Évaluation de contrôle basée sur le modèle d’attestation GRC
Vous pouvez sélectionner l’option d’attestation des contrôles à l’aide d’une méthode d’évaluation. Cette évaluation est une méthode alternative à l’évaluation classique qui est basée sur ServiceNow AI Platform la méthode d’évaluation.
Conditions préalables pour activer l’évaluation intelligente dans Gestion de la politique et de la conformité
- Applications incluses dans le périmètre de l’évaluation intelligente
- Le système de base fournit le modèle d’évaluation intelligente GRC aux utilisateurs lorsque le module d’extension GRC : Policy and Compliance Management (sn_compliance) est installé. Toutefois, les applications incluses dans le périmètre suivantes sont requises :
- Évaluation intelligente Core (sn_smart_asmt)
- Évaluation intelligente Outils de migration (sn_smart_asmt_mig). Pour plus d'informations, voir Migrer un type de mesure hérité vers un modèle d’évaluation
- Évaluation intelligente connectée (sn_smart_asmt_conn)
- Concepteur d’évaluation intelligente (sn_smart_asmt_desg). Pour plus d'informations, voir Utilisation du concepteur de modèle
- Activer la propriété système des évaluations intelligentes
- La Enable smart assessments on control propriété système doit être définie sur vrai si vous souhaitez évaluer les contrôles à l’aide de la méthode d’évaluation basée sur le modèle d’attestation GRC. Pour plus d’informations sur la propriété système, consultez Activer les évaluations intelligentes sur le contrôle.
- Migrer le modèle
- Créez un nouveau modèle dans Moteur d'évaluation intelligente. Pour plus d'informations, consultez Création d’un modèle d’évaluation à partir des types de mesure d’évaluation hérités.
Limitations du contrôle d’accès pour les rôles d’utilisateur d’évaluation intelligente
- sn_grc.business_user et sn_grc.business_user_lite
- En tant qu’utilisateurs connectés, ils peuvent répondre aux attestations dans Mes attestations sur la page Tâche de , Portail des Conformité de l'espace de travail risques et Centre des employés.
- sn_compliance_ws.corporate_compliance_manager et sn_compliance_ws.it_compliance_manager
- Peut afficher et modifier les modèles.
- sn_compliance.attestation_creator
- Peut créer une catégorie de modèle et une migration de modèle.
- sn_compliance.utilisateur
- Peut lire toutes les évaluations associées à la catégorie de contrôle.
Catégorie de modèles d’évaluation et tables de migration
- Catégories de modèles d’évaluation [sn_smart_asmt_template_category]
- Le champ Rôle de catégorie a la configuration du rôle de lecteur minimum requis pour lire le modèle de cette catégorie. Le rôle doit contenir sn_smart_asmt.template_reader.
- Migrations des modèles d’évaluation [sn_smart_asmt_mig_template_migration]
- Utilisé pour migrer le type de mesure source et la catégorie de modèle existants vers le nouveau format de modèle d’évaluation.
Impact de la méthode d’attestation sur l’objectif de contrôle et la génération de contrôle
Lorsque la Enable smart assessments on control propriété système est définie sur vrai et que la valeur Attestation est attribuée à l’enregistrement de l’objectif de contrôle, tous les contrôles générés pour cet enregistrement d’objectif de contrôle après l’attestation ont des valeurs par défaut par défaut par rapport à l’objectif de contrôle. La valeur du champ Méthode d’attestation est définie par défaut sur Attestation.
Remarque :
Les anciens objectifs de contrôle auront la méthode d’évaluation par défaut en tant qu’évaluation classique. Si vous souhaitez explorer la méthode d’évaluation intelligente, vous devez apporter les modifications nécessaires à l’objectif du contrôle ou au contrôle. Le contrôle ne peut être mis à jour que s’il n’a aucun objectif de contrôle. Après avoir créé un nouvel enregistrement, vous pouvez opter pour l’attestation classique ou l’attestation comme méthode d’attestation.
- Si l’objectif du contrôle est associé au contrôle, le contrôle généré hérite de la méthode d’attestation et des valeurs du champ d’attestation .
- Si un contrôle est créé à partir d’un objectif de contrôle, la méthode d’attestation et les champs Attestation sont pré-renseignés, si l’objectif de contrôle comporte des valeurs dans ces champs.Remarque :Les contrôles sont créés automatiquement si l’option Créer automatiquement des contrôles est activée pour l’objectif du contrôle.
Le champ Méthode d’attestation est en lecture seule. Toutefois, vous pouvez modifier le champ Attestation et sélectionner un autre modèle pour l’attestation. Tous les changements apportés à l’objectif du contrôle sont automatiquement mis à jour dans les contrôles associés.
- Une fois le contrôle enregistré et attesté, la liste connexe Attestations apparaît dans l’enregistrement de contrôle. Cette liste connexe affiche toutes les instances d’évaluation qui sont dans les états Ouvert et Terminé.
Si la méthode d’évaluation passe d’Attestation classique à Attestation dans l’enregistrement de l’objectif de contrôle, les changements sont reflétés dans tous les enregistrements de contrôle générés pour l’objectif de contrôle. Jusqu’à ce que le contrôle passe à l’état Attester, la méthode d’attestation et les valeurs du champ Attestation peuvent être mises à jour.
- Si le contrôle a déjà été généré à l’aide de la méthode d’attestation classique, la liste connexe Attestation classique contient les détails de toutes les attestations terminées.
- Si le contrôle passe à l’état Brouillon en sélectionnant le bouton Revenir au brouillon , toutes les évaluations qui étaient actives sont annulées. De même, si le contrôle est mis hors service, toutes les évaluations connexes sont également annulées.
- Si le contrôle est marqué comme exempté en raison d’une exception de politique, toutes les évaluations associées sont annulées. Toutefois, si l’option d’exemption est désactivée pour le contrôle et si le contrôle est à l’état Attester, les évaluations sont relancées. De plus, tous les champs de la section Attestation du contrôle passent en lecture seule.
- Si une politique est associée à l’objectif de contrôle et que la politique est publiée, tous les champs du formulaire d’objectif de contrôle passent en lecture seule.
- Lorsque le contrôle passe à l’état Atester, les évaluations sont déclenchées. Une notification par e-mail est envoyée au propriétaire du contrôle et aux personnes chargées de répondre sur l’attestation du contrôle, avec comme ligne d’objet le nom de la nouvelle attestation du numéro de contrôle et la date d’échéance à laquelle l’attestation doit être terminée.
- Si une attestation échoue pour l’un des contrôles générés à partir d’un objectif de contrôle, le contrôle devient non conforme et un problème est créé. Ou, si le contrôle a un problème qui existe déjà, alors le champ Source du problème est mis à jour. Si le contrôle passe à l’état Attestation et si l’attestation réussit, les problèmes existants sont fermés et le contrôle devient conforme.
- Vous pouvez répondre aux attestations à partir de n’importe lequel de ces portails :
- Pour afficher les changements apportés à l’objectif du contrôle et au formulaire de contrôle, consultez :
- Pour afficher les widgets d’attestation sur les pages de vue d’ensemble de contrôle et d’objectif de contrôle, reportez-vous à la section Modifications de l’interface utilisateur pour les évaluations basées sur l’attestation GRC.
- Pour afficher les attestations de contrôle en mode 360°, reportez-vous à la section Visualisation 360 ° des relations pour Gestion de la politique et de la conformité.