Visão geral estrutural de Gestão de políticas e conformidade

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 7 min. de leitura

    • A visão geral estrutural de Gestão de políticas e conformidade permite que você entenda como os diferentes módulos que compõem a aplicação [ Gestão de políticas e conformidade de ServiceNow se integram e interagem entre si.

    Figura 1. Visão geral estrutural dos módulos em Política e conformidade
    Infográfico para o fluxo do processo estrutural dos módulos em Política e conformidade. Para obter a descrição de texto, consulte as etapas no fluxo do processo.
    Documento de autoridade
    Gestão de políticas e conformidade A aplicação começa identificando documentos de autoridade. Esses documentos são regulamentações externas que incluem leis, regulamentos e padrões com os quais sua organização precisa estar em conformidade, que dependem do tipo de negócio que sua organização faz e de sua localização. Os requisitos regulatórios geralmente são publicados por agências reguladoras que fornecem requisitos descritos por lei ou por um determinado setor. Esses requisitos podem vir de regulamentações federais ou estaduais, como Health Insurance Portability and Accountability Act (HIPAA), regulamentos internacionais, como Regulamento Geral de Proteção de Dados (GDPR) ou regulamentos do setor, como PCI (Payment Card Industry). Cada um desses documentos, como HIPAA, GDPR e PCI, é um documento de autoridade.

    Por exemplo, os Padrões de segurança de dados do setor de cartões de pagamento (PCI DSS) são um padrão de segurança da informação e um documento de autoridade que tem como objetivo reduzir a fraude com cartões de pagamento. Ele fornece um conjunto de padrões de segurança para todas as organizações que aceitam pagamentos com cartão de crédito. Os provedores de serviços financeiros devem cumprir os padrões PCI para evitar fraudes e proteger os dados do titular do cartão e garantir que seus serviços de negócio sejam seguros e legais.

    Citação
    Uma citação é uma passagem ou uma expressão de um documento de autoridade (por exemplo, Unified Compliance Framework (UCF)) que sua empresa deve cumprir especificamente. É um requisito individual em um documento de autoridade. Por exemplo, criptografar a transmissão de dados do titular do cartão em redes públicas é um dos requisitos do PCI DSS para impedir o roubo de informações financeiras pessoais do consumidor por meio de transações com cartão de pagamento.

    As citações podem ser criadas manualmente ou importadas via UCF.

    Tipo de entidade
    O tipo de entidade é um agrupamento de entidades que correspondem a um conjunto de condições de filtro. Você pode gerar entidades automaticamente com base em uma consulta condicionada para qualquer tabela em sua instância. Por exemplo, considere um cliente que possui uma conta em um banco como um tipo de entidade. O cliente tem atributos como Nome, ID de cliente, Tipo de conta, Fonte de renda e outros, que são armazenados em uma tabela de informações do cliente, que pode ser consultada com base em qualquer um dos atributos.
    Entidade
    Uma entidade pode ser pessoas, departamentos, aplicações, objetos, servidores, equipamentos de rede externos, diferentes locais, servidores de dados, data warehouse - essencialmente qualquer coisa em que você fará um teste de controle e que seja de política e conformidade por natureza. Por exemplo, uma pessoa que possui uma conta em um banco com um nome e informações financeiras relacionadas.

    As entidades são geradas automaticamente quando um tipo de entidade é criado.

    Política
    Depois que os documentos de autoridade são identificados, as empresas desenvolvem políticas que especificam como a unidade de negócios cumpriria os documentos de autoridade. Em um alto nível, as declarações de política definem o que a empresa deve ou não fazer. Por exemplo, uma organização pode definir uma política de proteção de dados que define os requisitos para proteger informações confidenciais do cliente. Políticas são documentos internos de uma organização e podem ser como uma política de firewall, política de rede, política de uso aceitável, segurança da informação, segurança de redes, proteção ambiental e outros. Eles são uma agregação de diferentes controles e objetivos de controle que lidam com um aspecto específico do negócio.
    Confirmação de política
    O módulo de confirmação de política permite que os responsáveis pela política ou as equipes de conformidade enviem políticas para revisão e confirmação pelos funcionários para atender aos requisitos de conformidade.
    Exceção à política
    Isso permite que você tenha uma exceção em uma política. Por algum motivo, se você não puder cumprir uma política ou um controle, poderá registrar uma exceção.

    O módulo Exceção à política documenta qualquer situação em que a organização não consiga seguir o controle documentado. A exceção à política tem seu próprio ciclo de vida e aprovações.

    Objetivo do controle
    Os objetivos de controle são metas específicas que os controles devem alcançar. Por exemplo, para garantir a política de proteção de dados, a empresa pode criar e manter uma rede segura. Para uma política de uso aceitável, pode haver um objetivo de controle para ter um proxy para manter o controle sobre os sites que os usuários estão visitando. Para uma política de rede, pode haver um objetivo de controle para ter senhas fortes.

    É por meio dos objetivos de controle que os documentos e políticas de autoridade podem ser vinculados para aliviar o peso da conformidade - um objetivo de controle pode impor vários requisitos internos e externos. As citações também podem ser associadas a um ou mais objetivos de controle. Também é no nível do objetivo de controle que os controles e as políticas estão vinculados entre si. Como alternativa, você pode olhar para um objetivo de controle e ver os mapeamentos de volta para documentos e políticas de autoridade que mostram por que você executa as ações indicadas nos objetivos.

    O módulo de objetivos de controle é o hub principal da aplicação Gestão de políticas e conformidade. Enquanto os documentos de autoridade determinam os objetivos regulatórios do estado e as políticas documentam o que a organização deve ou não fazer, os objetivos de controle definem exatamente como aderir a essas políticas e documentos de autoridade.

    Controle
    Um controle é uma implementação específica de um objetivo de controle. Por exemplo, para uma política de proteção de dados, a empresa pode garantir que os dados sejam copiados regularmente ou configurar um sistema de backup automatizado.

    Os controles são gerados automaticamente quando você associa uma política a um tipo de entidade ou um tipo de entidade a um objetivo de controle em que um controle é criado para cada entidade listada no tipo de entidade do objetivo de controle. No entanto, os controles também podem ser criados manualmente. Os controles são testados para ver se são bem-sucedidos em atingir o objetivo de controle pretendido.

    Teste de controle
    Um controle é colocado em teste para garantir que ele seja eficaz em alcançar o objetivo de controle. Por exemplo, um teste de invasão garante a implementação apropriada da criptografia de dados.
    Indicador
    Um indicador permite que você faça um teste nos controles, e os testes podem ser programados diariamente, semanalmente, mensalmente ou trimestralmente. Uma tarefa de indicador é criada e enviada ao usuário para verificar se o controle está em conformidade, e o indicador pode ser marcado como Aprovado ou Reprovado. Se a tarefa falhar, o controle não estará em conformidade e um problema será criado. Se o indicador passar no teste, o controle estará em conformidade até o próximo teste programado.

    Os modelos de indicador permitem a criação de vários indicadores para controles semelhantes. O modelo de indicador define os parâmetros dos indicadores e é mapeado para a declaração de risco ou o objetivo de controle de acordo com o tipo de indicador que ele monitora.

    Uma tarefa é criada sempre que o indicador é executado para coletar o resultado do indicador. Uma tarefa de indicador é criada de acordo com uma programação para garantir o monitoramento de acordo com uma frequência predefinida no formulário do indicador.

    Certificação
    Uma certificação avalia o controle para monitorar continuamente sua conformidade. Ao contrário de um indicador, a certificação é principalmente ad hoc e pode não ser programada.
    Problema
    Se uma lacuna for identificada ao testar um controle, essa lacuna será denominada como um problema. Os problemas podem incluir observações operacionais de auditorias, violações de conformidade regulatória, violações de segurança ou outros resultados negativos. Ou, quando um teste de controle falha e não está em conformidade, um problema é criado. Os problemas podem ser compartilhados entre as aplicações Gestão de políticas e conformidade, Gestão de riscose Gestão de auditorias GRC. Você pode medir a eficácia do programa de gestão de riscos da sua empresa pela rapidez e precisão com que ele identifica e reage a problemas de risco e conformidade.
    Tarefa de correção
    Depois que um problema é confirmado, a organização identifica as etapas necessárias para corrigir o problema. Para reduzir um risco, você pode criar uma tarefa de correção para rastrear o trabalho de correção. Se uma triagem tiver sido realizada, o problema de triagem será convertido em um problema real ou evento de risco. Você também pode rastrear o problema como uma recomendação ou fechá-lo como um não problema.