.business_user_lite

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn Sie Kontrollnachweise oder Risikobewertungen mit der Funktion „Unterschiedliche Antworten“ konsolidieren, können Sie Nachweise oder Risikobewertungen gruppieren, die maximal 150 Fragen enthalten. Alle Fragen werden in einer einzigen Benutzeroberfläche angezeigt.
    Hinweis:
    Um das Limit für 1000 Fragen zu ändern, navigieren Sie zu Richtlinien und Compliance > Administration > GRC-Eigenschaften und ändern Sie die Eigenschaft sn_grc.grouped_questions_limit.

    Prozedur

    1. Navigieren zu Alle > Richtlinien und Compliance > Steuerungen > Meine Nachweise.
    2. Wählen Sie die Nachweise aus, die Sie gruppieren möchten.
    3. Klicken Sie in der Auswahlliste Aktionen für ausgewählte Zeilen auf Gruppenbewertungen.
      Gruppenbewertungen
    4. Wählen Sie unter Antworttypfür jede Bewertung eine andere Antwort bereitstellen aus.
    5. Füllen Sie die Felder nach Bedarf aus.
      Feld Beschreibung
      Standardkriterien Dieses Feld ist standardmäßig auf Metriktyp festgelegt.
      Zusätzliche Kriterien Sie können optional zusätzliche Gruppierungskriterien definieren:
      • Kategorie
      • Kontrollziel/Risikoerklärung
      • Entität

      Sie können auch zusätzliche Bewertungskriterienoptionen definieren, wenn die Standardwerte nicht Ihren Anforderungen entsprechen.

      Hinweis:
      Die Verwendung dieser Gruppierungsschemata ist sinnvoll, wenn die gruppierten Nachweise mehrere Instanzen der ausgewählten Kriterien enthalten. Wenn Sie beispielsweise eine Gruppe von 20 Nachweisen ausgewählt haben, von denen 10 einer Entität und die anderen 10 einer anderen Entität zugeordnet sind, werden durch Auswahl von Entität in diesem Feld zwei separate Gruppen von Nachweisen erstellt. Wenn die Gruppe jedoch aus 5 Nachweisen besteht, die einer Entität zugeordnet sind, und aus den anderen 15 Nachweisen, die verschiedenen Entitäten zugeordnet sind, werden nur diese 5 Nachweise gruppiert und der Rest ignoriert.
      Vorschau Die Vorschau zeigt die Anzahl der zu gruppierenden Nachweise an. Abhängig von den zusätzlichen Kriterien, die Sie ausgewählt haben, werden in der Vorschau möglicherweise mehrere Gruppen angezeigt. Wenn Sie die zu gruppierenden Nachweise anzeigen möchten, klicken Sie auf den Link, der die Anzahl der zu gruppierenden Nachweise oder Risikobewertungen anzeigt.
    6. Wenn Sie mit den zu konsolidierenden Nachweisen oder Risikobewertungen zufrieden sind, klicken Sie auf Gruppe.

      Eine Bestätigungsmeldung wird zusammen mit einem Link zur Nachweisgruppe angezeigt.

      Nachricht „Bewertung erstellt“
      Hinweis:
      Wenn Nachweisgruppen erstellt wurden, können Sie sie anzeigen, indem Sie zu navigieren Richtlinien und Compliance > Steuerungen > Meine gruppierten Nachweise. Wenn Sie eine gruppierte Attestierung öffnen, haben Sie die Möglichkeit, eine oder mehrere Attestierungen aus der Gruppe zu entfernen. Dies erreichen Sie, indem Sie diejenigen auswählen, die Sie entfernen möchten, und Gruppierung der Bewertung aufheben in der Auswahlliste Aktionen für ausgewählte Zeilen auswählen. Wenn Sie Nachweise aus einer Gruppe entfernen, bis nur noch ein Nachweis vorhanden ist, wird die Gruppe entfernt.
    7. Wenn Sie bereit sind, die Bewertung abzugeben, klicken Sie auf den Link in der Bestätigungsmeldung oder auf die Nachweisnummer unter Meine gruppierten Nachweise.
      Assessment-Instanzen
    8. Klicken Sie auf Bewertung durchführen.
      Sie sehen Fragebögen für alle ausgewählten Nachweise in der Gruppe.
    9. Schließen Sie die Bewertung für jeden der Nachweise ab, und klicken Sie auf Absenden.

    Definieren Sie Bewertungsgruppierungskriterien

    Sie können optional zusätzliche Gruppierungskriterien definieren, wenn die Standardkriterien nicht Ihren Anforderungen entsprechen.

    Vorbereitungen

    Erforderliche Rolle: sn_compliance.admin, sn_compliance.manager

    Prozedur

    1. Navigieren zu Alle > Richtlinien und Compliance > Administration > Gruppierungskriterien für Bewertung.
      Bewertungsgruppierungskriterien
    2. Klicken Sie auf Neu.
      Erstellen Sie einen neuen Bewertungsgruppierungskriterien-Datensatz
    3. Füllen Sie die Felder des Formulars aus.
      Feld Beschreibung
      Name Name der Bewertungsgruppierungskriterien.
      Feldname Wählen Sie den Feldnamen aus der Tabelle „Bewertungsinstanz“ [asmt_assessment_instance] aus.
      Aktiv Wählen Sie diese Option aus, um die Gruppierungskriterien zu aktivieren.
    4. Klicken Sie auf Absenden.

    GRC Dashboard „Attestierungsübersicht“.

    Das Dashboard GRC „ Nachweisübersicht“ bietet Ihnen zugewiesene Nachweise sowie ausstehende und überfällige Nachweise.

    Dashboard „Meine Nachweise“.

    Datenvisualisierungen

    Das Dashboard GRC „ Nachweisübersicht“ enthält die folgenden Visualisierungen:

    Name Typ Beschreibung
    Meine überfälligen Nachweise Spalte Spaltensymbol Gesamtzahl der Ihnen zugewiesenen überfälligen Nachweise
    Meine Nachweise Spalte Spaltensymbol Gesamtzahl der Ihnen zugewiesenen Nachweise, aufgeschlüsselt nach Status
    Meine ausstehenden Nachweise Liste Listensymbol3 Eine Liste der Ihnen zugewiesenen ausstehenden Nachweise