コンプライアンス マップを使用して統制を要件にマッピングする
コンプライアンス マップは Diligent One プラットフォームのアプリです。
コンプライアンス マップを使用すると、業界の基準と規則を統制フレームワークに関連付けることができます。これにより、対象範囲の視覚化、規制の変更の追跡、組織のリスク エクスポージャーの軽減、運用の負担の低減を行うほか、取締役と管理職チームに、組織のグローバルなコンプライアンス状況の総体的な理解を提供することができます。
コンプライアンス マップとは?
コンプライアンス マップは、規制要件とそれらにマッピングされた統制を一元的に文書化するアプリです。コンプライアンス マップを使用すると、以下を行うことができます。
- 適用可能な規制と基準を特定する
- 適用可能なすべての規制と基準に及ぶ要件の一覧を調整する
- フレームワークの統制を要件にマッピングする
- テスト結果と問題を集約し、コンプライアンスの状態をリアルタイムで追跡、レポートする
機能の仕組み
連邦組織は多くの場合、何百もの要件に遵守する必要があります。監査部門は、すべての効果的な運営を徹底するために追跡の必要がある社内のポリシー要件を有しているときにも、コンプライアンスに関わります。
コンプライアンス マップの作成
業務に関連する仕様に組織が準拠していることを示すために、次のようにして、コンプライアンス マップを作成できます。
- コンプライアンスの範囲を特定し、組織に適用可能な要件を注記する
- 適用できない要件の論理的根拠を指定する
- 統制を要件にマッピングする
統制を要件にマッピングしたら、テスト結果と問題は、次のことができるようにコンプライアンス マップに集約されます。
- ギャップを特定する
- 問題を優先順位付けする
- コンプライアンスの進捗を追跡する
コンプライアンス マップにおける関係
以下の図は、コンプライアンス マップにおける規制/基準、要件、および統制間の関係を説明したものです。
メモ
- インターフェイス用語はカスタマイズ可能であり、フィールドとタブも設定可能です。ご利用の Diligent One インスタンスでは、一部の用語、フィールド、およびタブが異なる可能性があります。
- 必須フィールドが空白のままの場合、「このフィールドは必須です」という警告メッセージが表示されます。一部のカスタムフィールドにはデフォルト値が設定されている場合があります。
用語
次の一覧は、コンプライアンス マップで使用される用語の定義を表します。
- 規制 連邦政府省庁が執筆し、発行する当局のドキュメントであり、多くの場合、法令として分類されます。
例
FedRAMP 2016 0.1
グリーン ブック - 改訂版 2014(GAO-14-704G)
NIST SP 800-53 セキュリティ管理 - Rev4
- 基準 ベスト プラクティスの要件および関連引用文の情報源である当局のドキュメント。
例
COBIT 5 フレームワーク
クレジットカード業界(PCI)のセキュリティ基準
COSO 内部統制フレームワーク 2013
-
要件 基準または規制をまとめるために確立された一連の指示。
メモ要件は、異なる規制および基準においては原則、特質、活動、タスク、または手順と呼ばれる場合がありますが、プロジェクトでは要件が一般的に使用されます。
例
- アプリケーション、データベース、システム構成、ネットワーク構成、ドキュメント、およびメッセージング システムのバックアップ手続きを確立し、実行します。
- システムの説明、後継系列、および責任をはじめとする、継続計画における運用コンセプトを文書化します。
-
統制 組織による要件へのコンプライアンス達成を保証するための評価基準または基本方針。
例
- データ バックアップに関するポリシーおよび手続きが確立されていることにより、従業員の責任が明確になり、すぐに対応できます。
- 万が一コアの運用システムが失敗した場合に備え、サーバー間のリアルタイムのデータ レプリケーションが「最新の」バックアップを提供するために実施されます。
- 適用可能 要件が組織に該当するか適切かどうかを示します。
- 対象 要件が満たされていることを示します。
- 統制の重み 統制が対象とする要件のパーセント。
- 対象範囲 適用可能な要件が「対応済み」として示されている範囲を示すパーセントでの測定。
- ギャップ 対象となっていない適用可能な要件の総数。
- 保証 満たされている要件への組織の自信を示す計算。
利点
コンプライアンス プログラムの実施を成功させるには、徹底的な取り組みと、規制、および基準に関する特別な知識が必要になります。
コンプライアンス マップは、次のことによってこの取り組みを軽減します。
- コンプライアンス管理の一元化 社外関係者のために総合的な一覧を作り、そこで、自社組織のコンプライアンス プログラムと進捗を彼らは素早く理解できる
- 合理化と負担の簡素化 調和のとれた要件を通じて重複した取り組みを軽減し、複数の重複した規制と基準に対応する
- 問題管理の簡略化 統制テストの進捗を容易に追跡して監視を行い、コンプライアンス レビュー プロセス全体での改善に向けてフラグが立った問題を把握し、割り当てる
- 保証のスコア付けとレポートの提供 組織による規制、ビジネス プロセス、またはエンティティ別の遵守の度合いをマネジメントが即時理解できるような単一の全体的なメトリクスで、自社の保証のスコアを付ける
さまざまな専門職への主な利点
役職 | 利点 |
---|---|
|
|
|
|