展现合规
由于存在数以千计的行业标准、内部策略和不断变化的监管要求,所以在不断变化的合规环境中优化审计范围是一项艰巨的任务。组织必须采用必要的流程和技术来适当地识别、合理化、优先处理和降低合规风险。在本文中,我们讨论如何使用项目、框架和合规地图应用程序展现合规计划保障。
本文阐述了如何证明符合 COBIT® 5 框架。但是,也可以应用相同的工作流来证明符合以下要求:
- 适用于金融机构的规范,例如《诚实贷款法》(Truth-in Lending)、《反洗钱法》(Anti-Money Laundering)或《存款保险法》(Depository Insurance)
- 其他 IT 安全框架,例如 ISO 或 NIST
- 数据隐私规范,例如欧盟《一般数据保护条例》(GDPR)、《金融服务法现代化法案》(GLBA)、《健康保险隐私及责任法案》(HIPAA)和《家庭教育权利和隐私权法》(FERPA)
- 适用于政府或高等教育的规范,例如《统一拨款指导》(Uniform Grant Guidance)、《单一审计法》(Single Audit)或《高等教育法》第四章(Title IV)
展现合规意味着什么?
展现合规意味着组织致力于遵守适用于其的规范和标准开展业务。
展现合规不仅须表明已满足合规要求,还须说明如何满足要求以及为实现持续合规而制定的结构化程序。
我在哪里展现合规?
在 Diligent,我们使用项目、框架和合规地图应用程序向评估员和其他有兴趣的第三方证明存在强有力的控制环境。我们的合规计划可以防止我们的组织被卷入监管执法诉讼或发生数据泄露。它还可让我们与需要遵守各种规范和标准的业务利益相关者合作。
全盘视角
- 合规地图是合规团队通过将要求映射到框架中包含的现有组织控制来执行初始合规差距和风险评估的地方。
- 框架与合规地图结合使用,以集中捕获要求和控制之间的控制关系,管理不断变化的法规和业务环境中的控制变更,以及构建单个项目。
- 项目应用程序用于测试控制的设计和运营有效性以及捕获问题。如果需要,也可以将更改从项目同步回框架。
将要求映射到框架控制时,多个项目的测试结果和问题会自动汇总到合规地图,从而可以实时跟踪和报告合规状态。
步骤
准备好进行了解了吗?
让我们在情境中仔细了解上述功能。
1. 设置计划
构建合规计划的第一步是设置项目和框架。您可以创建框架来管理一组结构化的信息,并使用框架来构建多个项目。还可以根据组织的标准自定义项目中的术语和标签,如果要将这些更改应用至其他项目,可以将更改从项目同步回框架。
设置项目和框架
框架有助于减少设置项目所涉及的手工操作,并可用于集中管理不断变化的监管和业务环境中的信息。
查看示例
示例
场景
您是负责三个项目的 IT 合规专家:
- GDPR 合规风险评估
- 网络安全审核
- IT 一般控制审计
您最近认识到,类似的风险和控制可应用于网络安全审核和 IT 一般控制审计项目。
之前,您通过名为 IT 一般控制审计(IA 上下文)的项目模板创建了一个项目。您希望使用此模板创建一组可用于网络安全审核和 IT 一般控制审计项目的风险和控制。
流程
帮助主题
首先,您创建一个空白的 GDPR 合规风险评估——您稍后将使用此项目来制定合规风险清单并执行合规风险评估的初始阶段。
然后,您创建一个名为 IT 一般控制框架的新框架,并将目标(包含风险和控制)从项目模板导入到框架中。
最后,您将目标从框架导入至网络安全审核和 IT 一般控制审计项目。
结果
GDPR 合规风险评估已被建立,您可以开始定义与组织相关的审计和风险领域。
IT 一般控制框架中的目标、风险和控制被链接到网络安全审核和 IT 一般控制审计项目中的目标、风险和控制。您现在可以根据需要更新项目,也可以将那些更新应用回框架,并通过将项目与框架同步来确保在框架中做出的更新被传至适当的项目。
配置项目术语
术语在不同类型的项目之间以及执行相同类型项目的组织之间可能存在很大差异。组织可以配置不同的项目类型,以便每个团队使用的术语反映在相关项目中。
查看示例
示例
场景
您希望确保 GDPR 合规风险评估中显示的术语与贵组织的首选词库保持一致。
流程
帮助主题 自定义术语、字段和通知
您导航到合规性调查/检查项目类型,并在每个选项卡上配置以下术语:
风险和程序选项卡:
- 项目计划的自定义术语→合规风险清单
- 项目计划的缩略语 → CRI
- 风险术语 → 要求
- 程序的自定义术语→ 计划项目
- 程序 ID 的自定义术语→计划项目 ID
执行程序选项卡
- 执行程序选项卡的自定义术语→优先项目
- 执行程序的自定义术语 → 优先项目
结果
自定义术语被应用于 GDPR 合规风险评估:
2. 确定权威文件
设置项目和框架后,下一步是确定适用于您的组织的权威文件,并将上述文件包含在合规地图中。
权威文件的形式如下:监管机构(例如,政府)公布的规范、专业实践机构或行业协会出台的专业标准或高级管理层制定的内部政策或程序。
提示
某些标准和规范可作为您的常规订阅计划的一部分提供。订阅内容和情报库提供的内容套件,可获得额外的标准和规范。内容和情报库是可用于 Diligent 产品的行业特定内容的中央存储库。
查看示例
示例
场景
您的组织需要遵守《一般数据保护条例》(GDPR)(EU)2016/679 ,该规范要求保护个人数据,其中包括识别个人的典型个人或账户数据。
您认识到可以通过采用现有的最佳实践(例如 COBIT、ITIL、NIST 和 IS)来符合 GDPR 的要求。为了采纳符合 GDPR 要求所需的要素,贵组织决定利用 COBIT®5 框架,该框架是一个全面的 IT 审计框架,通过在实现效益和优化风险水平和资源利用之间保持平衡,帮助企业从 IT 创造最佳价值。
流程
帮助主题 导入标准和规范
您将 COBIT®5 框架导入至合规地图。
结果
您的合规地图填充了一系列要求:
3. 解释和合理化要求
在将相关内容导入合规地图后,您可以执行合规风险评估,并开始解释和合理化要求的过程。您完全控制内部合规流程,包括您想要落实的范围,以及您想要达到的合规覆盖范围级别。
执行合规风险评估
实施高质量合规计划的组织可以系统地识别和评估风险。合规风险评估提供了评估标准或规范适用性的手段,优先考虑应首先管理的标准或规范,并告知哪些要求可能适用于组织。
查看示例
示例
场景
在您能够在 COBIT®5 框架中解释和合理化要求之前,您需要制定合规风险清单以识别风险及将风险排序,并指定哪些计划项目将用于应对或最小化关键风险领域。
合规风险清单将列出组织过去或预计将来所面临的风险。应根据影响和可能性采用三分制评分机制(1 - 低、2 - 中等和 3 - 高)对风险进行排序。
流程
帮助主题
在 GDPR 合规风险评估中,您定义了第一个要求:报告数据泄露。在报告数据泄露要求中,您为组织定义和评估了范围内的第一个风险:
DP-1:未能保护数据系统以防止员工滥用或未经授权访问 员工可能会破坏系统,意图窃取数据或获取有关同事的个人数据。
- 影响 中等
- 可能性 高
最后,您指定将涵盖风险领域的两个计划项目:
- 网络安全审核
- IT 一般控制审计
结果
第一个重点风险领域已被评估。合规风险评估将有助于确定 COBIT®5 框架中的哪些要求适用于组织。
确定所涵盖的适用要求
完成合规风险评估后,您可以开始识别所涵盖的适用要求的流程。
您可以使用两种主要方法来解释和合理化要求:
- 按照要求处理一切内容并相应实施,虽然减少了不合规风险,但却增加了实施和管理合规性的负担
- 通过应用专业判断来解释要求并使组织的最佳覆盖合理化,虽然减少了合规负担,但可能会增加组织的不合规风险
提示
良好的合规战略试图使所需流程合理化并控制变化,以便通过尽可能多地利用现有流程来将合规覆盖范围最大化。
查看示例
示例
场景
合规风险评估的结果可让您解释和合理化 COBIT®5 框架中的要求。您需要应用专业判断并使组织的最佳覆盖合理化。
流程
帮助主题 创建合规地图
在合规地图中,您标记了适用于您的组织的每个要求,并说明要求适用的原因。
您如下捕获 DSS05.04 管理用户身份和逻辑访问的要求信息:
- 适用 是
- 覆盖 是
- 原理 作为合规风险评估的结果,此要求已被识别为适用于该组织。
最后,您将以下现有控制映射到要求 DSS05.04:
| 控制 ID | 控制描述 | 控制权重 |
|---|---|---|
| LA-008 | 对支持生产应用程序的数据库的访问仅限于需要访问其数据库管理工作职能的个人。 | 50% |
| LA-009 | 支持生产应用程序的数据库强制执行与系统上的数据存储系统相关的适当的密码和安全性参数。 | 50% |
结果
您已经按照要求处理一切内容并相应地实施了两个直接控制。任何与控制相关的测试结果和问题被汇总到合规地图,以进行报告。
4. 执行证明项目
您可以使用框架作为信息的集中存储库,执行认证项目以进行运营风险评估,与控制所有者一起集中跟踪所有目标的合规性能并捕获问题。执行证明项目可以让您评估组织在管理合规风险和要求方面的表现。
执行运营风险评估
执行运营风险评估是个涉及确定组织面临多少风险的过程。您可以开发一组通用的评估标准,可以在营运部门、实体或业务单位之间使用,并根据定义的评分框架评估运营风险。
提示
为避免手动评估运营风险,您可以使用评估推动器自动执行不同的风险评估。您可以将在结果应用程序中创建的度量链接到项目应用程序中的风险评估,以便通知评估,并根据预定义的度量范围自动填充固有风险评分。
查看示例
示例
记录和评估控制
控制所有者可以帮助记录控制的存在情况,通过证明和/或附加证据来评估其有效性,制定行动计划以实施缺失的控制并解决不合规的问题,或解释为什么不需要控制。
提示
组织中的一线员工可以使用任务控制应用程序来管理其在项目应用程序外部有权访问的控制。任务控制是个应用程序,它以简化而集中的视图呈现来自项目应用程序的控制信息。
查看示例
示例
场景
现在您已评估了固有风险,您还希望能够确定残留风险,或实施控制后的剩余的风险量。
流程
帮助主题
您可以在网络安全审核和 IT 一般控制审计项目中捕获以下信息并测试每个控制的设计和操作有效性:
项目:网络安全审核
- 风险:LA-:无标题风险
- 控制:
- LA-008
- 控制属性:
- 描述:对支持生产应用程序的数据库的访问仅限于需要访问其数据库管理工作职能的个人。
- 权重:50%
- 排查结果:设计合理
- 测试结果:运行有效
- 控制属性:
- LA-009
- 控制属性:
- 描述:支持生产应用程序的数据库强制执行与系统上存储的数据相关的适当的密码和安全性参数。
- 权重:50%
- 排查结果:设计合理
- 测试结果:运行有效
- 控制属性:
- LA-008
项目:IT 一般控制审计
- 风险:LA-:无标题风险
- 控制:
- LA-008
- 控制属性:
- 描述:对支持生产应用程序的数据库的访问仅限于需要访问其数据库管理工作职能的个人。
- 权重:50%
- 排查结果:设计合理
- 测试结果:发现异常
- 控制属性:
- LA-009
- 控制属性:
- 描述:支持生产应用程序的数据库强制执行与系统上存储的数据相关的适当的密码和安全性参数。
- 权重:50%
- 排查结果:设计合理
- 测试结果:运行有效
- 控制属性:
- LA-008
结果
与控制相关的测试结果被汇总到框架与合规地图,以进行报告:
捕获问题和操作
您可以在整个合规审查过程中捕获和分配要补救的已标记问题,并将问题委托给控制所有者或问题所有者,以更新状态和相关行动计划。您还可以将操作分配给利益相关者,以便跟踪、捕获证据和解决问题。
查看示例
示例
场景
由于 IT 一般控制审计中的某个控制测试未通过,所以您需要通过记录问题来指出异常情况。您还希望创建与确定的问题相关的具体后续措施,并将其分配给相应的员工。
流程
帮助主题
您在 IT 一般控制审计中记录了以下问题和操作:
问题
- 标题/大标题 未经授权的员工可以访问关键系统
- 描述 没有适当的流程来确保只有经过授权的员工才能访问关键系统。
- 所有者 IT 经理
- 问题类型 不足
- 识别日期 日期
- 严重性 高
- 已发布 已发布
操作
- 标题 定期监控对关键系统的特权访问
- 所有者 IT 经理
- 描述 监控生产访问日志并将所记录的事件与受制裁的用户列表进行比较。
- 到期日 日期
- 状态 未结
- 优先级 高
结果
已捕获问题和操作。审计员日后可以审核补救计划,记录重新测试结果,以确定问题是否真正得到了补救。
5. 报告合规情况
最后,合规是运行管理良好和控制良好的计划的结果。合规地图使所有三道防线能够快速深入了解每个部门正在开展的工作,并实时查看汇总信息。
为了说明合规进度,您可以使用单一的总体度量(覆盖范围)评估您的合规保障。此度量使管理层能够即时了解组织遵守规范、业务流程或实体的程度。您也可以随时生成沟通各种控制区域的状态以及作为整体的程序进展的实时报告。
查看示例
示例
场景
您需要跟踪组织在减轻风险方面的表现,以便可以适当分配资源。幸运的是,您在证明项目中捕获的测试结果和问题将被汇总到您的合规地图中,使您可以实时跟踪和报告合规状态。
流程
帮助主题 创建合规地图
您打开合规地图并查看汇总摘要信息:
要获得有关 DSS05.04 的更多详细信息,请单击要求并查看映射的控制和汇总的测试结果:
要说明合规进度,请与管理人员共享覆盖范围度量,然后导出 Excel 报告。这使管理层能够即时了解组织遵守 COBIT®5 框架的程度。
结果
您可以快速了解组织的当前合规情况。
后续步骤
了解如何实施和自动化合规计划
结果应用程序可让评估员通过数据分析捕获意外事件,定义触发工作流以管理意外事件,进行根源分析和补救活动,并在准备好报告后关闭案例。
更多详情请参阅实施合规计划。
