통제 관리
통제는 통제 목표의 특정 구현입니다. 폐기된 통제는 목록에 나타나지 않습니다. 통제를 정의하기 전에 조직에서 중요한 통제를 합리화, 통합 및 정의하는 데 시간을 할애하십시오.
통제 합리화
모든 통제를 대량으로 업로드하면 통제 세트를 구체화하고 간소화할 기회를 놓치게 됩니다. 비즈니스가 변화하고 IT 데이터, 프로세스 및 기술이 향상됨에 따라 애플리케이션을 구현할 때 오래된 통제 및 절차를 대체하십시오 GRC . 다음 사항을 고려하십시오.
- 이 통제는 비즈니스 목표에 어떤 영향을 줍니까?
- 이 통제가 실제로 위험을 방지하거나 탐지합니까?
- 비즈니스를 더 잘 보호하기 위해 배치할 수 있는 다른 통제가 있습니까?
- 프로세스 오버헤드를 줄이고 IT 성능을 개선하는 동시에 위험을 완화할 수 있는 통제가 있습니까?
- 복잡한 통제를 더 간단하고 효과적인 통제로 대체할 수 있습니까?
주:
수동으로 통제를 정의하거나 통합 준수 프레임워크(UCF)에서 통제를 임포트할 때 엔터티가 통제와 연결됩니다. 컨트롤 양식의 필수 필드입니다. 그러나 UCF 이외의 소스에서 통제를 임포트하는 경우 연결된 엔터티가 없는 통제가 발생할 수 있습니다. 통제 양식으로 돌아가서 통제에 엔터티를 추가하는 것이 중요합니다. 엔터티가 없으면 계산 결과에 신뢰할 수 없는 결과가 발생할 수 있습니다. 또한 사용하지 않도록 설정된 엔터티가 있는 통제가 발견되면 통제를 폐기해야 합니다.
통제 통합
통제를 통합할 기회를 찾습니다. 프레임워크의 여러 규제 기관(예: SOX, GLBA, AML)에서 공통적이고 반복적인 통제를 찾습니다. 통제를 교차 매핑하고 중복 통제를 제거하여 각 규정에 대해 단일 통제를 여러 번 작동하지 않도록 합니다. 이 프로세스는 통합된 단일 통제 세트 = 통제 프레임워크를 설정하며, 통제의 교차 매핑을 수행하고 유지하는 것은 감사에 매우 중요합니다.
통제 및 비즈니스 규칙 정의
처음부터 정의한 비즈니스 규칙은 나중에 구성 설정을 설정합니다 GRC . 다음 사항을 준비해야 합니다.
- 통제 및 통제 소유자 식별
- 제어 테스트 및 예상 결과 정의
- 테스트 및 통제 빈도 설정
- 위험 식별: 영향 및 가능성
- 증명, 평가, 질문서 및 필수 증거 준비
- 가능성 있는 사용 사례(시스템과 GRC 상호작용하거나 시스템의 콘텐츠를 보아야 하는 사람 및 어떤 목적으로 필요한지) 작성
- 권한이 부여된 소스를 정책, 절차, 통제 및 위험에 매핑
엔터티 기반 액세스(EBA)
엔터티 기반 액세스 기능은 엔터티와 연결된 개체에 대한 데이터 액세스를 보다 세부적으로 관리할 수 있는 프레임워크를 제공합니다. 관리자는 사용자 또는 사용자 그룹을 추가하거나 엔터티 기반 액세스 구성에 엔터티 사용자 필드를 사용하여 엔터티의 관련 기록에 대한 액세스 권한을 부여할 수 있습니다. 자세한 내용은 엔터티 기반 액세스 문서를 참조하십시오.
사용자가 이러한 구성을 기반으로 자격을 갖추고 필요한 최소 역할을 보유하면 다음 테이블에 액세스할 수 있습니다.
- 통제
- 증명
- 통제에 대한 정책 예외
EBA(엔터티 기반 액세스) 규칙
엔터티 기반 액세스 구성 속성 페이지에서 엔터티 기반 기록 액세스 규칙을 활성화하면 구성된 엔터티와 연결된 새로 만든 통제, 통제 증명, 표시기 및 표시기 작업은 해당 엔터티에서 엔터티 기반 액세스(EBA) 값을 자동으로 상속합니다. 이전에는 새 개체가 생성될 때마다 사용자가 대량 액세스 업데이트를 실행하여 EBA 제한을 적용해야 했습니다.
자세한 내용은 새 기록을 보호하기 위한 엔터티 기반 기록 접근 규칙을 참조하세요.