Avaliação de controle com base no modelo de certificação GRC

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 4 min. de leitura

    • Você pode selecionar a opção para certificar controles usando um método de avaliação. Esta avaliação é um método alternativo à avaliação clássica que se baseia no método Now Platform de avaliação.

    Pré-requisitos para habilitar a avaliação inteligente

    A propriedade do sistema Enable smart assessments on control deve ser definida como verdadeira se você quiser avaliar os controles usando o método de avaliação baseado no modelo de certificação GRC. Para obter mais informações sobre a propriedade do sistema, consulte Habilitar avaliações inteligentes no controle.

    O sistema base envia o modelo de avaliação inteligente de GRC para os usuários quando o plug-in GRC: Policy and Compliance Management (sn_compliance) está instalado. No entanto, as seguintes aplicações com escopo são necessárias:
    1. Núcleo de avaliação inteligente (sn_smart_asmt)
    2. Ferramentas de migração de avaliação inteligente (sn_int_asmt_mig)
    3. Avaliação inteligente conectada (sn_int_assessment_connected)
    4. Designer de avaliação inteligente (sn-int-assessment-builder)

    Limitações de controle de acesso para funções de usuário de avaliação inteligente

    sn_grc.business_user e sn_grc.business_user_lite
    Como usuários conectados, eles podem responder a certificações em Minhas certificações na página Tarefa de Espaço de conformidade, Portal de risco e Central do funcionário.
    sn_compliance_ws.corporate_compliance_manager e sn_compliance_ws.it_compliance_manager
    Pode exibir e editar os modelos.
    sn_compliance.attestation_creator
    Pode criar categoria de modelo e migração de modelo.
    sn_compliance.user
    Pode ler todas as avaliações relacionadas à categoria de controle.

    Categoria do modelo de avaliação e tabelas de migração

    Categorias do modelo de avaliação [sn_int_asmt_template_category]
    O campo Função de categoria tem a configuração da função mínima de leitor necessária para ler o modelo desta categoria. A função deve conter a função sn_smart_asmt.template_reader.
    Migrações do modelo de avaliação [sn_int_asmt_mig_template_migration]
    Usado para migrar o tipo de métrica de origem existente e a categoria de modelo para o novo formato de modelo de avaliação.

    Impacto do método de certificação no objetivo de controle e na geração de controle

    Quando a propriedade do sistema Enable smart assessments on control é definida como verdadeira e o registro do objetivo de controle tem o valor Certificação no campo Método de certificação, todos os controles gerados para este registro de objetivo de controle após a certificação têm os valores padronizados do objetivo de controle. O valor padrão do campo Método de certificação é Certificação.

    • Se o objetivo de controle estiver associado ao controle, o controle gerado herdará os valores do método de certificação e do campo de certificação.
    • Se um controle for criado a partir de um objetivo de controle, o método de certificação e os campos de certificação serão preenchidos previamente, se o objetivo de controle tiver valores nesses campos.
      Nota:
      Os controles serão criados automaticamente se a opção Criar controles automaticamente estiver habilitada para o objetivo de controle.

      O campo Método de certificação é somente leitura. No entanto, você pode editar o campo Certificação e selecionar um modelo diferente para certificação. Todas as mudanças feitas no objetivo de controle são atualizadas automaticamente nos controles associados.

    • Depois que o controle é salvo e certificado, a lista relacionada de Certificações aparece no registro de Controle. Esta lista relacionada exibe todas as instâncias de avaliação que estão nos estados Aberto e Concluído.

      Se o método de avaliação for alterado de Certificação clássica para Certificação no registro do objetivo de controle, as mudanças serão refletidas em todos os registros de controle gerados para o objetivo de controle. Até que o controle seja movido para o estado Certificar, os valores do método de certificação e do campo de certificação podem ser atualizados.

    • Se o controle foi gerado anteriormente optando pelo método de certificação clássica, a lista relacionada de certificação clássica terá os detalhes de todas as certificações concluídas.
    • Se o controle for movido para o estado Rascunho selecionando o botão Retornar ao Rascunho, todas as avaliações que estavam ativas serão canceladas. Da mesma forma, se o controle for desativado, todas as avaliações relacionadas também serão canceladas.
    • Se o controle estiver marcado como Isento devido a uma exceção à política, todas as avaliações associadas serão canceladas. No entanto, se a opção Isentar estiver desmarcada para o controle e se o controle estiver no estado Certificar, as avaliações serão acionadas novamente. E todos os campos na seção Certificação do controle se tornam somente leitura.
    • Se uma política estiver associada ao objetivo de controle e a política for publicada, todos os campos do formulário de objetivo de controle se tornarão somente leitura.
    • Quando o controle passa para o estado Certificar, as avaliações são acionadas. Uma notificação por e-mail é enviada ao proprietário do controle e aos entrevistados da certificação do controle, com a linha de assunto fazendo referência ao novo nome da certificação do número de controle e à data de vencimento em que a certificação deve ser concluída.
    • Se uma certificação falhar para um dos controles gerados a partir de um objetivo de controle, o controle se tornará fora de conformidade e um problema será criado. Ou, se o controle tiver um problema que já existe, o campo Origem do problema será atualizado. Se o controle for movido para o estado Certificar e se a certificação for aprovada, os problemas existentes serão encerrados e o controle se tornará compatível.