Führen Sie einen CRI-Abstufungsfragebogen durch, um den Stufenwert der Entität zu bestimmen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Führen Sie einen CRI-Abstufungsfragebogen für eine Entität durch, um deren Stufe zu bestimmen. Die mit der Stufe verknüpften Bewertungssteuerungen werden erstellt oder aktualisiert. Basierend auf der Antwort des Beurteilers auf den CRI-Fragebogen wird der Compliance-Status jeder einer Frage zugeordneten Kontrolle bestimmt und die Gesamt-Compliance-Punktzahl der Entität berechnet.

    Vorbereitungen

    Erforderliche Rolle: sn_compliance_ws.corporate_compliance_analyst, sn_compliance_ws.corporate_compliance_manager, sn_compliance_ws.it_compliance_manager

    Warum und wann dieser Vorgang ausgeführt wird

    Das Cyber Risk Institute (CRI) konzentriert sich auf die Zusammenarbeit mit Kunden aus der Finanzbranche und Aufsichtsbehörden und rationalisiert die Standards für das Compliance-Management in Finanzorganisationen. Um die Risiken zu mindern, hat CRI ein Profil als CRI-Profil erstellt, das auf NIST CSF v2.0-Inhalten basiert.

    Der Inhalt basiert auf NIST CSF v2.0-Funktionen wie Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen und Steuern, die als Diagnoseanweisungen bezeichnet werden. Diese Anweisungen sind verschiedenen Zitaten zugeordnet, die aus den Branchenstandards stammen und zu allgemeinen Kontrollzielen verallgemeinert wurden. Wenn Finanzinstitute diese Diagnoseanweisungen einhalten, erfüllen sie automatisch alle Vorschriften und Standards der Finanzbranche.

    ServiceNow Basissystem stellt Kunden den Inhalt dieses CRI-Profils bereit und sie sind:
    Die CRI-Bewertung erfolgt in zwei Schritten:
    CRI-Fragebogen zur Einstufung
    Mit CRI können Sie Ihre Organisation mit einem verbindlichen Satz von Fragen abstufen, die Sie zur Bewertung Ihres Unternehmens beantworten. Basierend auf den Antworten auf die Bewertung wird Ihrem Unternehmen ein Stufenwert zugewiesen.
    CRI-Profilbewertung
    Nachdem der CRI-Abstufungsfragebogen ausgefüllt wurde und je nach Stufenstatus Ihres Unternehmens müssen Sie den zweiten Schritt abschließen, die CRI-Profilbewertung, die den Compliance-Status der Kontrollen und die Gesamt-Compliance-Punktzahl Ihres Unternehmens bestimmt.

    Prozedur

    1. Navigieren zu Alle > Richtlinien und Compliance > Compliance-Arbeitsbereich.
    2. Wählen Sie das Listensymbol ( Listensymbol.).
    3. Wählen Sie aus der Compliance-Bibliothek der Liste regulatorischer Dokumente im linken Bereich ein regulatorisches Dokument basierend auf CRI Profile v2.0 aus.
    4. Wählen Sie die zugehörige Liste Zitate aus, um die Zitate anzuzeigen, die dem regulatorischen Dokument zugeordnet sind, und wählen Sie ein Zitat aus.
      Jedem dieser Zitate ist ein Kontrollziel zugeordnet.
    5. Wählen Sie auf der Übersichtsseite des Zitatdatensatzes die zugehörige Liste Kontrollziel aus.
    6. Wählen Sie einen Kontrollzieldatensatz aus, und klicken Sie auf die zugehörige Liste „Zitate“, um die zugehörigen Zitate aus CSF Profile v2.0 und FFIEC anzuzeigen.
      Sie wissen, wie die Datensätze dem Inhalt von CSF Profile v2.0 zugeordnet werden. Sie haben auch die Inhalte für FFIEC CAT und NIST CSF v2.0 in der Compliance-Bibliothek – Regulatorische Dokumente. Mit diesen verfügbaren Inhalten können Sie den abgestuften Fragebogen für Ihr Unternehmen oder Ihre Tochtergesellschaft durchführen.
    7. Wählen Sie auf der Seite Listen die Option Alle Entitäten aus, und klicken Sie auf einen Entitätsdatensatz.
    8. Wählen Sie die zugehörige Liste Details des Entitätsdatensatzes aus, und klicken Sie auf das Feld Klasse.
      Wählen Sie eine beliebige Entitätsklasse aus, bei der die Option Ist CRI für das Cybersicherheitsrisikoprofil (CRI)aktiviert ist. Diese Kennzeichnung bestimmt, ob diese Klasse für die CRI-Profilbewertung gilt. Jede Entität, die mit dieser Klasse in Zusammenhang steht, hat Anspruch auf Bewertung für den abgestuften CRI-Fragebogen.
    9. Schließen Sie den Datensatz, und wählen Sie die zugehörige Liste Details der Entität aus.
    10. Geben Sie die Stufendetails in die zugehörige Liste „Cybersicherheits-Risikoprofil (CRI)“ ein.
      Weitere Informationen finden Sie unter
    11. Wählen Sie das Symbol „Weitere Aktionen“ aus. Symbol und klicken Sie auf die Option Abgestufter CRI-Fragebogen initiieren.
    12. Geben Sie im Feld Nachricht eine Nachricht ein, und wählen Sie im Popup-Fenster „Abgestufter CRI-Fragebogen“ die Schaltfläche Abgestufter Fragebogen initiieren aus.
      Nachdem Sie den Abstufungsfragebogen initiiert haben, wird die zugehörige Liste CRI-Abstufungsfragebogen im Entitätsdatensatz angezeigt.
    13. Wählen Sie die zugehörige Liste CRI-Tiering-Fragebogen aus, und klicken Sie auf den Link Bewertungsinstanz.
      Sie können auch über die Liste Stufenbewertungen der zugehörigen Liste Meine ausstehenden Aufgaben auf der Seite Aufgaben und über das Mitarbeiterportal auf die Bewertung antworten. Überprüfen Sie die Anweisungen zur abgestuften Bewertung, und beantworten Sie die Fragen. Basierend auf Ihrer Antwort auf jede Frage wird die Stufenstufe der Entität bestimmt.

      Informationen zum Antworten auf eine Bestätigung finden Sie unter Antworten Sie auf Nachweise von der Seite „Aufgaben“ von Compliance Workspace und Auf Bewertungen reagieren.

    14. Nachdem Sie Ihre Bewertung übermittelt haben, öffnen Sie den Entitätsdatensatz, um den Stufenwert im Feld Stufe des Abschnitts „Cybersicherheitsrisikoprofil (CRI)“ anzuzeigen.
      Darüber hinaus können Sie basierend auf dem Stufenwert auch die Anzahl der Steuerungen kennen, die basierend auf den Kontrollzielen generiert werden, die aus dem Stufenprofil stammen.
    15. Um die dem Stufenwert zugeordneten Steuerungen anzuzeigen, wählen Sie die zugehörige Liste Nachfolgende Steuerungen aus.
      Nachdem die Stufe basierend auf dem Abstufungsfragebogen bestimmt wurde, können Sie jetzt die Bewertung des CRI-Profils durchführen.