Mit Richtlinien- und Compliance-Management installierte Komponenten

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 10 Minuten Lesedauer

    • Referenzthemen enthalten zusätzliche Informationen zu Komponenten, die mit der Aktivierung des Plugins Richtlinien- und Compliance-Management installiert werden. Zu diesen Komponenten gehören Tabellen, Anwenderrollen und Eigenschaften.

    Hinweis:
    In der Tabelle „Anwendungsdateien“ sind die mit dieser Anwendung installierten Komponenten aufgeführt. Anweisungen für den Zugriff auf diese Tabelle finden Sie unter Komponenten finden, die mit dieser Anwendung installiert wurden.

    Für diese Funktion sind Demodaten verfügbar.

    Mit GRC: Richtlinien- und Compliance-Management installierte Rollen

    Mit der Aktivierung von GRCwerden Rollen hinzugefügt: Richtlinien- und Compliance-Management:.

    Tabelle : 1. Installierte Rollen
    Rollentitel [Name] Beschreibung Enthält Rollen
    Compliance-Administrator

    [sn_compliance.admin]

    		 Enthält die Rollen -Leser, Anwender, Manager und Administrator in sn_grc-Bereichen sowie die Rollen -Leser, Anwender und Manager in der Anwendung Richtlinien- und Compliance-Management. Zusätzlich zu den geerbten Berechtigungen kann der Compliance-Administrator regulatorische Dokumente, Zitate, Richtlinien, Kontrollziele und Steuerungen löschen.
    • sn_compliance.manager
    • sn_grc.admin
    Nachweisersteller

    sn_compliance.attestation_creator

    		 Rolle, die zum Erstellen des Nachweismetriktyps GRC sowie von Ausnahmefragebögen verwendet wird. assessment_admin
    Compliance-Entwickler

    sn_compliance.developer

    		 Enthält die Rollen „Leser“, „Benutzer“, „Manager“, „Administrator“ und „Entwickler“ in sn_grc-Bereichen sowie die Rollen „Leser“, „Benutzer“, „Manager“ und „Administrator“ in der Anwendung Richtlinien- und Compliance-Management. Zusätzlich zu den geerbten Berechtigungen kann der Compliance-Entwickler Artikelvorlagen erstellen und Skripts bearbeiten.
    • sn_compliance.admin
    • sn_grc.developer
    Compliance-Manager

    [sn_compliance.manager]

    		 Enthält die Rollen „Leser“, „Benutzer“ und „Manager“ in sn_grc-Bereichen sowie die Rollen „Leser“ und „Benutzer“ in der Anwendung Richtlinien- und Compliance-Management. Zusätzlich zu den geerbten Berechtigungen kann der Compliance-Manager regulatorische Dokumente, Zitate, Kontrollziele und Steuerungen erstellen.
    • sn_compliance.user
    • sn_grc.manager
    • sn_vdr_risk_asmt.vendor_assessment_reviewer
    Complianceleser

    [sn_compliance.reader]

    		 Enthält die Leserrolle in sn_grc-Bereichen. Zusätzlich zu den geerbten Berechtigungen können dem Compliance-Leser Indikatorenvorlagen, Indikatoren und Probleme zugewiesen werden.
    • sn_grc.reader
    • survey_reader
    Compliancebenutzer

    [sn_compliance.user]

    		 Enthält die Leser- und Anwenderrollen in sn_grc-Bereichen sowie die Leserrolle in der Anwendung Richtlinien- und Compliance-Management. Zusätzlich zu den geerbten Berechtigungen können dem Compliance-Benutzer Steuerungen zugewiesen werden und er Richtlinien erstellen. Außerdem verfügt er über Lesezugriff auf die Anwendung Risikomanagement und ihre Module. Der Compliance-Benutzer kann auch Kontrollziele erstellen.
    • sn_compliance.reader
    • sn_grc.user
    • sn_risk.reader
    • survey_reader
    • vendor_reader
    Compliance-Analyst für Unternehmen [sn_compliance_ws.corporate_compliance_analyst] Enthält die Rollen leser und Anwender in sn_grc-Bereichen sowie die Rolle leser in Compliance Workspace.
    • sn_compliance.user
    • sn_audit.user
    Compliance-Manager des Unternehmens [sn_compliance_ws.corporate_compliance_manager] Enthält die Rollen Leser, Benutzer und Manager in sn_grc-Bereichen sowie die Rollen Leser und Benutzer in Compliance Workspace.
    • sn_compliance.manager
    • sn_compliance_ws.corporate_compliance_analyst
    • sn_audit.manager
    IT-Compliance-Manager [sn_compliance_ws.it_compliance_manager] Enthält die Rollen Leser, Benutzer und Manager in sn_grc-Bereichen sowie die Rollen Leser und Benutzer in Compliance Workspace.
    • sn_compliance.manager
    • sn_audit.manager

    Mit Richtlinien- und Compliance-Management installierte Tabellen

    Tabellen werden bei der Aktivierung von GRC: Richtlinien- und Compliance-Managementhinzugefügt.

    Tabelle : 2. Installierte Tabellen
    Tabelle Beschreibung
    Regulatorisches Dokument

    sn_compliance_authority_document

    		 Erweitert die Dokumenttabelle [sn_grc_document] und speichert alle regulatorischen Dokumente.
    Kontrolle

    sn_compliance_control

    		 Erweitert die Tabelle „Element“ [sn_grc_item] und speichert alle Steuerelemente.
    Richtlinie

    sn_compliance_policy

    		 Erweitert die Tabelle „Dokument“ [sn_grc_document] und speichert alle Richtlinien.
    Artikelvorlage

    [sn_compliance_article_template]

    		 Wird verwendet, um den in einem Richtliniendatensatz enthaltenen Richtlinientext zu formatieren, wenn die Richtlinie in der Knowledge Base (KB) veröffentlicht wird.
    Autorisierender Quelleninhalt

    sn_compliance_citation

    		 Erweitert die Tabelle „Inhalt“ [sn_grc_content] und speichert alle Zitate.
    Zuordnung der Risikobewertung für Richtlinienausnahmen [sn_compliance_policy_exception_risk_rating_mapping] Speichert die Zuordnungsdetails der Risikobewertungsbewertung mit der Risikobewertung für Richtlinienausnahmen.
    Richtlinie für Entitätstyp

    [sn_compliance_m2m_policy_profile_type]

    		 Erweitert Dokument um Entitätstyp [sn_grc_m2m_document_profile_type] und ist eine Viele-zu-Viele-Beziehungstabelle, die zum Verwalten der Beziehungen zwischen Richtlinien und Entitätstypen verwendet wird.
    Kontrollziel für Zitat

    [sn_compliance_m2m_statement_citation]

    		 Viele-zu-viele-Beziehungstabelle, die zum Verwalten von Beziehungen zwischen Kontrollzielen und den zugehörigen Zitaten verwendet wird.
    Kontrollziel für Entitätstyp

    [sn_compliance_m2m_statement_profile_type]

    		 Erweitert Inhalt auf Entitätstyp [sn_grc_m2m_content_profile_type] und ist eine Viele-zu-Viele-Beziehungstabelle, die zur Verwaltung der Beziehungen zwischen Kontrollzielen und Entitätstyp verwendet wird.
    Kontrollziel

    sn_compliance_policy_statement]

    		 Erweitert die Tabelle „Inhalt“ [sn_grc_content] und speichert alle Kontrollziele.
    Steuerungsziel-Anforderung

    [sn_compliance_policy_stmt_requirement]

    		 Speichert die Anforderungsnummer und die Anforderungsbeschreibung einer Steuerungszielanforderung.
    Steuerungsziel zu Steuerungsziel-Anforderung

    [sn_compliance_m2m_policy_stmt_policy_stmt_rqmt]

    		 Viele-zu-viele-Beziehungstabelle, die zum Verwalten von Beziehungen zwischen Steuerungsziel und Steuerungszielanforderung verwendet wird.
    Steuerungsanforderung

    sn_compliance_control_requirement

    		 Speichert die Anforderungsnummer der Kontrolle
    Steuerung zu Steuerungsanforderung

    [sn_compliance_m2m_control_control_requirement]

    		 Viele-zu-viele-Beziehungstabelle, in der die Details zu Steuerungs- und Steuerungsanforderungen gespeichert werden. Das Feld Implementierungsstatus enthält Informationen darüber, ob die Anforderung geerbt oder selbst implementiert ist.
    Anforderungsauswahl

    sn_compliance_hybrid_selection]

    		 Speichert die Auswahl der Steuerungsanforderungen. Sie enthält die Details zu Steuerungsanforderungen, Kontrollziel, Entität und Autorisierungspaket.
    Richtlinienausnahme

    [sn_compliance_policy_exception]

    		 Speichert alle Richtlinienausnahmen.
    Richtlinie für Richtlinienanweisung

    sn_compliance_m2m_policy_policy_statement]

    		 n:n-Beziehungstabelle, die zum Verwalten der Beziehungen zwischen Richtlinien- und Kontrollzielen verwendet wird.
    Steuerung zu Entität [sn_compliance_m2m_control_entity] Erweitert Element um Entitätstabelle [sn_grc_m2m_entity_item].
    Hinweis:
    Alle zusätzlichen Tabellen, die von den abhängigen Plugins installiert werden, werden auch für Richtlinien- und Compliance-Managementbenötigt.

    GRC-Business-Anwenderrolle zur Steuerung des Zugriffs auf Compliance-Tabellen

    Die Einschränkungen für die Zugriffssteuerung (ACLs) oder die Bedingungen für keine Rolle mit der Rolle „snc_internal“ (oder keiner Rolle) werden durch die Rolle „sn_grc.business_user“ ersetzt, um die Zugriffsebene verschiedener Benutzer auf Compliance-Tabellen zu steuern und ihre Nutzung nachzuverfolgen.

    Rolle GRC Business User (sn_grc.business_user).
    Die Rolle „GRC-Business-Anwender“ wird Anwendern gewährt, die beliebige GRC-Vorgänge ausführen können. Es wird auch Anwendern mit der Rolle „snc_internal“ gewährt, die alle Vorgänge wie das Erstellen von Richtlinienausnahmen, Problemen und das Reagieren auf Nachweise, Bestätigungen und andere Vorgänge ausgeführt haben. Diese Rolle ist im Lieferumfang des Plugins „GRC Profile“ enthalten.
    GRC Business User – Lite-Rolle (sn_grc.business_user_lite).
    Anwender, die mit der Rolle „snc_internal“ eingeschränkte Vorgänge ausführen können, werden als Lite-Operatoren betrachtet. Diese Benutzer erhalten die Rolle „GRC Business User Lite“ (sn_grc.business_user_lite), um die Nutzung von Compliance-Tabellen anhand der Rolle „GRC Business User Lite“ nachzuverfolgen. Diese Rolle wird über das Plugin für explizite Rollen (GRC: Business User Lite) gewährt, das von Anwendern mit Wartungszugriff oder von ServiceNow-Supportteams installiert werden kann.
    Weitere Informationen zu Installation, Upgrade und Rollenzuweisungen finden Sie im Artikel GRC Business User Role [KB0864247] (GRC-Business- Anwenderrolle) in der Knowledge Base Now Support.
    Hinweis:
    Sie müssen sich bei Now Support anmelden, um die Artikel anzuzeigen.

    Die Zugriffsbeschränkungen von Anwendern mit der Rolle „GRC-Business-Anwender“ und anderen Rollen für verschiedene Compliance-Tabellen und andere zugehörige Tabellen werden hier aufgelistet. Weitere Informationen finden Sie im Artikel „Security for GRC: Policy and Compliance Management“ (KB1112315) in der Knowledge Base Now Support.

    Kontrollziel
    • Benutzer mit der Rolle „GRC Business User “ oder „Business User Lite“ können alle Kontrollziele lesen.
    • Wenn die Anwendung GRC: Audit Management installiert ist und dem Kontrollziel eine veröffentlichte Richtlinie zugeordnet ist, können Benutzer mit der Rolle eines externen Auditors diese Kontrollziele lesen.
    • Benutzer mit Business User Lite haben Lesezugriff, um ein Problem oder eine Richtlinienausnahme zu melden.
    Richtlinie
    • Benutzer mit der Rolle „GRC Business User“ oder „Business User Lite“ können alle Richtlinien lesen.
    • Wenn die Anwendung GRC: Audit Management installiert ist, können Benutzer mit der Rolle „Externer Auditor“ alle veröffentlichten Richtlinien lesen.
    • Benutzer mit Business User Lite haben Lesezugriff auf Richtlinien, um Richtlinienausnahmen zu erstellen.
    Richtlinie für Kontrollziel M2M
    • Benutzer mit der Rolle „GRC Business User “ oder „Business User Lite“ können eine Richtlinie lesen, um den M2M-Datensatz des Ziels zu steuern.
    • Wenn die Anwendung GRC: Audit Management installiert ist, können Benutzer mit der Rolle eines externen Auditors eine Richtlinie lesen, um den M2M-Datensatz des Ziels zu steuern, wenn die Richtlinie veröffentlicht wird.
    Steuerung [sn_compliance_control]
    • Benutzer mit der Rolle GRC Business User oder Business User Lite können ein Steuerelement anzeigen.
    • Wenn die Anwendung GRC: Audit Management installiert ist, können Benutzer mit der Rolle „Externer Auditor“ ein Steuerelement lesen.
    Assessment-Instanz [asmt_assessment_instance]
    • Benutzer mit der Rolle GRC Business User und Business User Lite können Nachweise anzeigen, die ihnen zugewiesen sind.
    • ServiceNow -Benutzer mit der Rolle „GRC Business User“ oder „Business User Lite“ können Bewertungen durchführen.
    • Benutzer mit der Rolle GRC Business User oder Business User Lite können das Modul Meine gruppierten Nachweise anzeigen.
    • Benutzer mit der Rolle GRC Business User und Business User Lite können Gruppenbewertungs-UI-Aktionen anzeigen und Gruppenbewertungs-UI-Aktionen aufheben.
    • Benutzer mit der Rolle GRC Business User und Business User Lite können die Option Meine Nachweise im GRC-Anwendungsmenü anzeigen.
    Bewertungsmetriktyp [asmt_metric_type]
    Die Anwenderrolle wird auf „GRC Business User“ oder „Business User Lite“ festgelegt, wenn die Bewertung ein Nachweis ist, die Tabelle „Richtlinienausnahme“ lautet und die Rolle leer ist.
    Kontrollübersichtsbericht
    Benutzer mit der Rolle GRC-Leser können den Kontrollübersichtsbericht anzeigen.
    Problem [sn_grc_issue]
    Im Serviceportal Probleme melden und anzeigen
    Benutzer mit der Rolle GRC Business User oder Business User Lite können ein Problem melden und die gemeldeten Probleme in Serviceportalanzeigen. GRC Business User oder die Business User Lite-Rolle ist die Mindestrolle, die zum Anzeigen von „Meine Probleme“ in Serviceportalerforderlich ist.
    Lesen
    Benutzer mit den folgenden Rollen können ein Problem anzeigen:
    • Rolle GRC-Benutzer (sn_grc.user).
    • Rolle GRC Business User oder Business User Lite. Darüber hinaus muss der Benutzer eine der folgenden Bedingungen erfüllen:
      • Das Feld„Zugewiesen an“ im Problem ist der Benutzer.
      • „Zugewiesen an“ des übergeordneten Problems ist der Anwender, oder die Zuweisungsgruppe des übergeordneten Problems ist eine der Gruppen des Anwenders.
      • Zuweisungsgruppe ist eine der Gruppen des Anwenders. Darüber hinaus muss der Benutzer auch über die Rolle „GRC-Geschäftsbenutzer“ verfügen.
      • Der Problemmanager ist der Benutzer.
      • Die Problem-Managergruppe ist eine der Gruppen, die dem angemeldeten Benutzer angehören.
      • Die Kontrolle/das Risiko für das Problem hat einen Besitzer, und der Besitzer ist der Anwender.
      • Das Problem wurde vom angemeldeten Anwender erstellt.
      • Das Problem wird aus einer vom Anwender geöffneten Problemselektierung erstellt.
      • Angemeldeter Anwender ist der Beauftragte oder Beobachtungslistenanwender mit einer Korrekturaufgabe für das Problem.
      • Wenn GRC: Audit Management installiert ist, sind Sie nur ein externer Auditor. und ein Auditor in einer geschlossenen Interaktion, bei der Kontrolltest- oder andere Probleme aufgetreten sind, können nur diese Probleme anzeigen.
    Schreiben
    Wenn der Benutzer mit der Rolle „Geschäftsbenutzer“ auch der im Feld Zugewiesen an angegebene Benutzer ist, kann er Folgendes bearbeiten:
    • Name
    • Beschreibung
    • Problem-Manager
    • Problem-Manager-Gruppe
    • Aktionsplan
    • Status
    • Übergeordnetes Problem
    • Zusätzliche Anmerkungen
    • Arbeitsnotizen
    • Antwort
    • Erklärung
    Wenn der Benutzer mit der Rolle „business user lite“ auch der im Feld Zugewiesen an angegebene Benutzer ist, kann er Folgendes bearbeiten:
    • Problem-Manager
    • Problem-Manager-Gruppe
    • Status
    • Übergeordnetes Problem
    • Zusätzliche Anmerkungen
    • Arbeitsnotizen
    • Antwort
    • Erklärung
    Hinweis:
    Wenn Benutzer mit den Rollen Business User (Geschäftsbenutzer) und Business User Lite (Geschäftsbenutzer) ein Problem gemeldet haben, können sie dem Problem Kommentare hinzufügen. Ein Benutzer vom GRC Typ kann jedoch alle Probleme bearbeiten.
    Zeigen Sie Meine offenen Probleme an
    Benutzer mit der Mindestrolle eines GRC Business User oder Business User Lite können ihre offenen Probleme anzeigen.
    Problemgruppierung
    Die Problemgruppierung steht nur Benutzern mit der Rolle GRC-Anwender offen.
    Informationen senden
    Mindestens die Rolle „GRC Business User“ oder „Business User Lite“ ist erforderlich, um Informationen für das Problem zu senden.
    Problemquelle [sn_grc_issue_source]
    Zum Anzeigen und Bearbeiten der Problemquellentabelle ist mindestens die Rolle „GRC-Business-Anwender“ erforderlich.
    Korrekturaufgabe [sn_grc_task]
    • Der Benutzer im Feld Zugewiesen an der Tabelle „Korrekturaufgaben“ muss mindestens über die Rolle „GRC Business User“ oder „Business User Lite“ verfügen.
    • Für den Lesezugriff müssen Benutzer, denen eine Korrekturaufgabe zugewiesen ist oder die auf der Beobachtungsliste für die Korrekturaufgabe stehen, über die Rolle „GRC Business User“ oder „Business User Lite“ verfügen. Der Benutzer unter Zugewiesen an des Problems, der Problemmanager des Problems oder jeder Benutzer mit der Rolle GRC-Manager (sn_grc.manager) kann eine Korrekturaufgabe anzeigen.
    • Meine offenen Korrekturaufgaben ist für Benutzer mit der Mindestrolle GRC Business User oder Business User Litesichtbar.
    Meine Indikatoraufgabe [sn_grc_indicator_task]
    Benutzer mit der Rolle „GRC Business User “ oder „Business User Lite“ können auf „Meine Indikatoraufgaben“ zugreifen.
    Richtlinienbestätigung
    Benutzer mit der Rolle GRC Business User oder Business User Lite können:
    • Bestätigen Sie Richtlinien von Now Platform UI und Serviceportal.
    • Menüoption „ Meine Bestätigungen anzeigen“ in Serviceportal.
    • Zeigen Sie Bestätigungsinstanzen [sn_compliance_policy_acknowledgement_instance] an, die ihnen zugewiesen sind.
    Richtlinienausnahme [sn_compliance_policy_exception]
    Benutzer mit der Rolle GRC Business User oder Business User Lite können:
    • Lösen Sie Richtlinienausnahmen von Now Platform und Serviceportalaus.
    • Zeigen Sie die Richtlinienausnahme an. Zu den Anwendern mit Lesezugriff gehören Anwender, die eine Richtlinienausnahme angefordert haben, sich in der Beobachtungsliste befinden und Verifizierungsgenehmiger, endgültige Genehmiger, betroffene Kontrollbesitzer und Compliance-Manager sind.
    Weitere Informationen finden Sie unter:

    Mit GRC: Richtlinien- und Compliance-Management installierte Eigenschaften

    Eigenschaften werden bei der Aktivierung von GRC: Richtlinien- und Compliance-Managementhinzugefügt.

    Name Beschreibung
    Auf Entitätshierarchie basierende Bewertung

    sn_compliance.entity_hierarchy_based_scoring
    • Typ: „true“ oder „false“.
    • Standardwert: false
    • Standort: Alle > Richtlinien und Compliance > Administration > Eigenschaften
    Lösen Sie Kontrollnachweise basierend auf dem Erstellungs- oder Aktualisierungsdatum des letzten abgeschlossenen Nachweises aus

    sn_compliance.attestation_run_reference_date_field
    • Typ: Zeichenfolge
    • Standardwert: Erstellungsdatum, Aktualisierungsdatum
    • Standort: Alle > Richtlinien und Compliance > Administration > Eigenschaften
    Zustände, für die die Kontrolle aktiv ist (der erste Status ist der standardmäßig aktive Zustand)

    sn_compliance.active_states

    		 Compliance-Administratoren können diese Einstellung ändern.
    • Typ: Zeichenfolge
    • Standardwert: Entwurf, Bewertung, Überprüfung, Überwachung
    • Standort: Richtlinien und Compliance > Administration > Eigenschaften
    Zustände, für die die Kontrolle inaktiv ist (der erste Status ist der standardmäßig inaktive Zustand)

    sn_compliance.closed_states

    		 Compliance-Administratoren können diese Einstellung ändern.
    • Typ: Zeichenfolge
    • Standardwert: deaktiviert
    • Standort: Richtlinien und Compliance > Administration > Eigenschaften
    Name des Bewertungsmetriktyps, der für Nachweise verwendet wird

    sn_compliance.default_attestation

    		 Systemadministratoren können diese Einstellung ändern.
    • Typ: Zeichenfolge
    • Standardwert: GRC-Nachweis
    • Standort: Richtlinien und Compliance > Administration > Eigenschaften
    sn_compliance.glide.script.block.client.globals
    • Typ: „true“ oder „false“.
    • Standardwert: false
    • Standort: Richtlinien und Compliance > Administration > Eigenschaften
    Name der Knowledge Base, die zur Veröffentlichung von Richtlinienartikeln verwendet wird

    sn_compliance.knowledge_base

    		 Compliance-Administratoren können diese Einstellung ändern.
    • Typ: Zeichenfolge
    • Standardwert: Governance, Risk und Compliance
    • Standort: Richtlinien und Compliance > Administration > Eigenschaften
    Intelligente Bewertungen für die Steuerung aktivieren

    sn_compliance.enable_mart_assessments

    		 Eigenschaft, die die Bewertung von Steuerungen mit der nicht klassischen Bewertungs-Engine ermöglicht.
    • Typ: „true“ oder „false“
    • Standardwert: falsch