Effectuer une évaluation de la hiérarchisation CRI pour déterminer la valeur de niveau de l’entité

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • Effectuez une évaluation de la hiérarchisation CRI pour une entité afin de déterminer sa couche. En fonction de la réponse de l’évaluateur au questionnaire CRI, l’état de conformité de chaque contrôle mappé à une question est déterminé et le score de conformité global de l’entité est calculé.

    Avant de commencer

    Rôle requis : sn_compliance_ws.corporate_compliance_analyst

    Pourquoi et quand exécuter cette tâche

    Le Cyber Risk Institute (CRI) se concentre sur la collaboration avec les clients du secteur financier et les régulateurs et rationalise les normes de gestion de la conformité dans les organisations financières. Pour atténuer les risques, CRI a créé un profil en tant que profil CRI basé sur le contenu NIST CSF v2.0.

    Le contenu est basé sur les fonctions NIST CSF v2.0 telles que identifier, protéger, détecter, répondre, récupérer et gouverner, appelées instructions de diagnostic. Ces énoncés correspondent à diverses citations provenant des normes de l’industrie et sont généralisés en objectifs de contrôle communs. Lorsque les institutions financières se conforment à ces déclarations de diagnostic, elles se conforment automatiquement à toutes les réglementations et normes appliquées par le secteur financier.

    ServiceNow système de base fournit le contenu de ce profil CRI aux clients et ils sont :
    L’évaluation de l’IRC se déroule en deux étapes :
    Évaluation de la hiérarchisation CRI
    Avec CRI, vous pouvez hiérarchiser votre organisation avec un ensemble normatif de questions que vous répondez pour évaluer votre entreprise. En fonction de vos réponses à l’évaluation, votre société se voit attribuer une valeur de niveau telle que Niveau 1, Niveau 2, Niveau 3 ou Niveau 4.
    Évaluation CRI
    Une fois l’évaluation de la hiérarchisation CRI terminée et en fonction de l’état des niveaux de votre société, vous devez effectuer la deuxième étape, à savoir l’évaluation CRI, qui détermine l’état de conformité des contrôles et le score de conformité global de votre entreprise.

    Procédure

    1. Accédez à la Tout > Politique et Conformité > Espace de travail Compliance.
    2. Sélectionnez l’icône Listes ( icône Listes.).
    3. Dans la liste des documents de référence de la bibliothèque de conformité du volet gauche, sélectionnez un document de référence basé sur le profil CRI v2.0.
    4. Sélectionnez la liste connexe Contenus des documents de référence pour afficher les contenus des documents de référence associés au document de référence, puis sélectionnez une citation.
      Chacune de ces citations est associée à un objectif de contrôle.
    5. Sur la page de vue d’ensemble de l’enregistrement de citation, sélectionnez la liste connexe Objectif de contrôle.
    6. Sélectionnez un enregistrement d’objectif de contrôle et cliquez sur la liste connexe Contenu des documents de référence pour afficher les contenus des documents de référence connexes provenant du profil CSF v2.0 et de FFIEC.
      Vous saurez comment les enregistrements sont mappés au contenu du Profil CSF v2.0. Vous disposez également du contenu pour FFIEC CAT et NIST CSF v2.0 dans la bibliothèque Compliance – Documents de référence. Une fois ces contenus disponibles, vous pouvez effectuer l’évaluation des niveaux pour votre entreprise ou filiale.
    7. Sur la page Listes, sélectionnez Toutes les entités , puis cliquez sur un enregistrement d’entité.
    8. Sélectionnez la liste connexe Détails de l’enregistrement d’entité et cliquez sur le champ Classe pour ouvrir l’enregistrement de société.
      Sélectionnez n’importe quelle classe d’entité, où l’option Est un CRI est activée pour le profil de risque de cybersécurité (CRI) de la société. Ce marqueur détermine si cette classe s’applique à l’évaluation CRI. Toute entité liée à cette catégorie est habilitée à faire l’évaluation de la hiérarchisation CRI.
    9. Fermez l’enregistrement de la société et sélectionnez la liste connexe Détails de l’entité.
    10. Saisissez les détails du niveau dans la liste connexe des profils des risques de cybersécurité (CRI).
      Pour plus d'informations, consultez
      • Le formulaire Entité dans Créer une entité.
      • Listes connexes de la section Entités.
    11. Sélectionnez l’icône Actions supplémentaires et cliquez sur l’option d’évaluation de la hiérarchisation CRI .
      Si vous êtes le propriétaire de l’entité, vous pouvez afficher cette option d’interface utilisateur et lancer l’évaluation de la hiérarchisation.

      Fenêtre contextuelle d’évaluation de la hiérarchisation CRI.

    12. Entrez un message dans le champ Message et sélectionnez le bouton Évaluation de niveau dans la fenêtre contextuelle d’évaluation de la hiérarchisation CRI.
      Une fois que vous avez initié l’évaluation de hiérarchisation, la liste connexe des évaluations de la hiérarchisation CRI s’affiche dans l’enregistrement d’entité.
    13. Sélectionnez la liste connexe Évaluations de la hiérarchisation CRI et cliquez sur le lien de l’instance d’évaluation.
      Vous pouvez également répondre à l’évaluation à partir de la liste Évaluations de niveau de la liste connexe Mes tâches en attente sur la page Tâches. Passez en revue les instructions d’évaluation des niveaux et répondez aux questions. En fonction de votre réponse à chaque question, le niveau de l’entité est déterminé.

      Pour répondre à une attestation, consultez Répondre aux attestations à partir de la page Tâches de Conformité de l'espace de travail et Répondre aux évaluations.

    14. Une fois que vous avez soumis votre évaluation, ouvrez l’enregistrement de l’entité pour afficher la valeur du niveau dans le champ Niveau de la section Profil de risque de cybersécurité (CRI).
      En outre, en fonction de la valeur de niveau, vous pouvez également connaître le nombre de contrôles qui sont générés en fonction des objectifs de contrôle provenant du profil de niveau.
    15. Pour afficher les contrôles mappés à la valeur de niveau, sélectionnez la liste connexe Contrôles en aval .
      Une fois le niveau déterminé en fonction de l’évaluation de hiérarchisation, vous pouvez maintenant effectuer l’évaluation CRI.