Visão geral estrutural de Policy and Compliance Management

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 7 min. de leitura

    • A visão geral estrutural de Policy and Compliance Management permite que você entenda como os diferentes módulos que compõem a aplicação [ Policy and Compliance Management de ServiceNow se integram e interagem entre si.

    Figura 1. Visão geral estrutural dos módulos em Policy and Compliance
    Infográfico para o fluxo do processo estrutural dos módulos em Política e conformidade. Para obter a descrição de texto, consulte as etapas no fluxo do processo.
    Documento de autoridade
    Policy and Compliance Management A aplicação começa identificando documentos de autoridade. Esses documentos são regulamentações externas que incluem leis, regulamentos e padrões com os quais sua organização precisa estar em conformidade, que dependem do tipo de negócio que sua organização faz e de sua localização. Os requisitos regulatórios geralmente são publicados por agências reguladoras que fornecem requisitos descritos por lei ou por um determinado setor. Esses requisitos podem vir de regulamentações federais ou estaduais, como a Lei de Responsabilidade e Portabilidade de Seguro Saúde (HIPAA), regulamentações internacionais, como Regulamento Geral de Proteção de Dados (GDPR) ou regulamentos do setor, como PCI (Payment Card Industry). Cada um desses documentos, como HIPAA, GDPR e PCI, é um documento de autoridade.

    Por exemplo, os Padrões de segurança de dados do setor de cartão de pagamento (PCI DSS) são um padrão de segurança da informação e um documento de autoridade que tem como objetivo reduzir fraudes com cartão de pagamento. Ele fornece um conjunto de padrões de segurança para todas as organizações que aceitam pagamentos com cartão de crédito. Os provedores de serviços financeiros devem estar em conformidade com os padrões PCI para evitar fraudes e proteger os dados do titular do cartão e garantir que seus serviços de negócios sejam seguros e jurídicos.

    Citação
    Uma citação é uma passagem ou uma expressão de um documento de autoridade (por exemplo, Estrutura de conformidade unificada (UCF)) que sua empresa deve cumprir especificamente. É um requisito individual em um documento de autoridade. Por exemplo, criptografar a transmissão de dados do titular do cartão em redes públicas é um dos requisitos do PCI DSS para impedir o roubo de informações financeiras pessoais do consumidor por meio de transações com cartão de pagamento.

    As citações podem ser criadas manualmente ou importadas via UCF.

    Tipo de entidade
    O tipo de entidade é um agrupamento das entidades que correspondem a um conjunto de condições de filtro. Você pode gerar entidades automaticamente com base em uma consulta condicionada a qualquer tabela em sua instância. Por exemplo, considere um cliente titular de uma conta em um banco como um tipo de entidade. O cliente tem atributos como Nome, ID do cliente, Tipo de conta, Fonte de renda e outros, que são armazenados em uma tabela de informações do cliente, que pode ser consultada com base em qualquer um dos atributos.
    Entidade
    Uma entidade pode ser pessoas, departamentos, aplicações, objetos, servidores, equipamentos de rede externa, locais diferentes, servidores de dados, data warehouse - essencialmente qualquer coisa para a qual você fará um teste de controle e que seja de política e conformidade por natureza. Por exemplo, uma pessoa que possui uma conta em um banco com um nome e informações financeiras relacionadas.

    As entidades são geradas automaticamente quando um tipo de entidade é criado.

    Política
    Depois que os documentos de autoridade são identificados, as empresas desenvolvem políticas que especificam como a unidade de negócios deve estar em conformidade com os documentos de autoridade. Em um alto nível, as declarações de política definem o que a empresa deve ou não fazer. Por exemplo, uma organização pode definir uma política de proteção de dados que define os requisitos para proteger informações confidenciais do cliente. Políticas são documentos internos de uma organização e podem ser como uma política de firewall, política de rede, política de uso aceitável, segurança da informação, segurança de redes, proteção ambiental e outros. Eles são uma agregação de diferentes controles e objetivos de controle que lidam com um aspecto específico do negócio.
    Confirmação de política
    O módulo de confirmação de política permite que os proprietários de política ou as equipes de conformidade enviem políticas para revisão e confirmação pelos funcionários para atender aos requisitos de conformidade.
    Exceção da política
    Isso permite que você tenha uma exceção em uma política. Por algum motivo, se você não puder cumprir uma política ou um controle, poderá registrar uma exceção.

    O módulo Exceção de política documenta qualquer situação em que a organização não consiga seguir o controle documentado. A exceção de política tem seu próprio ciclo de vida e aprovações.

    Objetivo do controle
    Os objetivos de controle são objetivos específicos que os controles devem alcançar. Por exemplo, para garantir a política de proteção de dados, a empresa pode criar e manter uma rede segura. Para uma política de uso aceitável, pode haver um objetivo de controle para ter um proxy para manter o controle sobre os sites que os usuários estão visitando. Para uma política de rede, pode haver um objetivo de controle para ter senhas fortes.

    É por meio dos objetivos de controle que os documentos de autoridade e as políticas podem ser vinculados para facilitar a conformidade. Um objetivo de controle pode impor vários requisitos internos e externos. As citações também podem ser associadas a um ou mais objetivos de controle. Também é no nível de objetivo de controle que os controles e as políticas estão vinculados entre si. Como alternativa, você pode observar um Objetivo de controle e ver os mapeamentos de volta para Documentos de autoridade e Políticas que mostram por que você executa as ações indicadas nos objetivos.

    O módulo de objetivos de controle é o hub principal da aplicação Policy and Compliance Management. Enquanto os documentos de autoridade definem os objetivos regulatórios e as políticas documentam o que a organização deve ou não fazer, os objetivos de controle definem exatamente como aderir a essas políticas e documentos de autoridade.

    Controle
    Um controle é uma implementação específica de um objetivo de controle. Por exemplo, para uma política de proteção de dados, a empresa pode garantir que os dados sejam copiados regularmente ou configurar um sistema de backup automatizado.

    Os controles são gerados automaticamente quando você associa uma política a um tipo de entidade ou um tipo de entidade a um objetivo de controle em que um controle é criado para cada entidade listada no tipo de entidade para o objetivo de controle. No entanto, os controles também podem ser criados manualmente. Os controles são testados para ver se são bem-sucedidos em atingir o objetivo de controle pretendido.

    Teste de controle
    Um controle é colocado em teste para garantir que ele seja eficaz em alcançar o objetivo do controle. Por exemplo, um teste de invasão garante a implementação apropriada da criptografia de dados.
    Indicador
    Um indicador permite que você faça um teste nos controles, e os testes podem ser programados diariamente, semanalmente, mensalmente ou trimestralmente. Uma tarefa de indicador é criada e enviada ao usuário para verificar se o controle está em conformidade, e o indicador pode ser marcado como Aprovado ou Reprovado. Se a tarefa falhar, o controle não será compatível e um problema será criado. Se o indicador for aprovado no teste, o controle estará em conformidade até o próximo teste programado.

    Os modelos de indicador permitem a criação de vários indicadores para controles semelhantes. O modelo de Indicador define os parâmetros dos Indicadores e é mapeado para a Declaração de Risco ou o objetivo de Controle de acordo com o Tipo de Indicador que ele monitora.

    Uma tarefa é criada sempre que o indicador é executado para coletar o resultado do indicador. Uma tarefa de indicador é criada de acordo com uma programação para garantir o monitoramento de acordo com uma frequência predefinida no formulário do indicador.

    Certificação
    Uma certificação avalia o controle para monitorar continuamente sua conformidade. Ao contrário de um indicador, a certificação é principalmente ad hoc e pode não ser programada.
    Problema
    Se uma lacuna for identificada ao testar um controle, essa lacuna será denominada como um problema. Os problemas podem incluir observações operacionais de auditorias, violações de conformidade regulatória, violações de segurança ou outros resultados negativos. Ou, quando um teste de controle falha e não está em conformidade, um problema é criado. Os problemas podem ser compartilhados entre as aplicações Policy and Compliance Management, Gestão de riscose Audit Management GRC. Você pode medir a eficácia do programa de gestão de riscos da sua empresa pela rapidez e precisão com que ele identifica e reage a problemas de risco e conformidade.
    Tarefa de correção
    Depois que um problema é confirmado, a organização identifica as etapas necessárias para corrigir o problema. Para reduzir um risco, você pode criar uma tarefa de correção para rastrear o trabalho de correção. Se uma triagem foi realizada, o problema de triagem será convertido em um problema real ou evento de risco. Você também pode rastrear o problema como uma recomendação ou fechá-lo como um não problema.