Die Strukturübersicht von Richtlinien- und Compliance-Management ermöglicht es Ihnen zu verstehen, wie die verschiedenen Module, aus denen die Anwendung [ Richtlinien- und Compliance-Management von ServiceNow besteht, integriert werden und miteinander interagieren.

Regulatorisches Dokument

Richtlinien- und Compliance-Management Die Anwendung beginnt mit der Identifizierung von regulatorischen Dokumenten. Bei diesen Dokumenten handelt es sich um externe Vorschriften, die Gesetze, Vorschriften und Standards enthalten, die von Ihrer Organisation eingehalten werden müssen. Diese hängen von der Art der Geschäftstätigkeit Ihrer Organisation und deren Standort ab. Regulatorische Anforderungen werden in der Regel von Aufsichtsbehörden veröffentlicht, die gesetzliche oder branchenspezifische Anforderungen festlegen. Diese Anforderungen können sich aus bundesstaatlichen oder staatlichen Vorschriften wie dem Health Insurance Portability and Accountability Act (HIPAA), internationalen Vorschriften wie der Datenschutz-Grundregel (GDPR) oder Branchenvorschriften wie der Payment Card Industry (PCI) ergeben. Jedes dieser Dokumente (wie HIPAA, DSGVO und PCI) ist ein regulatorisches Dokument.

Beispielsweise sind die Datensicherheitsstandards der Zahlungskartenbranche (PCI DSS) ein Informationssicherheitsstandard und ein regulatorisches Dokument, das den Betrug mit Zahlungskarten reduzieren soll. Er stellt eine Reihe von Sicherheitsstandards für alle Organisationen bereit, die Kreditkartenzahlungen akzeptieren. Finanzdienstleister müssen PCI-Standards einhalten, um Betrug zu verhindern und Karteninhaberdaten zu schützen, und sicherstellen, dass ihre Geschäftsservices sicher und legal sind.

Zitat

Ein Zitat ist eine Textpassage oder ein Ausdruck aus einem regulatorischen Dokument (z. B. Unified Compliance Framework (UCF)), das bzw. den Ihr Unternehmen insbesondere erfüllen muss. Es handelt sich um eine einzelne Anforderung in einem regulatorischen Dokument. Beispielsweise ist die Verschlüsselung der Übertragung von Karteninhaberdaten in öffentlichen Netzwerken eine der Anforderungen des PCI DSS, um den Diebstahl persönlicher Finanzinformationen von Verbrauchern durch Zahlungskartentransaktionen zu verhindern.

Zitate können manuell erstellt oder über UCF importiert werden.

Entitätstyp

Der Entitätstyp ist eine Gruppierung der Entitäten, die eine Reihe von Filterbedingungen erfüllen. Sie können automatisch Entitäten basierend auf einer bedingten Abfrage an jede Tabelle in Ihrer Instanz generieren. Betrachten Sie beispielsweise einen Kunden, der ein Konto bei einer Bank hält, als Entitätstyp. Der Kunde verfügt über Attribute wie Name, Kunden-ID, Accounttyp, Einkommensquelle und andere, die in einer Kundeninformationstabelle gespeichert sind, die basierend auf einem der Attribute abgefragt werden kann.

Entität

Eine Entität kann aus Personen, Abteilungen, Anwendungen, Objekten, Servern, externen Netzwerkgeräten, verschiedenen Standorten, Datenservern, einem Data Warehouse bestehen – im Grunde alles, für das Sie einen Kontrolltest durchführen, und das sich auf Richtlinien und Compliance bezieht. Zum Beispiel eine Person, die ein Konto bei einer Bank mit einem Namen und zugehörigen Finanzinformationen besitzt.

Entitäten werden automatisch generiert, wenn ein Entitätstyp erstellt wird.

Richtlinie

Nachdem regulatorische Dokumente identifiziert wurden, entwickeln Unternehmen Richtlinien, die angeben, wie der Geschäftsbereich die regulatorischen Dokumente einhält. Auf hoher Ebene definieren Richtlinienanweisungen, was das Unternehmen tun oder nicht tun soll. Beispielsweise kann eine Organisation eine Datenschutzrichtlinie festlegen, die die Anforderungen für den Schutz vertraulicher Kundeninformationen definiert. Richtlinien sind interne Dokumente einer Organisation und können wie eine Firewall-Richtlinie, Netzwerkrichtlinie, Richtlinie zur zulässigen Verwendung, Informationssicherheit, Netzwerksicherheit, Umweltschutz usw. sein. Es handelt sich um eine Zusammenfassung verschiedener Kontrollen und Kontrollziele, die sich mit einem bestimmten Aspekt des Geschäfts befassen.

Richtlinienbestätigung

Mit dem Modul zur Richtlinienbestätigung können Richtlinienbesitzer oder Compliance-Teams Richtlinien zur Überprüfung und Bestätigung durch Mitarbeiter senden, um Compliance-Anforderungen zu erfüllen.

Richtlinienausnahme

Dadurch können Sie eine Ausnahme für eine Richtlinie festlegen. Wenn Sie aus irgendeinem Grund eine Richtlinie oder ein Steuerelement nicht einhalten können, können Sie eine Ausnahme protokollieren.

Das Modul „Richtlinienausnahmen“ dokumentiert jede Situation, in der die Organisation der dokumentierten Kontrolle nicht folgen kann. Richtlinienausnahmen haben einen eigenen Lebenszyklus und eigene Genehmigungen.

Kontrollziel

Kontrollziele sind spezifische Ziele, die mit den Steuerungen erreicht werden sollen. Um beispielsweise die Datenschutzrichtlinie zu gewährleisten, kann das Unternehmen ein sicheres Netzwerk aufbauen und pflegen. Für eine Richtlinie zur zulässigen Verwendung kann das Kontrollziel bestehen, dass ein Proxy die Kontrolle über die von Anwendern besuchten Websites behält. Für eine Netzwerkrichtlinie kann das Kontrollziel „sichere Passwörter“ festgelegt werden.

Über die Kontrollziele können Berechtigungsdokumente und Richtlinien miteinander verknüpft werden, um die Compliance-Last zu verringern – ein Kontrollziel kann mehrere interne und externe Anforderungen durchsetzen. Zitate können auch einem oder mehreren Kontrollzielen zugeordnet werden. Auf der Ebene des Steuerungsziels sind Steuerungen und Richtlinien miteinander verknüpft. Alternativ können Sie sich ein Kontrollziel ansehen und die Zuordnungen zurück zu regulatorischen Dokumenten und Richtlinien, die zeigen, warum Sie die in den Zielen angegebenen Aktionen ausführen.

Das Modul „Kontrollziele“ ist der Haupt-Hub der Anwendung Richtlinien- und Compliance-Management. Während regulatorische Dokumente regulatorische Ziele angeben und Richtlinien dokumentieren, was die Organisation tun oder lassen sollte, definieren die Kontrollziele genau, wie diese Richtlinien und regulatorischen Dokumente einzuhalten sind.

Kontrolle

Eine Kontrolle ist eine spezifische Implementierung eines Kontrollziels. Beispielsweise kann das Unternehmen für eine Datenschutzrichtlinie sicherstellen, dass Daten regelmäßig gesichert werden, oder ein automatisiertes Sicherungssystem einrichten.

Steuerungen werden automatisch generiert, wenn Sie eine Richtlinie mit einem Entitätstyp oder einem Entitätstyp mit einem Steuerungsziel verknüpfen, wobei für jede im Entitätstyp für das Steuerungsziel aufgeführte Entität eine Steuerung erstellt wird. Steuerungen können jedoch auch manuell erstellt werden. Steuerungen werden darauf getestet, ob sie das beabsichtigte Steuerungsziel erfolgreich erreichen.

Kontrolltest

Eine Kontrolle wird getestet, um sicherzustellen, dass sie das Kontrollziel effektiv erreicht. Beispielsweise stellt ein Penetrationstest die ordnungsgemäße Implementierung der Datenverschlüsselung sicher.

Indikator

Mit einem Indikator können Sie einen Test für die Steuerungen durchführen. Tests können täglich, wöchentlich, monatlich oder vierteljährlich geplant werden. Es wird eine Indikatoraufgabe erstellt und an den Benutzer gesendet, um zu überprüfen, ob die Kontrolle konform ist. Der Indikator kann als „Bestanden“ oder „Fehlgeschlagen“ markiert werden. Wenn die Aufgabe fehlschlägt, ist die Steuerung nicht konform, und es wird ein Problem erstellt. Wenn der Indikator den Test besteht, ist die Kontrolle bis zum nächsten geplanten Test konform.

Indikatorvorlagen ermöglichen die Erstellung mehrerer Indikatoren für ähnliche Steuerungen. Die Indikatorvorlage definiert die Parameter der Indikatoren und wird je nach Typ des überwachten Indikators der Risikobeschreibung oder dem Kontrollziel zugeordnet.

Jedes Mal, wenn der Indikator ausgeführt wird, wird eine Aufgabe erstellt, um das Indikatorergebnis zu sammeln. Eine Indikatoraufgabe wird gemäß einem Zeitplan erstellt, um die Überwachung gemäß einer im Indikatorformular voreingestellten Häufigkeit sicherzustellen.

Nachweis

Ein Nachweis bewertet die Kontrolle, um ihre Compliance kontinuierlich zu überwachen. Im Gegensatz zu Indikatoren erfolgt der Nachweis meist ad hoc und kann nicht geplant werden.

Problem

Wenn beim Testen eines Steuerelements eine Lücke identifiziert wird, wird diese Lücke als Problem bezeichnet. Probleme können operative Beobachtungen aus Audits, Verstöße gegen gesetzliche Compliance-Vorgaben, Sicherheitsverletzungen oder andere negative Ergebnisse umfassen. Oder wenn ein Kontrolltest fehlschlägt und nicht konform ist, wird ein Problem erstellt. Probleme können in den Anwendungen Richtlinien- und Compliance-Management, Risikomanagementund Audit-Management GRC geteilt werden. Sie können die Effektivität des Risikomanagementprogramms Ihres Unternehmens daran messen, wie schnell und gründlich es Risiko- und Complianceprobleme identifiziert und darauf reagiert.

Nachbesserungsaufgabe

Nachdem ein Problem bestätigt wurde, identifiziert die Organisation die erforderlichen Schritte zur Behebung des Problems. Um ein Risiko zu minimieren, können Sie eine Korrekturaufgabe erstellen, um die Korrekturarbeit nachzuverfolgen. Wenn eine Selektierung durchgeführt wurde, wird das Selektierungsproblem in ein tatsächliches Problem oder Risikoereignis umgewandelt. Sie können das Problem auch als Empfehlung nachverfolgen oder als Nicht-Problem schließen.