통제는 통제 목표의 특정 구현입니다. 폐기된 통제는 목록에 표시되지 않습니다. 통제를 정의하기 전에 조직에서 중요한 통제를 합리화하고 통합하고 정의하는 시간을 가지십시오.
통제 합리화
모든 컨트롤을 대량으로 업로드하면 컨트롤 세트를 구체화하고 간소화할 수 있는 기회를 놓치게 됩니다. 비즈니스가 변화하고 IT 데이터, 프로세스 및 기술이 향상됨에 따라 애플리케이션을 구현할 때 오래된 제어와 절차를 대체하십시오 GRC . 다음 사항을 고려하세요.
이 통제는 내 비즈니스 목표에 어떤 영향을 미칩니까?
이 통제가 실제로 위험을 방지하거나 탐지합니까?
비즈니스를 더 잘 보호하기 위해 적용할 수 있는 다른 제어 기능이 있습니까?
프로세스 오버헤드를 줄이고 IT 성과를 개선하는 동시에 위험을 완화할 수 있는 통제 수단이 있습니까?
복잡한 컨트롤을 더 간단하고 효과적인 컨트롤로 바꿀 수 있습니까?
주:
통제를 수동으로 정의하거나 통합 규정 준수 프레임워크(UCF)에서 임포트하는 경우 엔터티가 통제와 연결됩니다. 컨트롤 양식의 필수 필드입니다. 그러나 UCF가 아닌 다른 소스에서 컨트롤을 가져오는 경우 연결된 엔터티가 없는 컨트롤이 발생할 수 있습니다. 컨트롤 폼으로 돌아가서 컨트롤에 엔터티를 추가하는 것이 중요합니다. 엔터티가 누락되면 계산에서 신뢰할 수 없는 결과가 발생할 수 있습니다. 또한 사용하지 않도록 설정된 엔터티가 있는 통제가 발생하면 해당 통제를 폐기해야 합니다.
제어 통합
통제를 통합할 수 있는 기회를 찾으십시오. 프레임워크의 여러 규제 기관(예: SOX, GLBA 및 AML)에서 공통적이고 반복적인 제어를 찾습니다. 통제를 교차 매핑하고 중복 통제를 제거하여 각 규정에 대해 단일 통제를 여러 번 운영하지 마십시오. 이 프로세스는 통합된 단일 통제 세트 = 통제 프레임워크를 설정합니다. 통제의 교차 매핑을 수행하고 유지하는 것은 감사에 매우 중요합니다.그림 1. 업계 규정 및 요구사항이 중복됨
통제 및 비즈니스 규칙 정의
사용자가 미리 정의한 비즈니스 규칙은 나중에 구성 설정을 설정합니다 GRC . 다음을 준비하십시오.
통제 및 통제 소유자 식별
제어 테스트 및 예상 결과 정의
테스트 및 제어 빈도 설정
위험 식별: 영향 및 가능성
증명, 평가, 질문서 및 필요한 증거 준비
가능성 있는 사용 사례 작성(시스템의 컨텐츠 GRC 와 상호작용하거나 확인해야 하는 사람 및 목적)
