Nachdem ein Problem identifiziert und von Mitarbeitern oder geschäftlichen Anwendern über Serviceportalübermittelt wurde, beginnt der Prozess für die Problemselektierung. Das tatsächliche Problem wird identifiziert und dem entsprechenden Besitzer zur Priorisierung und Lösung zugewiesen.
Vorbereitungen
Erforderliche Rolle:
sn_compliance.manager
sn_compliance.user
sn_grc_advanced.issue_triage_manager
sn_grc_advanced.issue_triage_user
Warum und wann dieser Vorgang ausgeführt wird
Die zugewiesenen Selektierungsteams ermitteln, ob es sich bei den selbst identifizierten Problemen um tatsächlich gemeldete Probleme, Risikoereignisse oder Beobachtungen handelt, die nachverfolgt und möglicherweise als Rauschen geschlossen werden sollen.
Hinweis:
Im ersten Release werden nur selbstidentifizierte Probleme vom Selektierungsprozess behandelt. In einem späteren Release werden auch vom System generierte Probleme selektiert, z. B. solche, die durch Indikator- oder Nachweisfehler verursacht werden.
Der End-to-End-Flow des Lebenszyklus der Problemselektierung wird hier veranschaulicht und beschrieben.Abbildung : 1. Lebenszyklus der Problemselektierung
Phase
Beschreibung
Selektierungsproblem erstellen und zuweisen
Ein Mitarbeiter identifiziert ein Problem im Zusammenhang mit einer Entität, Kontrolle, Richtlinie, regulatorischem Dokument, Prozess oder Risiko und übermittelt eine Selektierungsanforderung im ServiceNowServiceportal.
Basierend auf dem Typ des übermittelten Problems und einer Problemzuweisungsregel wird das Problem einem Selektierungsteam und einem Selektierungsbesitzer zugewiesen.
Analysieren Sie das Selektierungsproblem
Das Selektierungsteam entscheidet, ob das Problem als tatsächliches Problem oder Risikoereignis analysiert oder als Empfehlung für eine Richtlinie oder zur Optimierung eines Prozesses nachverfolgt werden soll.
Während der Analyse kann das Selektierungsteam weitere Informationen vom Problemersteller anfordern. Das Team kann das Problem optional auch mit einem Selektierungsergebnis an den Compliance-Manager, Risikomanager oder Selektierungsmanager senden.
Mögliche Ergebnisse sind:
Bestätigt als neues Problem
Bestätigt als vorhandenes Problem
Bestätigt als Risikoereignis
Nachverfolgen als Empfehlung
Als kein Problem/keine Aktion erforderlich als schließen
Überprüfen Sie das Selektierungsproblem
Der Status Überprüfen ist optional. Das -Team kann das Problem und das Ergebnis zur Überprüfung an den Compliance-Manager, Risikomanager oder Selektierungsmanager senden. Sie können auch weitere Informationen vom Besitzer der Selektierung anfordern.
Der Compliance-Manager, Risikomanager oder Selektierungsmanager entscheidet, ob das Problem als Problem oder Risikoereignis bestätigt, als Empfehlung nachverfolgt oder als Nicht-Problem geschlossen werden soll.
Selektierungsproblem schließen
Wenn festgestellt wurde, dass das Problem ein tatsächliches Problem oder Risikoereignis ist, werden diese Datensätze erstellt, oder das Selektierungsproblem wird einem vorhandenen Problem hinzugefügt.
Wenn der Selektierungsprozess abgeschlossen ist, wird das Selektierungsproblem automatisch geschlossen. Das Problem kann auch manuell vom Manager und vom Selektierungsteam geschlossen werden.
Die folgenden Anwenderrollen sind am Problemselektierungsprozess beteiligt.
Tabelle : 1. Problemselektierung
Persona/Rolle
Beschreibung
Geschäftsanwender/Mitarbeiter
Fähigkeit, Problem zu melden.
Compliance-Benutzer/-Manager
Risikobenutzer/-manager
Selektierungsanwender/-manager
Fähigkeit, Probleme zu selektieren und zu überprüfen
Problem-Manager
Fähigkeit, das meldepflichtige Problem zu verwalten und zu überprüfen
Problemverantwortlicher
Fähigkeit, das ihm zugewiesene meldepflichtige Problem zu lösen
Hinweis:
Die Rollen „Selektierungsbenutzer/-manager“ und „Problemmanager“ wurden in GRC: Richtlinien- und Compliance-Management Version 11.1.0 eingeführt.
Prozedur
Navigieren zu Alle > Richtlinien und Compliance > Problemselektierung > Meine Selektierungsprobleme oder Risiko > Problemselektierung > Meine Selektierungsprobleme.
In der Liste werden Selektierungsprobleme angezeigt, die zuvor erstellt und Ihnen zugewiesen wurden.Abbildung : 2. Problemselektierungen
Klicken Sie auf die Nummer des Problems, das Sie selektieren möchten.
Das Klassifizierungsfeld wird basierend auf dem ausgewählten Problemtyp automatisch vorab ausgefüllt. In ähnlicher Weise wird eine Zuweisungsregel namens sn_grc_advanced_issue_triage ausgeführt, und füllt die Selektierungsgruppevorab aus. Diese Regel verwendet die Quelle und die Klassifizierung, um die Gruppe zu bestimmen, der die Selektierung zugewiesen ist. Zuweisungsregeln verarbeiten auch Problemselektierungen in Risikomanagement und Selektierungen, bei denen die Klassifizierung auf Sonstige festgelegt ist (d. h. anfänglich unbekannt). Für den zweiten Anwendungsfall müssen Sie die Selektierungsgruppe manuell auf Risiko oder Compliancefestlegen.
Wenn Sie bereit sind, mit der Selektierung dieses Problems zu beginnen, wählen Sie einen Besitzer für die Selektierung aus, und klicken Sie auf Analysieren.
Der zugewiesene Besitzer der Selektierung kann das Problem jetzt öffnen und mit der Analyse des Problems beginnen.
Während der Analyse kann der Besitzer der Selektierung mehrere Aufgaben ausführen.
Der Besitzer kann beispielsweise entscheiden, dass das Problem falsch klassifiziert ist, und den Problemtypändern. Diese Aktion kann dazu führen, dass sich die Selektierungsgruppe und der Selektierungsbesitzer ändern. In diesem Beispiel wird die Zuweisungsregel im Hintergrund ausgeführt, und das Problem wird aus der Warteschlange des aktuellen Besitzers entfernt.
Der Besitzer der Selektierung kann auch die folgenden Aktionen ausführen:
Klicken Sie auf Informationen anfordern, um zusätzliche Informationen von der das Problem einreichenden Person anzufordern.
Klicken Sie auf Überprüfung anfordern, um eine Überprüfung von dem im Feld Überprüfer angegebenen Benutzer anzufordern. Dieser Benutzer kann das Problem öffnen und überprüfen, indem er zu navigiert Richtlinien und Compliance > Problemselektierung > Meine ausstehenden Überprüfungen.
Wählen Sie die zugehörige Liste Details aus, um das Problem zusätzlich zu ergänzen.
Nachdem bestimmt wurde, welche Aktion (falls zutreffend) für das Problem ausgeführt werden soll, kann der Besitzer der Selektierung ein Ergebnis der Analyse aus der zugehörigen Liste Ergebnisse auswählen.
Abbildung : 4. Ergebnisse
Hinweis:
Die im Feld Ergebnis verfügbaren Optionen hängen vom für dieses Problem identifizierten Problemtyp ab. Wenn Sie beispielsweise als ProblemtypFehler bei der Entwurfseffektivität der Steuerungauswählen, können die folgenden Ergebnisse ausgewählt werden.
Abbildung : 5. Zusätzliche Ergebnisse
Wenn Sie ein Ergebnis auswählen, z. B. Bestätigt als neues Compliance-Problem, das mehr Aktion als nur Beobachtung erfordert, werden zusätzliche Analysefelder angezeigt, wie im folgenden Bildschirm gezeigt.
Abbildung : 6. Zusätzliche Felder, die nach Auswahl von Ergebnis angezeigt werden
Wenn das Ergebnis Bestätigt als vorhandenes Compliance-Problemlautet, wird das Feld Vorhandenes Problem angezeigt, in dem Sie das vorhandene Problem angeben müssen, auf das Sie sich beziehen.
Wenn die Problemselektierung abgeschlossen ist, kann der Besitzer der Selektierung auf Selektierung abschließenklicken.
Hinweis:
Wenn das Problem zur Überprüfung vorliegt, kann der Überprüfer auch auf Selektierung abschließen klicken, um die Selektierung abzuschließen und ein tatsächliches Problem zu erstellen.
Die Problemselektierung wechselt in den Status Geschlossen, und oben im Bildschirm wird ein Link zum Problem angezeigt.Abbildung : 7. Selektierung geschlossen und neues Problem erstellt
Das Problem kann mit den üblichen Problemverwaltungsverfahren analysiert werden.
Eine wichtige Änderung am Formular „Problem“ ist die Hinzufügung einer zugehörigen Liste für Problemselektierungen. Durch das Öffnen des Selektierungsdatensatzes erhält der Analyst die Detailinformationen zu der Selektierung, die zur Erstellung dieses Problems geführt hat.
