フレームワークを使用したプロジェクトの構築

フレームワークは、フレームワークから情報を継承可能な、複数のプロジェクトを構築するために使用する構造化された情報のセットです。たとえば、フレームワークを使用すると、複数のプロジェクトで使用される目標、リスク、および統制の単一のセットを効果的に管理できます。

フレームワークは、プロジェクトの設定に関わる手動での取り組みを減らす助けとなる上、規制環境とビジネス環境の展開において情報の一元管理に使用できます。

このチュートリアルの最後には、最前線の統制所有者によって個々のプロジェクトに行われた改善を、フレームワークで取り込むことが可能な、より高度なケースについても説明します。

シナリオ

あなたが 2 つのプロジェクトの所有者であるとします。

  • 物理的セキュリティ レビュー
  • セキュリティ監査

リスクと統制の定義について考えると、類似したリスクと統制を両方のプロジェクトに適用できることが分かりました。

ただし、それぞれのプロジェクトで類似したリスクと統制を作成するのは時間のかかる作業です。両プロジェクトにわたり使用できるリスクと統制を 1 セット作成し、一元的な場所からこれらのリスクと統制を更新し、必要な場合には、該当するプロジェクトに変更を同期したいと考えています。

作業を開始する前に

このチュートリアルでは、リスクと統制の単一のセットを管理するタスクに関連する、フレームワーク アプリとプロジェクト アプリでの重要なエリアについて学びます。

このチュートリアルを始める前に、フレームワークとプロジェクトを作成するための適切なアクセス許可があることを確認します。

1. プロジェクトを作成する

ます、最終的にフレームワークからデータを継承するプロジェクトを作成することから始めます。

  1. プロジェクトアプリを開き、次のプロジェクトを作成します:
    プロジェクト名前プロジェクトの種類
    1

    物理的なセキュリティレビュー

    内部監査 (運用)

    2セキュリティ監査内部監査 (運用)

2. フレームワークを作成する

ここでは、リスクと統制のマスターリポジトリであるフレームワークを作成します。フレームワークは、複数のプロジェクトで使用可能なリスクと統制を最終的に含むことになります。

  1. フレームワークアプリを開きます
  2. 新しいフレームワークの開始]をクリックします。
  3. 次の情報を入力します。
    • 名前 セキュリティ フレームワーク
    • 説明 セキュリティ関連のプロジェクトで一般的に使用される共通のリスクと統制のセットです。
    • プロジェクト種類 内部監査 (運用)
      メモ

      このプロジェクトに選択したとおり、このフレームワークに同じプロジェクトの種類を選択したことが分かります。このプロジェクトの種類は、作業計画プロジェクトに分類されますが、これはあるプロジェクトで利用可能なコンポーネントを定義するワークフローの種類です。フレームワークとプロジェクト間で情報を定義できるように、フレームワークがプロジェクトのワークフローと一致していることが重要です。詳細については、ワークフローとプロジェクトの種類を参照してください。

  4. 保存]をクリックします。

    結果 新しいフレームワークが作成されます。

3. フレームワークで目標、リスク、および統制を定義します。

目標は、フレームワークの基礎を形成するうえ、リスクと統制の整理コンテナでもあります。このチュートリアルでは、ちょうど作成したフレームワークで 4 つの目標を設定します。トレーニングのコンテンツで作業することになるため、各目標はリスクと統制を伴って自動的に設定されます。

  1. セクション]タブをクリックします。
  2. 目標のインポート]をクリックし、[コンテンツ ライブラリ]から[トレーニング コンテンツ - セキュリティ レビュー]を選択します。
  3. 各目標を選択し、[インポート]をクリックします。
  4. このページを更新します。

    結果 フレームワーク内に目標を 4 つ定義しました。各目標にはリスクと関連する統制の一覧が含まれています。

4. フレームワークから各プロジェクトに、目標、リスク、統制をインポートする

次のステップでは、リスクと統制を含む目標を該当するプロジェクトにインポートします。

目標をフレームワークからプロジェクトにインポートすると、フレームワーク内にある目標、リスク、および統制と、プロジェクト内にあるこれらの間にリンクが作成されます。このリンクにより、フレームワーク内の目標、リスク、および統制への変更を一元的に管理し、プロジェクト内のこれらへの変更を同期することができます。

  1. プロジェクト アプリを開きます
  2. 物理的セキュリティ レビュープロジェクトを選択します。
  3. 実地調査]タブをクリックします。
  4. 目標のインポート]をクリックし、[フレームワーク]から[セキュリティ フレームワーク]を選択します。
  5. 各目標を選択し、[インポート]をクリックします。
  6. このページを更新します。
  7. セキュリティ監査プロジェクトのこれらの手順を繰り返します。

結果 リスクと統制を含む目標がプロジェクトにインポートされます。プロジェクトの目標、リスク、および統制は、フレームワークの目標、リスク、および統制にリンクしています。

5. フレームワークを更新する

リスクと統制を更新し、変更が該当するプロジェクトに反映されていることを確かめたいと考える場合があるでしょう。フレームワーク内の自分のすべての変更を管理し、プロジェクトへの更新を同期化することでこれを実行できます。共にリスクを更新してみましょう。

  1. プロジェクトドロップダウンリストをクリックし、[計画と結果]、[フレームワーク]の順にクリックします。
  2. セキュリティ フレームワーク]を開き、[セクション]をクリックします。
  3. ポリシーが適切に設計されていることを徹底する]の横にある[移動]をクリックし、[プロジェクト計画]を選択します。
  4. 任意のリスクを選択し、そのリスクに関連付けられたフィールドを更新して、[保存]をクリックします。

    たとえば、リスク タイトルまたは説明を更新します。

  5. ダッシュボード ]タブをクリックします。ダッシュボードには最近更新したリスクが表示されます。

  6. すべて更新]をクリックし、プロジェクトの更新を反映させます。

結果 プロジェクト内の目標、リスク、および統制は、フレームワーク内のこれらと同じものに更新されます。

フレームワークを最大限活用する方法

目標、リスク、および統制の単一のセットを管理する方法を習得したところで、フレームワークの効果的な活用に使用できる戦略がほかにもいくつかあります。

フレームワークをテンプレートとして使用する

フレームワークは、プロジェクトが使用すべきフィールドを決定しますが、フィールドの値は各プロジェクトに固有になり得ます。

フレームワークをテンプレートとして使用するには、フレームワーク内で必要なフィールドを定義しますが、その値を空白のままにします。たとえば、複数の統制属性を定義する必要がある場合があります。フレームワーク内のこれらのフィールドを定義し、関連するプロジェクト内でこれらのフィールドの値を指定することができます。

詳細については、用語、フィールド、通知のカスタマイズを参照してください。

フレームワークを使って類似した種類のプロジェクトを作成する

組織でさまざまなタイプのプロジェクト(SOX 監査、IT 監査、業務監査など)を実行する場合は、各プロジェクトのタイプに対応するフレームワークを設定できます。

プロジェクトからフレームワークに変更を同期化

より高度なケースでは、変更を、プロジェクトから、これがリンクするフレームワークにも同期できます。

目標、リスク、および統制を複数のプロジェクトで使用できるため、フレームワークの管理者は、最前線の所有者や SOX チームがプロジェクトに行った変更を適用したいかもしれません。これらの変更をフレームワークに取り込んだら、組織でより広範に改善を分配しながら、これらの変更を他のプロジェクトの同じ目標、リスク、統制に同期できます。詳細については、プロジェクトとフレームワークの同期化を参照してください。