Évaluation de contrôle basée sur le modèle d’attestation GRC
Vous pouvez sélectionner l’option d’attestation des contrôles à l’aide d’une méthode d’évaluation. Cette évaluation est une méthode alternative à l’évaluation classique basée sur Now Platform la méthode d’évaluation.
Conditions préalables pour activer l’évaluation intelligente dans Gestion de la politique et de la conformité
- Applications incluses dans le périmètre de l’évaluation intelligente
- Le système de base modèle d’évaluation intelligente GRC est fourni aux utilisateurs lorsque le module d’extension GRC : Policy and Compliance Management (sn_compliance) est installé. Toutefois, les applications incluses dans le périmètre suivantes sont requises :
- Évaluation intelligente Core (sn_smart_asmt)
- Évaluation intelligente Outils de migration (sn_smart_asmt_mig). Pour plus d'informations, voir Migrer un type de mesure hérité vers un modèle d’évaluation
- Évaluation intelligente connectée (sn_smart_asmt_conn)
- Concepteur d’évaluation intelligente (sn_smart_asmt_desg). Pour plus d'informations, voir Utilisation du concepteur de modèle
- Activer la propriété système des évaluations intelligentes
- La Enable smart assessments on control propriété système doit être définie sur vrai si vous souhaitez évaluer les contrôles à l’aide de la méthode d’évaluation basée sur le modèle d’attestation GRC. Pour plus d’informations sur la propriété système, voir Activer les évaluations intelligentes sur le contrôle.
- Migrer le modèle
- Créez un nouveau modèle dans Moteur d'évaluation intelligent. Pour plus d'informations, consultez Création d’un modèle d’évaluation à partir de types de mesures d’évaluation héritées.
Limitations du contrôle d’accès pour les rôles d’utilisateur d’évaluation intelligente
- sn_grc.business_user et sn_grc.business_user_lite
- En tant qu’utilisateurs connectés, ils peuvent répondre aux attestations dans Mes attestations sur la page Tâche de , Portail des Conformité de l'espace de travailrisques et Centre des employés.
- sn_compliance_ws.corporate_compliance_manager et sn_compliance_ws.it_compliance_manager
- Peut afficher et modifier les modèles.
- sn_compliance.attestation_creator
- Peut créer une catégorie de modèle et une migration de modèle.
- sn_compliance.user
- Peut lire toutes les évaluations associées à la catégorie de contrôle.
Catégorie de modèles d’évaluation et tables de migration
- Catégories de modèles d’évaluation [sn_smart_asmt_template_category]
- Le champ Rôle de catégorie a la configuration du rôle de lecteur minimum requis pour lire le modèle de cette catégorie. Le rôle doit contenir le rôle sn_smart_asmt.template_reader.
- Migrations des modèles d’évaluation [sn_smart_asmt_mig_template_migration]
- Utilisé pour migrer le type de mesure source et la catégorie de modèle existants vers le nouveau format de modèle d’évaluation.
Impact de la méthode d’attestation sur l’objectif de contrôle et la génération de contrôle
Lorsque la Enable smart assessments on control propriété système est définie sur vrai et que l’enregistrement de l’objectif de contrôle a la valeur Attestation dans le champ Méthode d’attestation , tous les contrôles qui sont générés pour cet enregistrement d’objectif de contrôle après que l’attestation a des valeurs par défaut de l’objectif de contrôle. La valeur du champ Méthode d’attestation est définie par défaut sur Attestation.
Remarque :
Les anciens objectifs de contrôle auront une méthode d’évaluation par défaut en tant qu’évaluation classique. Si vous souhaitez explorer la méthode d’évaluation intelligente, vous devez apporter les modifications nécessaires à l’objectif du contrôle ou au contrôle. Le contrôle ne peut être mis à jour que s’il n’a pas d’objectif de contrôle. Après avoir créé un nouvel enregistrement, vous pouvez choisir l’attestation classique ou l’attestation comme méthode d’attestation.
- Si l’objectif du contrôle est associé au contrôle, le contrôle généré hérite de la méthode d’attestation et des valeurs du champ Attestation .
- Si un contrôle est créé à partir d’un objectif de contrôle, les champs Méthode d’attestation et Attestation sont pré-renseignés, si l’objectif du contrôle comporte des valeurs dans ces champs.Remarque :Les contrôles sont automatiquement créés si l’option Créer automatiquement des contrôles est activée pour l’objectif du contrôle.
Le champ Méthode d’attestation est en lecture seule. Toutefois, vous pouvez modifier le champ Attestation et sélectionner un autre modèle pour l’attestation. Tous les changements apportés à l’objectif du contrôle sont automatiquement mis à jour dans les contrôles associés.
- Une fois le contrôle enregistré et attesté, la liste connexe Attestations s’affiche dans l’enregistrement de contrôle. Cette liste connexe affiche toutes les instances d’évaluation qui sont à l’état Ouvert et Terminé.
Si la méthode d’évaluation passe d’Attestation classique à Attestation dans l’enregistrement de l’objectif de contrôle, les modifications sont alors reflétées dans tous les enregistrements de contrôle générés pour l’objectif de contrôle. Jusqu’à ce que le contrôle passe à l’état Attest, les valeurs des champs Méthode d’attestation et Attestation peuvent être mises à jour.
- Si le contrôle a précédemment été généré à l’aide de la méthode d’attestation classique, la liste connexe Attestation classique contient les détails de toutes les attestations terminées.
- Si le contrôle passe à l’état Brouillon en sélectionnant le bouton Revenir au brouillon , toutes les évaluations qui étaient actives sont annulées. De même, si le contrôle est mis hors service, toutes les évaluations connexes sont également annulées.
- Si le contrôle est marqué comme Exempté en raison d’une exception de politique, toutes les évaluations associées sont annulées. Toutefois, si l’option Exempter est désactivée pour le contrôle et si le contrôle est à l’état Attester, les évaluations sont redéclenchées. De plus, tous les champs de la section Attestation du contrôle sont en lecture seule.
- Si une politique est associée à l’objectif du contrôle et que la politique est publiée, tous les champs du formulaire de l’objectif du contrôle sont en lecture seule.
- Lorsque le contrôle passe à l’état Attester, les évaluations sont déclenchées. Une notification par e-mail est envoyée au propriétaire du contrôle et aux personnes chargées de répondre de l’attestation du contrôle, avec la ligne d’objet renvoyant au nouveau nom d’attestation du numéro de contrôle et à la date d’échéance à laquelle l’attestation doit être terminée.
- Si une attestation échoue pour l’un des contrôles générés à partir d’un objectif de contrôle, le contrôle devient alors non conforme et un problème est créé. Ou, si le contrôle a un problème qui existe déjà, le champ Source du problème est mis à jour. Si le contrôle passe à l’état Attester et si l’attestation réussit, les problèmes existants sont fermés et le contrôle devient conforme.
- Vous pouvez répondre aux attestations à partir de l’un de ces portails :
- Pour afficher les changements apportés à l’objectif de contrôle et au formulaire de contrôle, voir :
- Pour afficher les widgets d’attestation dans les pages de contrôle et de vue d’ensemble des objectifs de contrôle, reportez-vous à la section Modifications de l’interface utilisateur pour les évaluations basées sur l’attestation GRC.
- Pour afficher les attestations de contrôle en mode 360°, reportez-vous à la section 360° Relationship Visualization pour Gestion de la politique et de la conformité.