GRC 애플리케이션 명명법 업데이트 및 업계 용어
다음 용어는 애플리케이션 및 GRC /또는 GRC 업계에서 사용됩니다.
GRC 명명법 업데이트
이전 릴리스부터 모든 핵심 애플리케이션 내의 여러 용어가 GRC 업데이트되었습니다.
주:
이러한 용어 업데이트는 모든 탐색 레이블, 버튼, 정보 메시지, 보고서 제목, 관련 링크, 탭 및 기타 UI 요소에 적용됩니다.
| GRC 모듈 | 이전 | 현재 |
|---|---|---|
| 범위 지정 | 프로필 | 엔터티 |
| 프로파일 유형 | 엔터티 유형 | |
| 프로파일 클래스 | 엔터티 클래스 | |
| 내 프로필 | 사용자 엔터티 | |
| 모든 프로파일 | 모든 개체 | |
| 관리 | 프로파일 계층 | 엔터티 계층 |
| 프로파일 클래스 규칙 | 엔터티 클래스 규칙 | |
| 표시기 | 필드 | 통제/위험 필드 |
| 범주 필드에 규정 준수 또는 위험 표시기인지 여부 표시 | ||
| 필드 | 통제 목표/위험 설명 | |
| 이슈 | 필드 | 통제 목표/위험 설명 |
| 필드 | 통제/위험 | |
| 정책 및 준수 | 정책 설명 | 컨트롤 목적 |
| 위험 | 필드 | |
| 필드 | 필드 |
산업 참조
| 용어 | 정의 |
|---|---|
| 바젤 III | 규제 기관이 잠재적 위험을 상쇄하기 위해 은행이 보유해야 하는 자본에 대한 규제를 만들 때 사용할 수 있는 은행에 대한 국제 표준입니다. 은행이 더 많은 위험을 가지고 있을수록 지불 능력을 유지하기 위해 더 많은 자본을 확보해야 합니다. 이 규정은 바젤 은행 감독 위원회에서 발행한 세 번째 표준이므로 바젤 III라는 이름이 붙었습니다. |
| CISA | 사이버보안정보공유법 |
| 시즘 | 인증 정보 보안 관리자 |
| 코빗 | 정보 및 관련 기술에 대한 통제 목표(COBIT)는 베스트 프랙티스를 기반으로 위험 및 준수 문제를 관리하는 IT 거버넌스 프레임워크를 제공합니다. IT Governance Institute 및 ISACA(Information Systems Audit and Control Association)에서 발행합니다. |
| 코소 | 후원 단체 위원회(COSO)는 1985년 사기 재무 보고에 관한 국가 위원회를 후원하기 위해 구성되었습니다. COSO는 허위 재무 보고로 이어질 수 있는 인과 요인을 연구하고 상장 기업, SEC, 기타 규제 기관 및 교육 기관을 위한 권장 사항을 개발한 독립적인 민간 부문 이니셔티브입니다. |
| EDPA | 유럽 데이터 개인 정보 보호법 |
| 에니사 | 유럽 네트워크 및 정보 보안국(European Network & Information Security Agency) |
| EUP | 제품의 에너지 사용(EUP)은 기업이 에너지를 덜 사용하도록 제품을 설계하도록 요구하는 EU 지침입니다. |
| 데이터 보호에 관한 유럽 지침 | 인터넷 개인 정보 보호를 구체적으로 다루는 데이터 개인 정보 보호 법률의 최초이자 가장 중요한 부분 중 하나입니다. |
| FCA | 금융감독원(Financial Conduct Authority) |
| GDPR | GDPR(General Data Protection Regulation)은 2018년 5월 25일에 발효된 규정으로, 유럽 연합 시민의 데이터 보호 권리를 강화하고 조화시키기 위해 데이터 보호 지침 95/46/ec를 대체합니다. |
| GRI | GRI(Global Reporting Initiative)는 지속 가능성 보고를 위한 G3 프레임워크를 만든 국제 그룹입니다. |
| ITGI | IT 거버넌스 연구소 |
| PII | 개인 식별 정보/PII(개인 식별 정보)는 개인의 신원을 직간접적으로 유추할 수 있는 정보입니다. |
| PCI DSS | PCI DSS(Payment Card Industry Data Security Standard)는 신용 카드 정보를 수락, 처리, 저장 또는 전송하는 모든 회사가 보안 환경을 유지할 수 있도록 설계된 일련의 보안 표준입니다. |
| 솔번시 II | 솔번시 II |
| SOX | 사베인스-옥슬리법(SOX)은 상장 기업 회계 감독 위원회를 설립하고 상장 기업, 임원, 이사회 및 감사에 대한 요구 사항을 추가했습니다. 이 법안은 기업의 금융 사기에 대한 처벌을 강화했다. 이 미국 법안은 세간의 이목을 끄는 엔론(Enron)과 월드컴(WorldCom)의 금융 스캔들에 대응하여 제정되었습니다. 그 목표는 기업의 회계 오류 및 사기 행위로부터 주주와 일반 대중을 보호하는 것입니다. SOX는 미국에서 공개적으로 거래되는 회사에 적용됩니다. |
| 용어 | 정의 |
|---|---|
| 맥주 | 연간 손실 예상(ALE) = 단일 손실 예상(SLE) x 연간 발생률(ARO). 양적 위험 점수 산정에 사용됩니다. |
| ARO | 연간 발생률입니다. |
| 수용 | 특정 위험은 허용 범위 내에 있거나 추가 완화 및 통제가 실제로 위험의 추정된 영향(또는 중요성)보다 훨씬 더 많은 비용이 드는 경우 더 깊은 통제 또는 더 높은 수준의 완화에 대한 추가 투자를 중단하여 경영진이 수용할 수 있습니다. |
| 어설션 | 관리자가 만든 주제에 대한 공식 선언 또는 선언 집합입니다. |
| 평가 | 구조화된 보증 이니셔티브에서 다루지 않는 요소를 포함하는 회사 또는 기능의 다양한 측면에 대한 광범위한 검토입니다. |
| 증명 | 어떤 것이 사실인지 확인하는 프로세스입니다. 예를 들어, 이행자가 전자적으로 서명한 질문서를 통해 통제 효과성 또는 준수 여부를 증명할 수 있습니다. |
| 감사 | 표준 또는 일련의 지침을 준수하고 있는지, 레코드가 정확한지 또는 효율성 및 효과 목표를 충족하는지 확인하기 위한 공식 검사 및 검증. ServiceNow®에서 조직은 테스트하려는 모든 통제를 한 번에 식별하고 전체 감사의 책임을 한 사람에게 할당합니다. 단일 작업으로 모든 통제의 테스트를 관리할 수 있습니다. |
| 감사 활동 | 감사 실행을 위해 개인에게 할당된 감사 내 작업 중 하나입니다. |
| 감사 위원회 | 종종 이사회 구성원을 포함하는 위원회는 재무 보고 및 내부 통제를 감독할 책임이 있습니다. |
| 감사 문서(작업 문서) | 적용되는 절차, 수행된 테스트, 얻은 정보 및 계약에서 도달한 관련 결론에 대한 감사인이 보관하는 기록. 문서는 감사인의 보고서에 대한 주요 지원을 제공합니다. |
| 감사 증거 | 감사 절차 중에 수집된 사실로서 감사 중인 재무제표에 대한 의견을 형성하기 위한 합리적인 근거를 제공합니다. |
| 감사 목표 | 재무제표 주장을 뒷받침하는 증거를 얻을 때 감사인은 이러한 주장에 비추어 구체적인 감사 목표를 개발합니다. 예를 들어, 재고 잔액에 대한 완전성 어설션과 관련된 목표는 인벤토리 수량에 보유중인 모든 제품, 자재 및 공급품이 포함된다는 것입니다. |
| 감사 관찰 | 내부 감사자가 통제 격차를 식별하거나 새로운 위험을 식별하는 데 사용됩니다. |
| 자동화된 통제 | 컴퓨터 시스템에 의해 자동으로 실행되는 내부 통제. 수동 제어는 해당 작업을 담당한 사람이 실행하며 일반적으로 트랜잭션 및 데이터의 하위 집합에 대해 수행됩니다. 모든 관련 트랜잭션 또는 데이터 요소에 대해 자동화된 제어를 실행할 수 있어 더 적은 노력으로 더 높은 정확도를 보장합니다. |
| 권한 문서 | 조직이 규정을 준수하기 위해 선택하거나 요구하는 규정, 인증, 프레임워크, 표준 및 베스트 프랙티스입니다. 권한 문서는 통제, 위험 및 정책과 관련이 있습니다. |
| 비즈니스 위험 | 목표를 달성하고 전략을 실행하는 엔터티의 능력에 부정적인 영향을 미칠 수 있는 위험입니다. |
| 계산된 점수 | 계산된 점수는 고유 점수와 잔여 점수에서 전체 결과로 파생됩니다. 구현된 통제 시스템의 품질에 따른 실제 위험 노출을 나타냅니다. |
| 관리의 연속성 | 증거의 유효성 및 무결성에 관한 법적 원칙. 법적 절차에서 증거로 사용되는 모든 것에 대한 책임을 요구합니다. 이렇게 하면 수집된 시점부터 법정에 제출될 때까지 설명할 수 있습니다. |
| 최고 준법 책임자(CCO) | 조직 내에서 규정 준수 문제를 감독하고 관리할 책임이 있는 회사 임원입니다. 이 사람은 회사가 규제 요구 사항을 준수하고 내부 정책 및 절차를 준수하고 있는지 확인합니다. |
| 최고 운영 책임자(COO) | 최고 운영 책임자(Chief Operations Officer)라고도 하며, 회사의 일상 업무를 담당하는 임원입니다. |
| 최고 위험 책임자(CRO) | 최고 위험 관리 책임자라고도 하며, 기업 위험 관리 및 회사의 규정 준수 노력을 담당하는 임원입니다. |
| 인용 | 권한 문서에서 인용한 특정 요구 사항이 있는 기록입니다. 인용 기록은 권한 문서를 해당 통제와 연결합니다. |
| 준수 | 법률, 규정 또는 정책을 고수하고 준수를 입증하는 행위입니다. 규정 준수는 금융, 환경, 글로벌 무역, 작업자 안전 및 개인 정보 보호를 포함한 많은 영역의 규정과 관련이 있습니다. |
| 기밀성 | 개인 정보 및 독점 정보를 보호하는 수단을 포함하여 액세스 및 공개에 대한 승인된 제한을 유지합니다. |
| 봉쇄 통제 | 위험이 발생할 경우 위험의 영향(또는 중요도)을 제한하도록 설계된 통제입니다. |
| 통제 | 조직에서 수행하는 실제 통제 활동입니다. 통제 기록에는 통제에 대한 기본적인 필수 정보(소유자, 활동, 빈도 등)가 포함됩니다. 통제는 권한이 부여된 소스 콘텐츠, 정책 및 위험과 관련될 수 있습니다. 위험을 관리하기 위해 경영진, 이사회 및 기타 당사자가 취하는 모든 조치입니다. 경영진은 목적과 목표가 달성된다는 합리적인 보증을 제공하기 위해 충분한 조치의 수행을 계획, 조직 및 지시합니다. 통제 기록에는 통제에 대한 기본적인 필수 정보(소유자, 활동, 빈도 등)가 포함됩니다. 통제는 권한이 부여된 소스 콘텐츠, 정책 및 위험과 관련될 수 있습니다. |
| 통제 프레임워크 | 재무 손실, 정보 손실 또는 보다 일반적으로 기업 내의 위험을 방지하기 위해 통제의 교차 매핑을 수행하고 보존하는 일련의 기본 통제입니다. |
| 통제 인스턴스 | 주기적으로 또는 요청 시 제어 테스트 정의의 실제 실행으로, 테스트 활동의 결과 데이터 샘플, 증명 또는 수동 결과를 보여줍니다. |
| 제어 테스트 정의 | 제어 테스트 정의는 테스트 단계, 예상 결과, 테스트를 담당하는 그룹 또는 개인, 테스트 일정을 포함하여 통제를 테스트하는 방법과 시기를 지정합니다. 제어 테스트 인스턴스는 테스트 일정에서 자동으로 생성됩니다. 제어 테스트가 실패하거나 감사 관찰 내용이 기록되면 정정이 자동으로 생성됩니다. |
| 수정 통제 | 문제가 발견되면 작동하는 내부 통제입니다. 예를 들어 과도한 권한이 있는 사용자의 액세스 권한을 제거하거나 물리적 재해가 발생한 후 백업 및 복구 계획을 실행할 수 있습니다. |
| 기업 성과 관리 | 기업 성과 관리(CPM)는 전략 관리, 계획, 보고 및 통합과 수익, 비용 및 수익성 모델링의 조합으로 기업이 성과를 측정하고 개선할 수 있도록 합니다. |
| 탐지 | 관리 작업 및 통제를 사용하여 목표뿐만 아니라 실제 및 잠재적인 바람직하지 않은 조건과 이벤트를 향한 지속적인 진행률. |
| 탐지 통제 | 의도하지 않은 이벤트 또는 결과를 발견하도록 설계된 컨트롤입니다. 또한 특정 위험이 발생하는지 여부와 발생 시기를 감지할 수도 있습니다. |
| 효과 | 이벤트가 무언가에 미칠 가능성, 시기 및 영향에 대한 척도입니다. |
| 효과적인 내부 통제 | 운영 목표를 달성하고, 게시된 재무제표가 안정적으로 작성되었으며, 기업이 관련 법률 및 규정을 준수한다는 합리적인 보증. |
| 참여 | 일련의 목적이나 목표를 달성하는 감사 작업이 포함될 수 있는 감사 프로젝트입니다. |
| 이벤트 | 관찰 가능한 동작, 발생 또는 조건의 변경입니다. 이벤트는 조건이 변경되지 않았더라도 조건에 대한 지식의 변경을 포함합니다. |
| 엔터티 | 의 GRC기본 개념 엔터티는 통제와 위험을 연관시킬 수 있는 모든 엔터프라이즈 요소를 모델링하는 데 사용됩니다. 예: 비즈니스 단위, 서버, 랩톱. |
| 엔터티 유형 | 여러 유사한 엔터티를 참조하는 데 사용됩니다. 예: 아시아/태평양 비즈니스 단위, Linux 서버, MacBook Pro. |
| 평가 | 기준에 따라 무언가를 측정하기 위해. |
| 증거(증거 사항) | 감사인이 추론을 통해 결론에 도달할 수 있도록 하는 서면 및 전자 정보(예: 수표, 전자 자금 이체 기록, 송장, 계약 및 기타 정보)를 포함합니다. |
| 사기 | 속임수, 은폐 또는 신뢰 위반을 특징으로 하는 모든 불법 행위. 이러한 행위는 폭력이나 물리적 힘의 위협에 의존하지 않습니다. 사기는 당사자 및 조직이 금전, 재산 또는 서비스를 획득하고 서비스의 지불 또는 손실을 방지하거나 개인 또는 비즈니스 이익을 확보하기 위해 저지릅니다. |
| 일반 통제 | 네트워크 운영에 대한 통제, 소프트웨어 취득 및 유지관리, 액세스 보안을 포함하여 컴퓨터 시스템의 적절한 운영을 보장하기 위한 정책 및 절차입니다. |
| 거버넌스, 리스크 및 컴플라이언스(GRC) | 거버넌스, 위험 관리 및 규정 준수는 전통적으로 별도의 회사 기능이었습니다. GRC 는 조직이 불확실성을 해결하고 청렴하게 행동하면서 목표를 안정적으로 달성할 수 있도록 지원하는 기능의 통합 모음입니다. 여기에는 거버넌스, 보증 및 관리 성과, 위험 및 규정 준수가 포함됩니다. GRC 는 성과 최적화를 위해 외부 및 내부 표준을 준수하면서 위험 관리를 통해 조직을 운영하는 방식에 대한 비즈니스입니다. GRC 조직의 무결성을 보장하기 위해 프로세스, 통제, 보안 및 문화가 통합되는 방식을 수용합니다. |
| 영향도 | 가능성과 함께 위험의 심각도를 평가하는 데 사용됩니다. 특정 위험이 발생할 경우 조직에 미칠 수 있는 결과 수준을 평가합니다. |
| 표시기 | 통제 및 위험을 모니터링하고 감사 증거를 수집하기 위해 데이터를 수집하는 데 사용되는 메트릭입니다. |
| 고유 가능성 | 대응 전략이 구현되기 전에 식별된 위험이 발생할 가능성입니다. |
| 고유 위험 | 가능성 및 영향(또는 유의성) 측면에서 위험 노출 수준으로, 관련 내부 통제 및 완화 조치가 아직 마련되어 있지 않다고 가정합니다. |
| 고유 점수 | 대응 전략이 구현되기 전 위험 점수입니다. |
| 고유 중요성 | 대응 전략이 구현되기 전 위험의 유의성입니다. |
| 무결성 | 정보, 정보 시스템 또는 시스템의 구성요소가 무단으로 수정되거나 파괴되지 않은 속성입니다. 정보가 소스에서 생성된 시점부터 전송, 저장 및 목적지의 최종 수신 중에 변경되지 않은 상태로 남아 있는 상태입니다. |
| 내부 감사 | 가치를 더하고 조직의 운영을 개선하기 위해 고안된 독립적이고 객관적인 보증 및 컨설팅 서비스를 제공하는 부서, 부서, 컨설턴트 팀 또는 기타 실무자입니다. 내부 감사 활동은 거버넌스, 위험 관리 및 통제 프로세스의 효과를 평가하고 개선하기 위해 체계적이고 체계적인 접근 방식을 도입함으로써 조직이 목표를 달성하는 데 도움이 됩니다. |
| 내부 감사자 | 기업의 경영진 및 이사회에 분석, 평가, 보증, 권장 사항 및 기타 정보를 제공할 책임이 있는 고객의 직원입니다. 내부 감사인의 중요한 책임은 통제 성과를 모니터링하는 것입니다. |
| 내부 통제 | 비즈니스 목표를 달성하고 원치 않는 이벤트를 방지하거나 탐지 및 수정한다는 합리적인 보증을 제공하도록 설계된 정책, 절차, 관행 및 조직 구조입니다. |
| 문제 | GRC 최종 사용자가 통제 및 위험 문제를 문서화하고 문제를 정정 또는 수용하기 위한 응답을 추적할 수 있는 작업입니다. |
| IT 거버넌스 | 기업의 IT가 기업의 전략과 목표를 유지하고 확장하도록 보장하는 리더십, 조직 구조 및 프로세스입니다. 이는 경영진과 이사회의 책임입니다. |
| 술래 GRC | 확립된 베스트 프랙티스를 기반으로 IT 관점에서 준수 및 위험 관리 노력을 지원하는 데 사용되는 소프트웨어 및 하드웨어와 관련 정책 및 절차를 포함합니다. |
| 가능성 | 어떤 일이 일어났을 확률입니다. |
| 관리 | 엔터티, 프로세스 또는 자원을 내부적으로 지시, 제어 및 평가하는 행위입니다. |
| 수동 통제 | 통제는 컴퓨터가 아닌 수동으로 수행됩니다. |
| 소재(물질성) | 위험은 재정적 영향을 계산할 수 있을 때 중요합니다. |
| 완화 | 특정 규칙 위반과 관련된 위험을 줄입니다. 위험이 발생하기 전에 가능한 관련 제어 실패를 해결하거나 위험 노출을 줄이기 위해 적절한 완화 조치가 취해집니다. |
| 목표 | 엔터티가 달성하거나 성취하려고 하는 것입니다. |
| 운영 감사 | 기능 또는 부서의 다양한 내부 통제, 경제성 및 효율성을 평가하기 위해 고안된 감사입니다. |
| 운영 통제 | 모든 목표가 달성되도록 회사 또는 기업의 일상적인 운영과 관련된 통제입니다. |
| 운영 위험 | 조직의 임무와 목표를 달성하는 데 필요한 사람, 프로세스 및 시스템과 관련된 위험입니다. |
| 객관성 | 선입견이나 편견 없이 고객 기록을 평가하는 능력. |
| 의무 | 의무에 대한 주장은 부채가 주어진 날짜에 법인의 의무인지 여부를 다룹니다. 예를 들어, 경영진은 대차대조표에서 임대에 대해 자본화된 금액이 임대 부동산에 대한 법인의 권리 비용을 나타내고 해당 리스 부채가 법인의 의무를 나타낸다고 주장합니다. |
| 소유자 | 위험, 통제 또는 완화/정정 작업의 소유자는 책임을 수락합니다. 소유권과 관련된 일부 작업을 위임할 수 있지만 조직에 대한 책임은 유지됩니다. |
| 동료 검토 | 한 CPA 회사의 감사 문서를 다른 회사의 독립 파트너가 주기적으로 검토하여 직업 표준에 부합하는지 확인하는 실무 모니터링 프로그램입니다. |
| 계획 | 감사 계획은 감사의 수행 및 범위에 대한 전반적인 전략을 개발하는 것입니다. 계획의 성격, 범위 및 시기는 법인의 규모와 복잡성, 법인에 대한 경험 및 비즈니스 지식에 따라 다릅니다. 감사를 계획할 때 감사인은 기업의 비즈니스 및 산업, 회계 정책 및 절차, 회계 정보 처리에 사용되는 방법, 계획된 통제 위험 평가 수준, 감사 중대성에 대한 감사인의 예비 판단을 고려합니다. |
| 정책 | 결정된 개략적인 원칙이나 행동 방침을 기록한 문서. 의도된 목적은 기업 관리 팀이 수립한 철학, 목표 및 전략 계획과 일치하도록 현재와 미래의 의사 결정에 영향을 미치고 안내하는 것입니다. 정책은 정책 콘텐츠 외에도 정책 미준수 결과, 예외 처리 방법, 정책 준수 확인 및 측정 방식을 설명합니다. 에서 ServiceNow®승인된 정책은 에 게시 지식베이스됩니다. 정책은 권한 문서 및 통제 레코드와 관련이 있습니다. 정책 설명은 프로세스가 정책 내에서 따르는 특정 세부 정보를 정의합니다. |
| 예방적 통제 | 의도하지 않은 이벤트를 방지하도록 설계된 컨트롤입니다. |
| 절차 | 감사 프로그램의 일부 또는 클라이언트 내부 통제의 일부로 수행되는 단계와 같은 작업입니다. 정책의 '방법'을 제공하고 구현 과정을 안내합니다. 절차는 대상에 따라 다르며 지정된 정책을 준수하도록 정확한 지침을 제공합니다. ServiceNow® 에서는 정책과 절차를 같은 방식으로 취급합니다. 따라서 두 용어는 서로 바꿔 사용할 수 있습니다. 이는 정책과 절차를 두 개의 개별 항목으로 정의하는 COBIT 5.1과 같은 프레임워크와 다를 수 있습니다. |
| 직업적 회의론 | 질문하는 마음가짐으로 감사에 접근합니다. |
| 정성적 영향 | 영향도(위험의 유의성 참조) 및 가능성(위험 발생 확률 참조) 등급이 포함됩니다. 점수는 영향과 가능성을 곱하여 계산됩니다. 종종 서수 척도 또는 명목 척도를 사용하여 표현되는 영향입니다. |
| 정량적 영향 | 금융 자산, 유형 자산, 무형 자산, 비즈니스 연속성, 건강 및 안전에 대한 긍정적/부정적 영향. 단일 손실 예상(SLE) x 연간 발생률(ARO) = 연간 손실 예상(ALE)으로 계산됩니다. 정량적 영향은 숫자로 표현됩니다. |
| 질문서 | 내부 통제 질문서는 감사 현장 작업 중에 답변해야 할 내부 통제 시스템에 대한 질문 목록입니다(예, 아니요 또는 해당 사항 없음과 같은 답변 포함). 설문지는 고객의 내부 통제에 대한 감사인의 이해를 문서화하는 문서의 일부입니다. |
| 랜덤 샘플(난수 샘플링) | 표본에 대해 각 모집단 항목이 선택될 확률이 동일합니다. 또한 모집단에서 무작위 표본을 선택하기 위해 난수를 사용합니다. |
| 합리적인 보증(내부 통제) | 내부 통제는 아무리 잘 설계되고 운영되더라도 모든 내부 통제 시스템의 내재적 한계로 인해 기업의 목표가 충족된다고 보장할 수 없습니다. |
| 정정 | 장애를 식별하고 평가한 후에는 문제를 완화하거나 제거하기 위해 적절한 정정을 수행할 수 있습니다. 잔여 가능성: 대응 전략이 구현된 후 식별된 위험이 발생할 가능성입니다. |
| 요구 사항 | 약속을 한 결과로 엔터티가 해결해야 하는 사항입니다. |
| 잔여 가능성 | 대응 전략이 구현된 후 식별된 위험이 발생할 가능성입니다. |
| 남은 위험 | 관련 내부 통제 및 완화 조치가 시행되고 발효된 후의 가능성 및 영향(또는 유의성) 측면에서 위험 노출 수준입니다. |
| 잔여 점수 | 대응 전략이 구현된 후 위험 점수입니다. |
| 잔여 심각도 | 대응 전략이 구현된 후 위험의 유의성입니다. |
| 위험 | 위험은 조직의 비즈니스 목표에 부정적인 영향을 줄 수 있는 모든 위협 또는 취약성입니다. 모든 위험은 하나의 위험 리포지토리에 포함되어 있습니다. 위험은 모든 항목, 정책, 통제 및 정정 작업과 관련이 있을 수 있습니다. 즉각적이거나 지속적인 주의가 필요한 위험은 정의된 통제 및 관련 통제 테스트를 사용하여 완화, 방지 또는 제어할 수 있습니다. 위험 설명은 위협이 취약성을 악용하는 경우 발생할 수 있는 정의된 결과입니다. 위험은 영향(또는 중요도) 및 가능성 측면에서 측정됩니다. 위험의 유형에는 운영 위험(예: 사기), 규정 미준수 위험(법률을 준수하기 위해 적절한 문서를 제출하지 않음) 및 전략적 위험(예: 브랜드 평판에 영향을 미치는 사고)이 포함됩니다. 기업 내에서 IT의 사용, 소유권, 운영, 관여, 영향력 및 채택과 관련된 비즈니스 위험입니다. |
| 위험 분석 | 특정 사건이 얼마나 자주 발생할 수 있는지와 그 결과의 규모를 결정하기 위해 사용 가능한 정보를 체계적으로 조사합니다. |
| 위험 선호도 | 조직이 목표를 추구하기 위해 기꺼이 감수할 수 있는 위험 수준입니다. |
| 위험 평가 | 엔터티, 자산, 시스템 또는 네트워크, 조직 운영, 개인, 지리적 영역, 기타 조직 또는 사회가 직면한 위험에 대한 평가이며 불리한 상황이나 사건이 유해한 결과를 초래할 수 있는 정도를 결정하는 것을 포함합니다. |
| 위험 기준 | 평가되는 위험 수준에 대한 양적 또는 질적 값입니다. |
| 위험 관리 | 위험 관리의 목적은 불확실성을 줄이는 것입니다. 조직의 목표를 추구하면서 위험을 해결하기 위해 프로세스와 자원을 관리하는 작업입니다. 위험을 식별, 분석, 평가 및 전달하고 취한 조치의 관련 비용 및 이점을 고려하여 위험을 수용, 방지, 이전 또는 통제하는 프로세스입니다. |
| 위험 관리 프레임워크 | 명시적으로 위험을 관리하기 위한 공식화된 프로세스입니다. 프레임워크는 위험 평가, 대응, 주변의 위험 및 완화 활동에 대한 책임으로 구성됩니다. |
| 위험 완화 | 위험을 줄이는 정책, 프레임워크, 책임과 같은 통제 환경에 내장된 프로세스입니다. |
| 위험 등록 | 잠재적 및 알려진 IT 위험 문제의 주요 속성이 담긴 리포지토리입니다. 속성에는 이름, 설명, 소유자, 예상/실제 빈도, 고유/잔여 수준, 잠재적/실제 비즈니스 영향, 완화/정정 계획이 포함될 수 있습니다. |
| 위험 응답 | 위험을 수용하거나, 위험을 거부하거나, 위험을 처리 또는 완화하거나, 다른 당사자와 위험을 공유하기로 한 결정입니다. |
| 위험 설명 | 조직 내 어딘가에서 발생할 수 있는 잠재적 위험이나 위협에 대한 일반적인 설명입니다. |
| 위험 공차 | 조직이 목표를 달성하기 위해 초과하고 싶지 않은 위험 수준입니다. 특정 위험 범주에 대해 조직의 다양한 관리 수준에 부여되는 임계치(일반적으로 재무) 측면에서 위험 선호도를 나타냅니다. |
| 샘플 크기 | 모집단에서 표본을 추출할 때 선택된 모집단 항목 수입니다. |
| 샘플링 | 전체 기록 모집단을 대표할 작지만 적절하고 대표적인 기록 수를 선택합니다. |
| 샘플링 위험 | 표본에서 도출된 결론이 전체 모집단에 대한 올바른 결론을 나타내지 않을 가능성. |
| 업무 분리(SoD) | 거래 승인, 거래 기록 및 자산 보관 유지의 책임을 다른 사람에게 할당합니다. 직무 분리는 한 사람이 오류나 사기를 저지르고 은폐할 수 있는 기회를 줄입니다. |
| 심각도 | 가능성과 함께 위험의 심각도를 평가하는 데 사용됩니다. 특정 위험이 발생할 경우 조직에 미칠 수 있는 결과 수준을 평가합니다. |
| SLE | 단일 손실 예상(SLE) = 단일 손실 예상(SLE) = 자산 가치 x 노출 계수. |
| 이해 관계자 | 조직의 작업, 목표 및 정책에 영향을 미치거나 영향을 받을 수 있기 때문에 조직에 직접 또는 간접적으로 이해 관계가 있는 개인, 그룹 또는 조직입니다. |
| 표준 | 내부 감사 표준 위원회(Internal Audit Standards Board)에서 공표한 전문적인 선언문으로, 광범위한 내부 감사 활동을 수행하고 내부 감사 성과를 평가하기 위한 요구 사항을 설명합니다. |
| 전략적 위험 | 정치적 요인, 고객 우선순위, 브랜드 또는 평판과 같은 전략적 목표와 관련이 있습니다. |
| 대상 | 엔터티가 달성하기 위해 노력하는 측정 가능한 값입니다. |
| 테스트 | 모집단의 특성을 추정하기 위한 모집단의 표본입니다. |
| 테스트 계획 | 단일 통제의 설계 및 운영 효과성에 대한 특정 감사 테스트입니다. |
| 위협 | 균형 잡힌 관점에서 목표 달성에 바람직하지 않은 영향을 미치는 이벤트입니다. |
| 허용 오차 | 대상에서 허용 가능한 이탈 수준입니다. |
| 통합 준수 프레임워크(UCF) | 네트워크 프론티어 통합 준수 프레임워크(UCF)에는 인스턴스로 ServiceNow® 임포트할 수 있는 권한 문서가 포함되어 있습니다. 자세한 내용은 통합 준수 프레임워크를 참조하십시오. |
| 불확실 | 무언가를 완전히 예측, 결정 또는 정의할 수 없는 상태입니다. |