La vue d’ensemble structurelle de vous permet de Gestion de la politique et de la conformité comprendre comment les différents modules qui composent l’application s’intègrent Gestion de la politique et de la conformitéServiceNow et interagissent les uns avec les autres.

Document de référence

Gestion de la politique et de la conformité La demande commence par identifier les documents de référence. Ces documents sont des réglementations externes qui comprennent des lois, des réglementations et des normes auxquelles votre organisation doit se conformer, qui dépendent du type d’activité de votre organisation et de son emplacement. Les exigences réglementaires sont généralement publiées par les organismes de réglementation qui fournissent des exigences définies par la loi ou un certain secteur. Ces exigences peuvent provenir de réglementations fédérales ou étatiques telles que la loi HIPAA (Health Insurance Portability and Accountability Act), de réglementations internationales telles que le Règlement général sur la protection des données (RGPD) ou de réglementations sectorielles telles que Payment Card Industry (PCI). Chacun de ces documents tels que HIPAA, GDPR et PCI est un document de référence.

Par exemple, les normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS) sont une norme de sécurité de l’information et un document de référence destiné à réduire la fraude par carte de paiement. Il fournit un ensemble de normes de sécurité pour toutes les organisations qui acceptent les paiements par carte de crédit. Les fournisseurs de services financiers doivent se conformer aux normes PCI pour prévenir la fraude, protéger les données des titulaires de cartes et s’assurer que leurs services commerciaux sont sûrs et légaux.

Contenu source d'autorité

Une citation est un passage ou une expression d’un document de référence (par exemple, Unified Compliance Framework (UCF)) auquel votre entreprise doit se conformer spécifiquement. Il s’agit d’une exigence individuelle au sein d’un document de référence. Par exemple, le cryptage de la transmission des données des titulaires de cartes sur les réseaux publics est l’une des exigences de la norme PCI DSS pour empêcher le vol des informations financières personnelles des consommateurs par le biais de transactions par carte de paiement.

Les citations peuvent être créées manuellement ou importées via UCF.

Type d'entité

Le type d’entité est un regroupement des entités qui correspondent à un ensemble de conditions de filtre. Vous pouvez générer automatiquement des entités basées sur une requête conditionnelle dans n’importe quelle table de votre instance. Par exemple, considérez un client détenant un compte dans une banque comme un type d’entité. Le client possède des attributs tels qu’un nom, un ID client, un type de compte, une source de revenu et autres, qui sont stockés dans une table d’informations client, qui peut être interrogée en fonction de n’importe lequel des attributs.

Entité

Une entité peut être composée de personnes, de départements, d’applications, d’objets, de serveurs, d’équipements réseau externes, de différents emplacements, de serveurs de données, d’entrepôts de données - essentiellement tout ce que vous allez faire un test de contrôle et qui est de nature politique et conforme. Par exemple, une personne détenant un compte dans une banque avec un nom et des informations financières connexes.

Les entités sont automatiquement générées lorsqu’un type d’entité est créé.

Politique

Une fois les documents de référence identifiés, les entreprises élaborent des politiques qui spécifient comment l’unité commerciale se conformerait aux documents de référence. À un niveau élevé, les déclarations de politique définissent ce que l’entreprise doit ou ne doit pas faire. Par exemple, une organisation peut définir une politique de protection des données qui définit les exigences en matière de protection des informations sensibles des clients. Les politiques sont des documents internes d’une organisation et peuvent prendre la forme d’une politique de pare-feu, d’une politique de mise en réseau, d’une politique d’utilisation acceptable, d’une sécurité de l’information, de la sécurité des réseaux, d’une protection de l’environnement, etc. Il s’agit d’une agrégation de différents contrôles et objectifs de contrôle qui traitent d’un aspect particulier de l’entreprise.

Confirmation de politique

Le module de confirmation de politique permet aux propriétaires de politiques ou aux équipes de conformité d’envoyer des politiques pour examen et confirmation par les employés afin de répondre aux exigences de conformité.

Exception de politique

Cela vous permet d’avoir une exception sur une politique. Pour une raison quelconque, si vous ne pouvez pas vous conformer à une politique ou à un contrôle, vous pouvez consigner une exception.

Le module Exception de politique documente toute situation dans laquelle l’organisation n’est pas en mesure de suivre le contrôle documenté. L’exception de politique a ses propres cycles de vie et approbations.

Objectif du contrôle

Les objectifs de contrôle sont des objectifs spécifiques que les contrôles sont censés atteindre. Par exemple, pour garantir la politique de protection des données, l’entreprise peut construire et maintenir un réseau sécurisé. Pour une politique d’utilisation acceptable, il peut y avoir un objectif de contrôle d’avoir un proxy pour garder le contrôle sur les sites Web que les utilisateurs visitent. Pour une stratégie réseau, il peut y avoir un objectif de contrôle d’avoir des mots de passe forts.

C’est grâce aux objectifs de contrôle que les documents de référence et les politiques peuvent être liés ensemble pour alléger le fardeau de la conformité – un objectif de contrôle peut appliquer plusieurs exigences internes et externes. Les citations peuvent également être associées à un ou plusieurs objectifs de contrôle. C’est également au niveau de l’objectif de contrôle que les contrôles et les politiques sont liés les uns aux autres. Vous pouvez également examiner un objectif de contrôle et voir les mappages vers les documents de référence et les politiques qui montrent pourquoi vous effectuez les actions indiquées dans les objectifs.

Le module objectifs de contrôle est le concentrateur principal de l’application Gestion de la politique et de la conformité . Alors que les documents de référence indiquent les objectifs réglementaires et que les politiques documentent ce que l’organisation doit ou ne doit pas faire, les objectifs de contrôle définissent exactement comment adhérer à ces politiques et documents de référence.

Contrôle

Un contrôle est une implémentation spécifique d’un objectif de contrôle. Par exemple, pour une politique de protection des données, l’entreprise peut s’assurer que les données sont sauvegardées régulièrement, ou mettre en place un système de sauvegarde automatisé.

Les contrôles sont générés automatiquement lorsque vous associez une politique à un type d’entité ou un type d’entité à un objectif de contrôle où un contrôle est créé pour chaque entité répertoriée dans le type d’entité pour l’objectif de contrôle. Toutefois, les contrôles peuvent également être créés manuellement. Les contrôles sont testés pour voir s’ils réussissent à atteindre l’objectif de contrôle prévu.

Test de contrôle

Un contrôle est mis à l’essai pour s’assurer qu’il est efficace dans l’atteinte de l’objectif du contrôle. Par exemple, un test de pénétration garantit la bonne mise en œuvre du chiffrement des données.

Indicateur

Un indicateur vous permet d’effectuer un test sur les contrôles, et les tests peuvent être programmés quotidiennement, hebdomadairement, mensuellement ou trimestriellement. Une tâche d’indicateur est créée et envoyée à l’utilisateur pour vérifier si le contrôle est conforme, et l’indicateur peut être marqué comme réussi ou échoué. Si la tâche échoue, le contrôle n’est pas conforme et un problème est créé. Si l’indicateur réussit le test, le contrôle est conforme jusqu’au prochain test prévu.

Les modèles d’indicateur permettent la création de plusieurs indicateurs pour des contrôles similaires. Le modèle d’indicateur définit les paramètres des indicateurs et est mappé à la définition du risque ou à l’objectif du contrôle en fonction du type d’indicateur qu’il surveille.

Une tâche est créée chaque fois que l’indicateur est exécuté pour collecter le résultat de l’indicateur. Une tâche d’indicateur est créée en fonction d’une planification pour assurer la surveillance selon une fréquence prédéfinie sur le formulaire d’indicateur.

Attestation

Une attestation évalue le contrôle afin de surveiller en permanence sa conformité. Contrairement à un indicateur, l’attestation est principalement ad hoc et peut ne pas être planifiée.

Problème

Si une lacune est identifiée lors du test d’un contrôle, cette lacune est qualifiée de problème. Les problèmes peuvent inclure des observations opérationnelles provenant d’audits, de violations de la conformité réglementaire, de violations de sécurité ou d’autres résultats négatifs. Ou, lorsqu’un test de contrôle échoue et n’est pas conforme, un problème est créé. Les problèmes peuvent être partagés entre les Gestion de la politique et de la conformité applications , Gestion des risques et Gestion de l'audit GRC . Vous pouvez mesurer l’efficacité du programme de gestion des risques de votre entreprise en fonction de la rapidité et de la rigueur avec lesquelles il identifie les problèmes de risque et de conformité et y réagit.

Tâche de rattrapage

Une fois le problème confirmé, l’organisation identifie les étapes nécessaires pour le corriger. Pour atténuer un risque, vous pouvez créer une tâche de rattrapage pour suivre le travail de rattrapage. Si un triage a été effectué, le problème de triage est converti en problème réel ou en événement à risque. Vous pouvez également suivre le problème en tant que recommandation ou le fermer en tant que non-problème.