La vue d’ensemble structurelle de vous permet de Gestion de la politique et de la conformité comprendre comment les différents modules qui composent l’application s’intègrent Gestion de la politique et de la conformitéServiceNow et interagissent les uns avec les autres.

Document de référence

Gestion de la politique et de la conformité L’application commence par identifier les documents de référence. Ces documents sont des réglementations externes qui incluent des lois, des règlements et des normes auxquels votre organisation doit se conformer, qui dépendent du type d’activité de votre organisation et de son emplacement. Les exigences réglementaires sont généralement publiées par les organismes de réglementation qui fournissent des exigences définies par la loi ou un certain secteur. Ces exigences peuvent provenir de réglementations fédérales ou étatiques telles que la loi HIPAA (Health Insurance Portability and Accountability Act), de réglementations internationales telles que le Règlement général sur la protection des données (RGPD) ou de réglementations sectorielles telles que Payment Card Industry (PCI). Chacun de ces documents tels que HIPAA, GDPR et PCI est un document de référence.

Par exemple, les normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS) sont une norme de sécurité de l’information et un document de référence destiné à réduire la fraude par carte de paiement. Il fournit un ensemble de normes de sécurité pour toutes les organisations qui acceptent les paiements par carte de crédit. Les fournisseurs de services financiers doivent se conformer aux normes PCI pour prévenir la fraude et protéger les données des titulaires de cartes et s’assurer que leurs services commerciaux sont sûrs et légaux.

Citation

Une citation est un passage ou une expression d’un document de référence (par exemple, Unified Compliance Framework (UCF)) que votre entreprise doit spécifiquement respecter. Il s’agit d’une exigence individuelle dans un document de référence. Par exemple, le cryptage de la transmission des données des titulaires de cartes sur les réseaux publics est l’une des exigences de la norme PCI DSS pour empêcher le vol des informations financières personnelles des consommateurs par le biais de transactions par carte de paiement.

Les citations peuvent être créées manuellement ou importées via UCF.

Type d'entité

Le type d’entité est un regroupement des entités qui correspondent à un ensemble de conditions de filtre. Vous pouvez générer automatiquement des entités basées sur une requête conditionnée à n’importe quelle table de votre instance. Par exemple, considérons un client détenant un compte dans une banque comme type d’entité. Le client possède des attributs tels qu’un nom, un ID client, un type de compte, une source de revenu et autres, qui sont stockés dans une table d’informations client, qui peut être interrogée en fonction de n’importe lequel des attributs.

Entité

Une entité peut être composée de personnes, de départements, d’applications, d’objets, de serveurs, d’équipements réseau externes, de différents emplacements, de serveurs de données, d’un entrepôt de données - essentiellement tout ce que vous allez faire un test de contrôle et qui est de nature politique et de conformité. Par exemple, une personne qui détient un compte dans une banque avec un nom et des informations financières connexes.

Les entités sont automatiquement générées lorsqu’un type d’entité est créé.

Politique

Une fois les documents de référence identifiés, les entreprises élaborent des politiques qui précisent comment l’unité commerciale se conformerait aux documents de référence. À un niveau élevé, les déclarations de politique définissent ce que l’entreprise doit ou ne doit pas faire. Par exemple, une organisation peut définir une politique de protection des données qui définit les exigences en matière de protection des informations sensibles des clients. Les politiques sont des documents internes d’une organisation et peuvent prendre la forme d’une politique de pare-feu, d’une politique de mise en réseau, d’une politique d’utilisation acceptable, de la sécurité de l’information, de la sécurité des réseaux, de la protection de l’environnement, etc. Il s’agit d’une agrégation de différents contrôles et objectifs de contrôle qui traitent d’un aspect particulier de l’entreprise.

Confirmation de politique

Le module de confirmation de politique permet aux propriétaires de politiques ou aux équipes de conformité d’envoyer des politiques pour examen et confirmation par les employés afin de répondre aux exigences de conformité.

Exception de politique

Cela vous permet d’avoir une exception sur une politique. Pour une raison quelconque, si vous ne pouvez pas vous conformer à une politique ou à un contrôle, vous pouvez consigner une exception.

Le module Exception de politique documente toute situation dans laquelle l’organisation n’est pas en mesure de suivre le contrôle documenté. L’exception de politique a son propre cycle de vie et ses propres approbations.

Objectif du contrôle

Les objectifs de contrôle sont des objectifs spécifiques que les contrôles sont censés atteindre. Par exemple, pour garantir la politique de protection des données, l’entreprise peut construire et maintenir un réseau sécurisé. Pour une politique d’utilisation acceptable, il peut y avoir un objectif de contrôle d’avoir un proxy pour garder le contrôle sur les sites Web que les utilisateurs visitent. Pour une stratégie réseau, un objectif de contrôle peut être d’avoir des mots de passe forts.

C’est grâce aux objectifs de contrôle que les documents de référence et les politiques peuvent être liés ensemble pour alléger le fardeau de la conformité – un objectif de contrôle peut imposer plusieurs exigences internes et externes. Les citations peuvent également être associées à un ou plusieurs objectifs de contrôle. C’est également au niveau des objectifs de contrôle que les contrôles et les politiques sont liés les uns aux autres. Vous pouvez également examiner un objectif de contrôle et voir les mappages vers les sources de référence et les politiques qui montrent pourquoi vous effectuez les actions indiquées dans les objectifs.

Le module des objectifs de contrôle est le concentrateur principal de l’application Gestion de la politique et de la conformité . Alors que les documents de référence indiquent les objectifs réglementaires et que les politiques documentent ce que l’organisation doit ou ne doit pas faire, les objectifs de contrôle définissent exactement comment adhérer à ces politiques et documents de référence.

Contrôle

Un contrôle est une implémentation spécifique d’un objectif de contrôle. Par exemple, pour une politique de protection des données, l’entreprise peut s’assurer que les données sont sauvegardées régulièrement, ou mettre en place un système de sauvegarde automatisé.

Les contrôles sont générés automatiquement lorsque vous associez une politique à un type d’entité ou un type d’entité avec un objectif de contrôle où un contrôle est créé pour chaque entité répertoriée dans le type d’entité pour l’objectif de contrôle. Toutefois, les contrôles peuvent également être créés manuellement. Les contrôles sont testés pour voir s’ils réussissent à atteindre l’objectif de contrôle prévu.

Test de contrôle

Un contrôle est mis à l’épreuve pour s’assurer qu’il est efficace dans l’atteinte de l’objectif du contrôle. Par exemple, un test de pénétration assure la bonne mise en œuvre du chiffrement des données.

Indicateur

Un indicateur vous permet d’effectuer un test sur les contrôles, et les tests peuvent être programmés quotidiennement, hebdomadairement, mensuellement ou trimestriellement. Une tâche d’indicateur est créée et envoyée à l’utilisateur pour vérifier si le contrôle est conforme, et l’indicateur peut être marqué comme ayant réussi ou échoué. Si la tâche échoue, le contrôle n’est pas conforme et un problème est créé. Si l’indicateur réussit le test, le contrôle est conforme jusqu’au prochain test planifié.

Les modèles d’indicateur permettent la création de plusieurs indicateurs pour des contrôles similaires. Le modèle d’indicateur définit les paramètres des indicateurs et est mappé à la définition du risque ou à l’objectif de contrôle en fonction du type d’indicateur qu’il surveille.

Une tâche est créée à chaque exécution de l’indicateur pour collecter le résultat de l’indicateur. Une tâche d’indicateur est créée selon une planification pour assurer la surveillance selon une fréquence prédéfinie sur le formulaire d’indicateur.

Attestation

Une attestation évalue le contrôle pour surveiller en permanence sa conformité. Contrairement à un indicateur, l’attestation est principalement ad hoc et peut ne pas être planifiée.

Problème

Si un écart est identifié lors du test d’un contrôle, cet écart est qualifié de problème. Les problèmes peuvent inclure des observations opérationnelles issues d’audits, des violations de conformité réglementaire, des violations de sécurité ou d’autres résultats négatifs. Ou, lorsqu’un test de contrôle échoue et n’est pas conforme, un problème est créé. Les problèmes peuvent être partagés entre les Gestion de la politique et de la conformitéapplications , Gestion des risqueset Gestion de l'audit GRC . Vous pouvez mesurer l’efficacité du programme de gestion des risques de votre entreprise en fonction de la rapidité et de la minutie avec lesquelles il identifie les problèmes de risque et de conformité et y réagit.

Tâche de rattrapage

Une fois le problème confirmé, l’organisation identifie les étapes nécessaires pour le corriger. Pour atténuer un risque, vous pouvez créer une tâche de rattrapage pour suivre le travail de rattrapage. Si un triage a été effectué, le problème de triage est converti en problème réel ou en événement à risque. Vous pouvez également suivre le problème en tant que recommandation ou le fermer en tant qu’absence de problème.