CRI 계층화 평가를 수행하여 엔터티의 계층 값을 결정합니다.

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 3분

    • 엔터티에 대한 CRI 계층화 평가를 수행하여 계층을 결정합니다. 평가자의 CRI 질문서에 대한 응답에 따라 질문에 매핑된 각 통제의 규정 준수 상태가 결정되고 엔터티의 전체 규정 준수 점수가 계산됩니다.

    시작하기 전에

    필요한 역할: sn_compliance_ws.corporate_compliance_analyst

    이 태스크 정보

    Cyber Risk Institute(CRI)는 금융 부문 고객 및 규제 기관과의 협력에 중점을 두고 금융 조직의 규정 준수 관리 표준을 간소화합니다. 위험을 완화하기 위해 CRI는 NIST CSF v2.0 콘텐츠를 기반으로 하는 프로필을 CRI 프로필로 만들었습니다.

    이 내용은 진단 문으로 호출되는 식별, 보호, 감지, 응답, 복구 및 제어와 같은 NIST CSF v2.0 기능을 기반으로 합니다. 이러한 진술은 산업 표준에서 가져온 다양한 인용에 매핑되고 공통 통제 목표로 일반화됩니다. 금융 기관이 이러한 진단 설명을 준수하면 금융 부문에서 시행하는 모든 규정 및 표준을 자동으로 준수합니다.

    ServiceNow 기본 시스템 이 CRI 프로필 콘텐츠를 고객에게 제공하며 고객은 다음과 같습니다.
    • CRI 프로파일에 대한 권한 문서.
    • FFIEC CAT는 CRI Accelerator의 일부입니다. 자세한 내용은 사이버 위험 연구소 가속기 문서를 참조하십시오.
    • NIST CSF v2.0 콘텐츠는 CSF Accelerator의 일부입니다. 자세한 내용은 NIST CSF 프로세스 개요 문서를 참조하십시오.
    CRI 평가는 두 단계로 구성됩니다.
    CRI 계층화 평가
    CRI를 사용하면 회사를 평가하기 위해 취하는 규범적 질문 세트로 조직을 계층화할 수 있습니다. 평가에 대한 응답에 따라 계층 1, 계층 2, 계층 3 또는 계층 4와 같은 계층 값이 회사에 할당됩니다.
    CRI 평가
    CRI 계층화 평가가 완료되고 회사의 계층 상태에 따라 두 번째 단계인 CRI 평가를 완료해야 하며, 이 평가는 제어의 규정 준수 상태와 회사의 전체 규정 준수 점수를 결정합니다.

    프로시저

    1. 다음으로 이동 모두 > 정책 및 준수 > 준수 작업 공간.
    2. 목록( 목록 아이콘.) 아이콘을 선택합니다.
    3. 왼쪽 창에 있는 권한 문서 목록의 준수 라이브러리에서 CRI Profile v2.0을 기반으로 권한 문서를 선택합니다.
    4. 권한 문서와 관련된 인용을 보려면 인용 관련 목록을 선택하고 인용을 선택합니다.
      이러한 각 인용에는 제어 목표가 연결되어 있습니다.
    5. 인용 기록의 개요 페이지에서 통제 목표 관련 목록을 선택합니다.
    6. 통제 목표 기록을 선택하고 인용 관련 목록을 클릭하여 CSF 프로파일 v2.0 및 FFIEC의 관련 인용을 확인합니다.
      기록이 CSF 프로파일 v2.0 컨텐츠에 매핑되는 방법을 알 수 있습니다. FFIEC CAT 및 NIST CSF v2.0에 대한 콘텐츠도 준수 라이브러리 – 권한 문서에 있습니다. 이러한 콘텐츠를 사용할 수 있게 되면 회사 또는 자회사에 대한 계층화 평가를 수행할 수 있습니다.
    7. 목록 페이지에서 모든 엔터티를 선택하고 엔터티 기록을 클릭합니다.
    8. 엔터티 기록의 상세 정보 관련 목록을 선택하고 클래스 필드를 클릭하여 회사 기록을 엽니다.
      회사의 사이버 보안 위험 프로필(CRI)에 대해 Is CRI 옵션이 활성화된 엔터티 클래스를 선택합니다. 이 플래그는 이 클래스가 CRI 평가에 적용되는지 여부를 결정합니다. 이 클래스와 관련된 모든 엔터티는 CRI 계층화 평가를 받을 수 있습니다.
    9. 회사 기록을 종결하고 엔터티의 상세 정보 관련 목록을 선택합니다.
    10. 사이버 보안 위험 프로필(CRI) 관련 목록에 계층 상세 정보를 입력합니다.
      자세한 내용은 다음을 참조하십시오.
      • 엔터티 생성엔터티 양식입니다.
      • 엔터티 섹션의 관련 목록입니다.
    11. 추가 작업 아이콘 아이콘을 선택하고 CRI 계층화 평가 옵션을 클릭합니다.
      엔터티의 소유자인 경우 이 UI 옵션을 보고 계층화 평가를 시작할 수 있습니다.

      CRI 계층화 평가 팝업.

    12. 메시지 필드에 메시지를 입력하고 CRI 계층화 평가 팝업에서 계층 평가 버튼을 선택합니다.
      계층화 평가를 시작하면 CRI 계층화 평가 관련 목록이 엔터티 기록에 나타납니다.
    13. CRI 계층화 평가 관련 목록을 선택하고 평가 인스턴스 링크를 클릭합니다.
      작업 페이지에 있는 내 보류 중인 작업 관련 목록의 계층 평가 목록에서 평가에 응답할 수도 있습니다. 계층화 평가 지침을 검토하고 질문에 응답합니다. 각 질문에 대한 응답에 따라 엔터티의 계층 수준이 결정됩니다.

      증명에 응답하려면 및 평가에 응답을 참조하십시오의 작업 페이지에서 증명에 응답 준수 작업 공간.

    14. 평가를 제출한 후 엔터티 기록을 열어 사이버 보안 위험 프로필(CRI) 섹션의 계층 필드에서 계층 값을 봅니다.
      또한 계층 값을 기반으로 계층 프로파일에서 가져온 통제 목표를 기반으로 생성되는 통제 수를 알 수도 있습니다.
    15. 계층 값에 매핑된 통제를 보려면 다운스트림 통제 관련 목록을 선택합니다.
      계층화 평가를 기반으로 계층이 결정되면 이제 CRI 평가를 수행할 수 있습니다.