Execute o questionário de hierarquização de CRI para determinar o valor de camada da entidade

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 4 min. de leitura

    • Execute o questionário de hierarquização de CRI em uma entidade para determinar seu nível. Os controles de avaliação associados ao nível serão criados ou atualizados. Com base na resposta ao questionário de CRI do avaliador, o status de conformidade de cada controle mapeado para uma pergunta é determinado e a pontuação de conformidade geral da entidade é calculada.

    Antes de Iniciar

    Função necessária: sn_compliance_ws.corporate_compliance_analyst, sn_compliance_ws.corporate_compliance_manager, sn_compliance_ws.it_compliance_manager

    Por Que e Quando Desempenhar Esta Tarefa

    O Cyber Risk Institute (CRI) se concentra na colaboração com clientes e reguladores do setor financeiro e simplifica os padrões na gestão de conformidade em organizações financeiras. Para reduzir os riscos, o CRI criou um perfil como Perfil de CRI que se baseia no conteúdo do NIST CSF v2.0.

    O conteúdo é baseado nas funções do NIST CSF v2.0, como identificar, proteger, detectar, responder, recuperar e controlar, que são chamadas como declarações de diagnóstico. Essas declarações são mapeadas para várias citações provenientes dos padrões do setor e generalizadas em objetivos de controle comuns. Quando as instituições financeiras cumprem essas declarações de diagnóstico, elas cumprem automaticamente todos os regulamentos e padrões impostos pelo setor financeiro.

    ServiceNow sistema base fornece este conteúdo de perfil de CRI para os clientes e eles são:
    A avaliação do CRI é feita em duas etapas:
    Questionário de categorização de CRI
    Com o CRI, você pode hierarquizar sua organização com um conjunto prescritivo de perguntas que você faz para avaliar sua empresa. Com base nas respostas à avaliação, um valor de camada é atribuído à sua empresa.
    Avaliação de perfil de CRI
    Depois que o questionário de hierarquização de CRI for concluído e com base no estado de camada da sua empresa, você deverá concluir a segunda etapa, que é a avaliação de perfil de CRI, que determina o status de conformidade dos controles e a pontuação de conformidade geral da sua empresa.

    Procedimento

    1. Navegar até Tudo > Políticas e conformidade > Espaço de conformidade.
    2. Selecione o ícone de listas ( Ícone de lista.).
    3. Na biblioteca de Conformidade da lista Documentos de autoridade no painel esquerdo, selecione um documento de autoridade com base no Perfil de CRI v2.0.
    4. Selecione a lista relacionada Citações para exibir as citações associadas ao documento de autoridade e selecione uma citação.
      Cada uma dessas citações tem um objetivo de controle associado a ela.
    5. Na página de visão geral do registro de citação, selecione a lista relacionada Objetivo de controle.
    6. Selecione um registro de objetivo de controle e clique na lista relacionada Citações para ver as citações relacionadas que são do Perfil do CSF v2.0 e do FFIEC.
      Você saberá como os registros são mapeados para o conteúdo do perfil de CSF v2.0. Você também tem o conteúdo para FFIEC CAT e NIST CSF v2.0 na biblioteca de Conformidade – Documentos de autoridade. Com esse conteúdo disponível, você pode executar o questionário de hierarquização para sua empresa ou subsidiária.
    7. Na página Listas, selecione Todas as entidades e clique em um registro de entidade.
    8. Selecione a lista relacionada Detalhes do registro da entidade e clique no campo Classe.
      Selecione qualquer classe de entidade em que a opção É CRI esteja habilitada para Perfil de risco de segurança cibernética (CRI). Este sinalizador determina se esta classe é aplicável para avaliação de perfil de CRI. Qualquer entidade relacionada a esta classe tem direito a ser avaliada para o questionário de hierarquização do CRI.
    9. Feche o registro e selecione a lista relacionada Detalhes da entidade.
    10. Insira os detalhes do nível na lista relacionada Perfil de risco de segurança cibernética (CRI).
      Para obter mais informações, consulte
    11. Selecione o ícone Mais ações. ícone e clique na opção Iniciar questionário de hierarquização de CRI.
    12. Insira uma mensagem no campo Mensagem e selecione o botão Iniciar questionário de hierarquização no pop-up de questionário de hierarquização do CRI.
      Depois de iniciar o questionário de hierarquização, a lista relacionada ao questionário de hierarquização do CRI aparece no registro da Entidade.
    13. Selecione a lista relacionada ao questionário de hierarquização do CRI e clique no link da instância de avaliação.
      Você também pode responder à avaliação na lista Avaliações de nível da lista relacionada Minhas tarefas pendentes na página Tarefas e no Portal do funcionário. Revise as instruções de avaliação de hierarquização e responda às perguntas. Com base na sua resposta a cada pergunta, o nível de camada da entidade é determinado.

      Para responder a uma certificação, consulte Responder às certificações da página Tarefas do Espaço de conformidade e Como responder a avaliações.

    14. Depois de enviar sua avaliação, abra o registro da entidade para exibir o valor do nível no campo Camada da seção Perfil de risco de segurança cibernética (CRI).
      Além disso, com base no valor de camada, você também pode saber o número de controles gerados com base nos objetivos de controle provenientes do perfil de camada.
    15. Para exibir os controles mapeados para o valor de camada, selecione a lista relacionada Controles descendentes.
      Depois que o nível é determinado com base no questionário de hierarquização, agora você pode executar a avaliação de perfil de CRI.