コントロール目標とポリシーを管理
ポリシーおよび手順モジュールには、ポリシー承認、ポリシー、およびコントロール目標に関連する概要と詳細情報が含まれています。
ポリシーおよび手順の概要
ポリシーと手順の概要は、ポリシーと手順モジュールに含まれており、コンプライアンス要件、全体的なコンプライアンス、およびコンプライアンスのブレークダウンに関するエグゼクティブビューを提供するため、問題のある領域をすばやく特定できます。コンプライアンスアドミニストレーターおよびコンプライアンスマネージャーのロールを持つユーザーは、[ポリシーと手順の概要] を表示します。| 名前 | ビジュアル | 説明 |
|---|---|---|
| コントロールコンプライアンス | ドーナツグラフ |
システム内のすべてのコントロールの全体的なコンプライアンスを表示します。 |
| コントロールの詳細 | ドーナツグラフ |
オーナー、カテゴリ、またはタイプ別にグループ化されたコントロールのブレークダウンを表示します。 |
| コントロールの概要 | 縦棒グラフ |
各ポリシーに関連するコントロールの総数を表示します。グラフは積み重ねられて、各ポリシーの全体的なコントロールコンプライアンスステータスを表示します。 |
| ポリシー別のコントロール問題 (オープン日) | 線グラフ |
毎週オープンされたコントロールの問題の数をポリシー別にグループ化して表示します。 |
| ポリシー例外 | リスト | 受け入れの応答値でクローズされた (問題が修正されなかったことを意味する) コントロールの問題のリストを表示します。 |
| ポリシー別の合計コントロール目標 | 棒グラフ | 各ポリシーのコントロール目標の総数を表示します。グラフは、タイプ別にコントロール目標を表示するために積み重ねられます。 |
ポリシー承認プロセス
ポリシーは、コンプライアンスを確保し、リスクへのエクスポージャーを減らす厳格な承認プロセスの一部です。ポリシーは、公開されると、承認プロセスに自動的に組み込まれます。コンプライアンスマネージャーは、ポリシーの有効期間を設定し、チームがポリシーを頻繁にレビューしてその有効性を確認できるようにします。ポリシーには、ポリシー、手順、標準、計画、チェックリスト、フレームワーク、テンプレートなどのタイプがあります。
| 状況 | 説明 |
|---|---|
| ドラフト | すべてのポリシーは [ドラフト] ステータスで開始されます。このステージでは、すべてのコンプライアンスユーザーがポリシーとコントロール目標を変更できます。 |
| レビュー | オーナー、所有グループ、およびレビュー担当者がポリシーとコントロール目標を変更し、次のステータスに送信できます。 |
| 承認待ち | このステータスでは、ポリシーは読み取り専用です。承認済みポリシーは [公開] ステータスに移行します。未承認のポリシーは [レビュー] に戻ります。ポリシーフォームで承認者が特定されていない場合、ステータスはスキップされ、ポリシーは承認なしで公開されます。 |
| 公開 | 承認されたポリシーは、テンプレートで定義された KB 記事に自動的に公開され、ポリシーは読み取り専用ステータスのままになります。ポリシーフォームの [有効期限] フィールドで、ポリシーの有効期間を定義します。 注:
ポリシーが公開された後、ポリシーの有効期限終了日に達すると、Number of days after reaching a policy "Valid to" date in which the expired policy will automatically move from its Published state back to a Draft/Review state プロパティの値に基づいて、ポリシーはドラフト/レビュー状況に戻ります。たとえば、プロパティの値が 10 の場合、ポリシーは有効期限の 10 日後にレビュー状況に戻ります。 ポリシーが [ レビュー ] ステータスの最後に達し、公開が 承認 されると、そのポリシーは GRC ナレッジベース (次で定義) に自動的に公開されます . ポリシーフォームの [記事テンプレート] フィールドで、公開されるポリシーのスタイルを定義します。 |
| 廃止 | ポリシーが [廃止] ステータスになると、関連する KB 記事が削除されます。 |
ポリシー
コンプライアンスマネージャーは、一連のビジネスプロセス、手順、または標準を定義する内部ポリシーをカタログ化して公開します。
コントロール目標
コンプライアンスマネージャーは、コントロール目標をカタログ化し、それらのコントロール目標からコントロールを生成します。
注:
UCF では、コントロール目標をコントロールとして参照します。UCF データをインポートすると、コントロールがコントロール目標テーブルにインポートされます。