통제는 통제 목표의 특정 구현입니다. 폐기된 컨트롤은 목록에 나타나지 않습니다. 컨트롤을 정의하기 전에 시간을 내어 조직의 중요한 컨트롤을 합리화, 통합 및 정의합니다.
통제 합리화
모든 컨트롤을 대량으로 업로드하면 컨트롤 집합을 구체화하고 간소화할 수 있는 기회를 놓치게 됩니다. 비즈니스가 변화하고 IT 데이터, 프로세스 및 기술이 향상됨에 따라 애플리케이션을 구현할 때 오래된 제어와 절차를 대체하십시오 GRC . 다음 사항을 고려하세요.
이 통제가 내 비즈니스 목표에 어떤 영향을 미칩니까?
이 통제가 실제로 위험을 방지하거나 탐지합니까?
비즈니스를 더 잘 보호하기 위해 적용할 수 있는 다른 제어 기능이 있습니까?
프로세스 오버헤드를 줄이고 IT 성능을 개선하는 동시에 위험을 완화할 수 있는 통제 수단이 있습니까?
복잡한 컨트롤을 더 간단하고 효과적인 컨트롤로 바꿀 수 있습니까?
주:
컨트롤을 수동으로 정의하거나 UCF(통합 규정 준수 프레임워크)에서 가져올 때 엔터티가 컨트롤과 연결됩니다. 통제 양식의 필수 필드입니다. 그러나 UCF가 아닌 다른 소스에서 컨트롤을 가져오는 경우 연결된 엔터티가 없는 컨트롤이 발생할 수 있습니다. 컨트롤 폼으로 돌아가서 컨트롤에 엔터티를 추가하는 것이 중요합니다. 엔터티가 없으면 계산에서 신뢰할 수 없는 결과가 발생할 수 있습니다. 또한 사용하지 않도록 설정된 엔터티가 있는 통제가 발생하면 해당 통제를 폐기해야 합니다.
통제 통합
통제를 통합할 기회를 찾으십시오. 프레임워크의 여러 규제 당국(예: SOX, GLBA, AML)에서 일반적이고 반복적인 제어를 찾습니다. 통제를 교차 매핑하고 중복 통제를 제거하여 각 규정에 대해 단일 통제를 여러 번 운영하지 않도록 합니다. 이 프로세스는 통합된 단일 통제 세트 = 통제 프레임워크를 설정하며, 통제의 교차 매핑을 수행하고 보존하는 것은 감사에 매우 중요합니다.그림 1. 산업 규정 및 요구사항 중복
통제 및 비즈니스 규칙 정의
미리 정의한 비즈니스 규칙은 나중에 구성 설정을 지정합니다 GRC . 다음을 준비하십시오.
통제 및 통제 소유자 식별
통제 테스트 및 예상 결과 정의
테스트 및 제어 빈도 설정
위험 식별: 영향 및 가능성
증명, 평가, 질문서 및 필수 증거 준비
예상 사용 사례 작성(시스템의 컨텐츠 GRC 와 상호작용하거나 확인해야 하는 사용자 및 목적)
