Mapper les contrôles aux exigences avec les cartes de conformité

Cartes de conformité est une application de la plateforme Diligent One.

Cartes de conformité vous permet de concilier des normes et réglementations du secteur avec vos cadres de contrôle. Vous pouvez ainsi visualiser la couverture, suivre les changements réglementaires, atténuer l'exposition au risque organisationnel, réduire la charge opérationnelle et fournir aux conseils et aux équipes de la direction une présentation complète de la position de conformité globale de l'organisation.

Qu'est-ce qu'une carte de conformité ?

Cartes de conformité est une application qui centralise la documentation des exigences réglementaires et des contrôles mappés. En utilisant Cartes de conformité, vous pouvez :

  • identifier les réglementations et normes applicables
  • harmoniser une liste de conditions requises dans toutes les réglementations et normes applicables
  • mapper les contrôles dans des cadres aux conditions requises
  • agréger des résultats de test et des problèmes à suivre et créer des rapports sur le statut de la conformité en temps réel

Fonctionnement

Les organisations fédérales doivent souvent respecter des centaines de conditions requises. Les services d'audit sont aussi concernés par la conformité lorsqu'ils ont des conditions requises de politique interne à suivre pour s'assurer de l'efficacité d'un fonctionnement.

Créer une carte de conformité

Pour présenter comment votre organisation respecte les spécifications propres à son activité, vous pouvez créer une carte de conformité en :

  1. identifiant le champ d'application de la conformité et en notant les conditions requises applicables à l'organisation.
  2. spécifiant les raisons pour lesquelles des conditions requises ne sont pas applicables.
  3. mappant les contrôles aux conditions requises

Une fois que vous mappez les contrôles aux conditions requises, les résultats de test et les problèmes sont agrégés dans la carte de conformité pour que vous puissiez :

  • identifier les omissions
  • prioriser les problèmes
  • suivre l'avancement de la conformité

Relations dans les cartes de conformité

Le schéma ci-dessous illustre les relations entre les réglementations/normes, les conditions requises et les contrôles dans les Cartes de conformité.

Commentaires

  • Les termes de l'interface sont personnalisables ; les champs et les onglets sont configurables. Dans votre instance Diligent One, certains termes, champs et onglets peuvent être différents.
  • Si un champ obligatoire est vide, le message d'avertissement « Ce champ est obligatoire » s'affiche. Certains champs personnalisés peuvent comporter des valeurs par défaut.

Termes

La liste suivante définit les termes utilisés dans les Cartes de conformité :

  • Réglementations Documents de référence rédigés et délivrés par les services de gouvernement fédéral, souvent classés sous une Loi.

    Exemples

    FedRAMP 2016 0.1

    Livre vert - Révision 2014 (GAO-14-704G)

    NIST SP 800-53 Security Controls (Contrôles de sécurité) - Rev4

  • Normes Documents de référence sources des conditions requises relatives aux bonnes pratiques et citations liées.

    Exemples

    Cadre de contrôle COBIT 5

    Norme de sécurité de l’industrie des cartes de paiement (Payment Card Industry Data Security Standard ou PCI DSS)

    Cadre de contrôle interne COSO 2013

  • Conditions requises Série de directives ayant été définies pour résumer une norme ou une réglementation.

    Remarque

    Bien qu'il serait possible de faire référence aux conditions requises sous les termes principes, attributs, activités, tâches ou étapes dans différentes réglementations et normes, le terme usuel utilisé dans Projets est Condition requise.

    Exemples

    • Définir et exécuter des procédures de sauvegarde pour les applications, bases de données, configurations de système, configurations réseau, documents et systèmes de messagerie.
    • Documenter le concept des opérations dans le plan de continuité, avec une description du système, l'ordre de succession et les responsabilités.

  • Contrôles Mesures ou lignes de conduite permettant d'assurer la réussite d'une organisation en termes de conformité avec des conditions requises.

    Exemples

    • Des politiques et des procédures liées à la sauvegarde des données sont en place, ce qui rend les responsabilités des employés claires et applicables.
    • Une réplication des données en temps réel est effectuée entre les serveurs pour fournir une sauvegarde « à chaud » en cas de panne du système de production principal.
  • Applicable Indique si la condition requise est pertinente ou appropriée pour votre organisation.
  • Couvert Indique que la condition requise est satisfaite.
  • Poids de contrôle Le pourcentage de la condition requise couvert par le contrôle.
  • Couverture Pourcentage qui indique dans quelle mesure les conditions requises applicables ont été indiquées comme « couvertes ».
  • Omissions Nombre de conditions requises applicables qui ne sont pas couvertes.
  • Assurance Calcul qui représente la confiance de votre organisation pour répondre aux conditions.

Avantages

La mise en place d'un programme de conformité réussi demande un travail intensif et des connaissances spécialisées en matière de réglementation et des normes.

Les Cartes de conformité permettent de réduire ce travail en :

  • centralisant la gestion de conformité créer une vision globale pour les parties externes et leur permettre de comprendre rapidement le programme de conformité et l'avancement de votre organisation
  • rationalisant et en simplifiant la charge supprimez la duplication des efforts par le biais de conditions requises harmonisées et fournissez une couverture sur plusieurs réglementations et standards se chevauchant
  • simplifiant la gestion des problèmes surveillez en suivant simplement l'avancement des tests de contrôles, puis capturez et affectez des problèmes marqués pour remédiation tout au long de votre processus d'examen de la conformité
  • fournissant un score et un rapport d'assurance obtenez un score sur votre assurance avec une mesure unique et globale qui donne à la direction une présentation instantanée du niveau de conformité de l'organisation par réglementation, processus opérationnel ou entité

Avantages clés pour plusieurs professionnels

Titre(s) du professionnel Avantages
  • Responsable informatique
  • Responsable de la conformité informatique
  • Responsable de la sécurité informatique
  • Peut certifier aux clients et aux autres tiers intéressés qu'un environnement de contrôle solide existe
  • Peut empêcher d'exposer l'organisation à des mesures d'exécution réglementaires ou à des violations de données
  • Responsable de la conformité
  • Directeur de la conformité
  • Peut collaborer avec les intervenants dans l'entreprise devant respecter différentes réglementations et normes
  • Peut gérer l'avancement de la conformité en centralisant la documentation des conditions requises et leurs contrôles mappés