Die Strukturübersicht von Policy and Compliance Management ermöglicht es Ihnen zu verstehen, wie die verschiedenen Module, aus denen die Anwendung [ Policy and Compliance Management von ServiceNow besteht, integriert werden und miteinander interagieren.

Regulatorisches Dokument

Policy and Compliance Management Die Anwendung beginnt mit der Identifizierung von regulatorischen Dokumenten. Bei diesen Dokumenten handelt es sich um externe Vorschriften, die Gesetze, Vorschriften und Standards enthalten, die Ihre Organisation erfüllen muss. Diese hängen von der Art der Geschäftstätigkeit Ihrer Organisation und ihrem Standort ab. Regulatorische Anforderungen werden in der Regel von Aufsichtsbehörden veröffentlicht, die gesetzliche Anforderungen oder eine bestimmte Branche bereitstellen. Diese Anforderungen können sich aus bundesstaatlichen oder staatlichen Vorschriften wie dem Health Insurance Portability and Accountability Act (HIPAA), internationalen Vorschriften wie der Datenschutz-Grundverordnung (DSGVO) oder Branchenvorschriften wie der Bezahlkartenbranche (PCI) ergeben. Jedes dieser Dokumente wie HIPAA, DSGVO und PCI ist ein regulatorisches Dokument.

Zum Beispiel handelt es sich bei Payment Card Industry Data Security Standards (PCI DSS) um einen Informationssicherheitsstandard und ein regulatorisches Dokument, das den Betrug mit Zahlungskarten reduzieren soll. Sie bietet eine Reihe von Sicherheitsstandards für alle Organisationen, die Kreditkartenzahlungen akzeptieren. Finanzdienstleister müssen die PCI-Standards einhalten, um Betrug zu verhindern, die Daten der Karteninhaber zu schützen und sicherzustellen, dass ihre Business Services sicher und legal sind.

Zitat

Ein Bezugsvermerk ist eine Textpassage oder ein Ausdruck aus einem regulatorischen Dokument (z. B. Unified Compliance Framework (UCF)), das Ihr Unternehmen ausdrücklich einhalten muss. Es handelt sich um eine einzelne Anforderung innerhalb eines regulatorischen Dokuments. Beispielsweise ist die Verschlüsselung der Übertragung von Karteninhaberdaten über öffentliche Netzwerke eine der Anforderungen von PCI DSS, um den Diebstahl persönlicher Finanzinformationen des Verbrauchers durch Zahlungskartentransaktionen zu verhindern.

Bezugsvermerke können manuell erstellt oder über UCF importiert werden.

Entitätstyp

Der Entitätstyp ist eine Gruppierung der Entitäten, die einem Satz von Filterbedingungen entsprechen. Sie können Entitäten automatisch basierend auf einer bedingten Abfrage in einer beliebigen Tabelle in Ihrer Instanz generieren. Betrachten Sie beispielsweise einen Kunden, der ein Konto bei einer Bank besitzt, als Entitätstyp. Der Kunde verfügt über Attribute wie Name, Kunden-ID, Kontotyp, Einnahmequelle und andere, die in einer Kundeninformationstabelle gespeichert werden, die basierend auf einem der Attribute abgefragt werden kann.

Entität

Eine Entität kann aus Personen, Abteilungen, Anwendungen, Objekten, Servern, externen Netzwerkgeräten, verschiedenen Standorten, Datenservern, Data Warehouse bestehen – im Grunde alles, für das Sie einen Kontrolltest durchführen werden, und das von Natur aus Richtlinien und Compliance ist. Zum Beispiel eine Person, die ein Konto bei einer Bank mit einem Namen und zugehörigen Finanzinformationen besitzt.

Entitäten werden automatisch generiert, wenn ein Entitätstyp erstellt wird.

Richtlinie

Nachdem regulatorische Dokumente identifiziert wurden, entwickeln Unternehmen Richtlinien, die angeben, wie der Geschäftsbereich die regulatorischen Dokumente einhalten soll. Auf einer hohen Ebene definieren Richtlinienanweisungen, was das Unternehmen tun und lassen darf. Beispielsweise kann eine Organisation eine Datenschutzrichtlinie festlegen, die die Anforderungen für den Schutz vertraulicher Kundeninformationen definiert. Richtlinien sind interne Dokumente einer Organisation und können wie eine Firewall-Richtlinie, Netzwerkrichtlinie, Richtlinie zur zulässigen Verwendung, Informationssicherheit, Netzwerksicherheit, Umweltschutz und andere sein. Sie sind eine Zusammenfassung verschiedener Kontrollen und Kontrollziele, die sich mit einem bestimmten Aspekt des Geschäfts befassen.

Richtlinienbestätigung

Mit dem Richtlinienbestätigungsmodul können Richtlinienbesitzer oder Compliance-Teams Richtlinien zur Überprüfung und Bestätigung durch Mitarbeiter senden, um die Compliance-Anforderungen zu erfüllen.

Richtlinienausnahme

Auf diese Weise können Sie eine Ausnahme für eine Richtlinie festlegen. Wenn Sie aus irgendeinem Grund eine Richtlinie oder Kontrolle nicht einhalten können, können Sie eine Ausnahme protokollieren.

Das Modul „Richtlinienausnahme“ dokumentiert jede Situation, in der die Organisation der dokumentierten Kontrolle nicht folgen kann. Richtlinienausnahmen haben einen eigenen Lebenszyklus und Genehmigungen.

Kontrollziel

Kontrollziele sind spezifische Ziele, die mit den Kontrollen erreicht werden sollen. Um beispielsweise die Datenschutzrichtlinie sicherzustellen, kann das Unternehmen ein sicheres Netzwerk aufbauen und verwalten. Für eine Richtlinie zur akzeptablen Verwendung kann es ein Kontrollziel geben, einen Proxy zu haben, der die Kontrolle über die Websites behält, die die Benutzer besuchen. Für eine Netzwerkrichtlinie kann es ein Kontrollziel für sichere Passwörter geben.

Durch die Kontrollziele können Berechtigungsdokumente und Richtlinien miteinander verbunden werden, um die Belastung durch Compliance zu verringern. Ein Kontrollziel kann mehrere interne und externe Anforderungen durchsetzen. Bezugsvermerke können auch einem oder mehreren Kontrollzielen zugeordnet werden. Auf der Ebene der Kontrollziele sind die Kontrollen und Richtlinien aneinander gebunden. Alternativ können Sie sich ein Kontrollziel ansehen und die Zuordnungen zu regulatorischen Dokumenten und Richtlinien anzeigen, aus denen hervorgeht, warum Sie die in den Zielen angegebenen Aktionen ausführen.

Das Modul „Kontrollziele“ ist der Haupt-Hub der Anwendung Policy and Compliance Management. Während in regulatorischen Dokumenten regulatorische Ziele festgelegt sind und Richtlinien dokumentieren, was die Organisation tun und lassen darf, definieren die Kontrollziele genau, wie diese Richtlinien und regulatorischen Dokumente eingehalten werden sollen.

Kontrolle

Eine Kontrolle ist eine spezifische Implementierung eines Kontrollziels. Beispielsweise kann das Unternehmen im Rahmen einer Datenschutzrichtlinie sicherstellen, dass Daten regelmäßig gesichert werden, oder ein automatisiertes Sicherungssystem einrichten.

Steuerungen werden automatisch generiert, wenn Sie eine Richtlinie einem Entitätstyp oder einen Entitätstyp einem Steuerungsziel zuordnen, wobei eine Steuerung für jede im Entitätstyp für das Steuerungsziel aufgeführte Entität erstellt wird. Steuerungen können jedoch auch manuell erstellt werden. Kontrollen werden getestet, um festzustellen, ob sie das beabsichtigte Kontrollziel erfolgreich erreichen.

Kontrolltest

Eine Kontrolle wird getestet, um sicherzustellen, dass sie das Kontrollziel effektiv erreicht. Beispielsweise stellt ein Penetrationstest die ordnungsgemäße Implementierung der Datenverschlüsselung sicher.

Indikator

Mit einem Indikator können Sie einen Test für die Steuerungen durchführen. Tests können täglich, wöchentlich, monatlich oder vierteljährlich geplant werden. Eine Indikatoraufgabe wird erstellt und an den Benutzer gesendet, um zu überprüfen, ob die Kontrolle konform ist, und der Indikator kann als Bestanden oder Fehlgeschlagen markiert werden. Wenn die Aufgabe fehlschlägt, ist die Kontrolle nicht konform, und es wird ein Problem erstellt. Wenn der Indikator den Test besteht, ist die Kontrolle bis zum nächsten geplanten Test konform.

Indikatorvorlagen ermöglichen die Erstellung mehrerer Indikatoren für ähnliche Steuerungen. Die Indikatorvorlage definiert die Parameter der Indikatoren und wird der Risikobeschreibung oder dem Kontrollziel entsprechend dem Typ des überwachten Indikators zugeordnet.

Jedes Mal, wenn der Indikator ausgeführt wird, wird eine Aufgabe erstellt, um das Indikatorergebnis zu erfassen. Eine Indikatoraufgabe wird nach einem Zeitplan erstellt, um die Überwachung gemäß einer im Indikatorformular voreingestellten Häufigkeit sicherzustellen.

Bestätigung

Eine Bestätigung bewertet die Kontrolle, um ihre Compliance kontinuierlich zu überwachen. Im Gegensatz zu einem Indikator erfolgt der Nachweis meist ad hoc und kann nicht geplant werden.

Problem

Wenn beim Testen einer Kontrolle eine Lücke identifiziert wird, wird diese Lücke als Problem bezeichnet. Probleme können operative Beobachtungen aus Audits, Verstöße gegen gesetzliche Vorschriften, Sicherheitsverletzungen oder andere negative Ergebnisse umfassen. Oder wenn ein Kontrolltest fehlschlägt und nicht konform ist, wird ein Problem erstellt. Probleme können von den Anwendungen Policy and Compliance Management, Risikomanagementund Audit Management GRC gemeinsam genutzt werden. Sie können die Effektivität des Risikomanagementprogramms Ihres Unternehmens daran messen, wie schnell und gründlich es Risiko- und Compliance-Probleme identifiziert und darauf reagiert.

Korrekturaufgabe

Nachdem ein Problem bestätigt wurde, identifiziert die Organisation die erforderlichen Schritte zur Behebung des Problems. Um ein Risiko zu mindern, können Sie eine Korrekturaufgabe erstellen, um die Korrekturarbeit nachzuverfolgen. Wenn eine Selektierung durchgeführt wurde, wird das Selektierungsproblem in ein tatsächliches Problem oder Risikoereignis umgewandelt. Sie können das Problem auch als Empfehlung nachverfolgen oder als Nicht-Problem schließen.