创建合规地图

集中化管理要求的文档及其映射控制,并自动汇总测试结果和问题,以便轻松评估合规性要求范围并实时报告合规状态。

开始之前

在您管理合规性之前,您需要:

要汇总来自项目的测试结果和问题数据,您或您的团队成员必须完成以下任务:

说明

  • 界面术语均可自定义,而且字段和选项卡均可配置。 在 Diligent One 实例中,某些术语、字段和选项卡可能有所不同。
  • 如果必填字段留空,您会看到一则警告消息:此字段是必填项。 某些自定义字段可能包含默认值。

权限

分配了合规地图权限并具有读取/写入访问权限的用户可以创建合规地图。

为什么一些标准和规范被锁定?

在使用合规地图时,您可能会发现有一些导入的标准和法规被锁定。锁定图标 表示这些操作为只读。

这是因为在我们获取这些标准和法规时,提供者有时会规定客户不能修改他们提供的模板中的内容。因此,修改操作不可用,包括编辑任何标准、规范或相关要求的任何部分;增加子要求;以及删除要求。

工作流

添加标准或规范

手动向合规地图中添加标准或规范,或者从合规资源库导入可用的标准和规范。 (要全面查看合规资源库中的标准和规范,请参阅 导入标准和规范 中的 管理 Diligent 提供的标准或规范 部分。)

  1. 打开合规地图应用程序
  2. 合规地图主页打开。
  3. 完成下列任一任务:
    任务步骤
    导入可用的标准或规范
    1. 单击导入标准或规范

      随即会打开合规资源库

    2. 搜索并选择要导入的相关标准或规范。

      一些标准和规范仅以只读格式提供。有关详细信息,请参阅导入标准和规范

      说明

      某些标准和规范只能通过订阅 Diligent 内容套件才能使用。有关详细信息,请参阅内容和情报库

    3. 单击导入
    4. 完成导入之后,单击新导入的标准或规范的打开按钮。

      结果 – 您将返回到合规地图主页,其中新导入的标准或规范的侧面板会打开,并且标准或规范在列表视图中展开,显示其顶级层次的要求。

    5. 跳过添加要求下的步骤,然后前往指明要求是否适用并已覆盖
    访问附加标准和规范某些标准和规范会显示一个联系以获取访问权限的标签。请联系您的客户成功经理,了解如何访问这些标准和规范。
    手动添加标准和规范
    1. 单击新建

      添加标准和规范侧面板打开。

    2. 输入以下信息:
      • 标题 给标准或规范命名。

        字符最长为 255 个。 名称必须唯一。

      • 描述(可选)提供标准/规范的说明。
        说明

        富文本字段不能超过 524,288 个字符。

    3. 执行以下操作之一:
      • 要添加标准或规范并关闭面板,请单击保存并关闭

        标准或规范即会添加到合规地图中。

      • 要向标准或规范添加要求,请单击保存并添加要求,然后继续执行添加要求的步骤 3。

查看和管理标准和规范

规范页面提供了规范的综合视图。您能够借助该页面搜索规范中的特定要求,并查看这些要求的状态及其相关控制。

要查看规范,请在合规地图主页上执行以下步骤:

视图 步骤
高级别详细信息

要查看规范的标题、描述和来源等详细信息,请选择显示详细信息(位于更多菜单中的操作列)。
详细的视图

  1. 单击标准或规范的名称。

  2. 在规范页面上,执行以下操作:

  • 审核要求列表及其之间的关系,如已关联的控制措施和要求的数量,以及它们的状态。

  • 通过输入 ID、标题或描述来搜索规范中的特定要求。

  • 在规范的整体背景下查看要求描述。

  • 为标准或规范创建子要求。(选择 + 添加新的子要求)。
    当您添加子要求时,它们将被添加到与规范的顶级视图相同的层次结构中。这确保了在规范的整个范围内来考虑子要求,并直接在要求级别添加子要求。

  • 在规范之间切换。(选择切换图标 ,然后从列表中选择标准或规范。)

  • 通过单击要求旁边的详情按钮,从规范页面前往要求详情页面。

 

查看要求

您可以从规范页面查看要求。要前往要求详情页面,请打开一个规范,然后选择详情

添加要求

添加要求以填充您的合规地图。

  1. 从规范页面中选择一个要求,然后单击详情,或从“合规地图”主页中选择一项要求。

  2. 在要求详情页面中,单击 + 添加新的子要求(位于更多菜单中)。

  3. 输入以下信息:
    • ID 输入要求的标识符。
    • 标题(可选)可选。给要求命名。

      如果不输入标题,则要求描述的前 255 个字符将显示为树视图中的标题,并且会删除任何 HTML 或富文本格式。

    • 描述 提供要求的描述。
      说明

      富文本字段不能超过 524,288 个字符。

  4. 执行以下操作之一:

    • 保存并添加另一个 选择该选项可保存要求,并在树视图中的相同层次级别添加另一要求。

    • 保存并关闭 选择该选项可保存要求,并关闭添加新的子要求侧面板。

      新要求在树视图中突出显示,并根据 ID 进行排序。 在两个要求具有相同 ID 的情况下,会自动基于要求的创建日期应用二次排序方法。

      说明

      会自动对所有要求进行排序。 您不能配置要求的顺序。

      说明

      添加到标准或规范的要求数量,会显示在列表中该标准或规范名称的旁边。

指明要求是否适用并已覆盖

应用专业判断并使满足组织要求的最佳覆盖合理化。

  1. 合规地图主页上,单击要求的标题。

    要求详情页面随即打开。

  2. 在“状态”部分中的下拉列表中选择以下选项之一:

    • 不适用:仅当该要求不适用于您所在组织时,才选择此选项。

    • 适用 - 未覆盖:如果要求适用但尚未覆盖,请选择此选项。

    • 适用 - 已覆盖:如果要求适用于您所在组织且已覆盖,请选择此选项。

    说明

    默认情况下,所有父级要求都适用,且未覆盖。当创建新的子要求时,子要求从父要求继承适用已覆盖值。

  3. (可选)选择撰写依据以说明为什么要求被标记为适用、不适用、已覆盖或未覆盖。
    提示

    您还可以从相关要求复制理由说明。 有关详细信息,请参阅查看要求

处理关联的要求

如果已从合规资源库中导入标准或规范,则可以查看相关要求,或从相关要求添加原因说明。

Diligent 根据行业批准的映射整理相关要求。 您可以查看的相关要求的最大数量是 300 个。 有关详细信息,请参阅控制与要求之间的关系

  1. 合规地图主页上,选择要求的标题。
  2. 在要求详情页面上,展开关联要求部分,并按标准和规范进行过滤。
    这显示了相关要求及其状态的列表。您可以查看与新要求相关的规范。
  3. 选择关联的要求。
    这将打开一个包含要求详情的侧面板。
  4. “依据”部分显示了相关要求的依据。单击添加将依据包含在内。
    新的依据出现在要求详情页面的依据部分。
    • 如果您处理的要求已经有了依据说明,那么新依据将被追加到现有依据的底部。

      提示

      要进一步调整依据说明,可以使用编辑依据选项对其进行编辑。

    • 导入包含相关要求的标准或规范 如果有相关要求未导入到您的合规地图中,请执行以下操作:

      1. 在要求详情页面的关联要求部分旁边,选择导入相关规范

      2. 选择权威文档的标题以启动导入过程。

        您将进入合规资源库。

将控制措施与要求联系起来

通过将控制映射到要求,展示贵组织遵守与业务相关的规范。 映射要求也出现在控制透视中,帮助审计员熟悉基于映射要求的控制。

您可以遵循自动建议或手动浏览控制,将控制映射到需求。

说明

可以映射到单个要求的控制项的最大数量是 300 个。

使用 Diligent One 平台 AI 建议服务,根据特定要求从可用控制措施集中接收相关控制的建议。您可以选择遵循这些通过 AI 获得的建议,也可以手动浏览并选择合适的控制。

要将控制措施与要求关联起来,请执行以下步骤:

  1. 合规地图主页上,单击要求的标题。
  2. 在要求详情页面中,单击关联控制措施
    关联控制措施面板随即打开。
    说明

    如果您没有看到关联控制措施,则表示您正在查看无法映射的要求的上级或子级。您必须删除群组中现有的映射,然后才能映射其他控制措施。有关更多信息,请参阅 控制与要求之间的关系

    • 关联控制措施面板中,您可以执行以下操作:
      • 在搜索框中输入一个关键字以搜索控制。

        您可以按照目标标题、控制 ID,控制标题或控制描述搜索控制。 搜索字词在结果中突出显示。

      • 单击过滤器以按框架或目标过滤控制。

        搜索可与任何应用的过滤器组合使用。如果选择框架或目标过滤器,并且搜索控制,则只能在指定的框架或目标中进行搜索。

        • 单击侧箭头 展开框架并查看目标列表。单击目标旁边的侧箭头 ,查看控制项列表。
        • 如果适用,请单击查看更多,即可显示 Diligent One 实例中的所有框架。
      • 单击 AI 建议以查找与每个要求最相关的控制措施。此功能利用 AI 集成提供更完善的建议,确保匹配程度更高。它通过比较要求和控制措施的描述来确定合适的控制措施。向下滚动并单击加载更多以查看其他建议。
  3. 单击要关联到要求的每个控制措施旁的关联

查看和管理关联的要求

要求详情页面的关联控制措施部分会显示已关联的控制措施的列表。选择已关联的控制措施时,可以执行下表所述的操作:

操作 步骤
仔细查看关联的要求

以下信息以侧面板的形式显示在详情视图中:

  • 控制 ID 控制的标识码
  • 所有者负责控制的人
  • 控制标题 控制的标题
  • 描述有关控制的详细信息
  • 框架 该控制所来自的框架
  • 测试结果 已通过、未通过的控制测,试以及尚未测试的控制。
  • 问题 与框架控制相关联的所有项目控制中的未结问题总数。

    单击问题计数链接可提供问题的弹出列表。您可以单击单个问题以导航到详细信息。

    说明

    总计问题数基于与排查、测试计划和测试轮相关联的活动项目中所有未结并公开的问题。

比较控制措施的描述和要求的描述

当控制措施的数据在侧面板中打开时,您可以通过滚动并排的两列来比较控制措施的描述和要求的描述。这对于启动合规工作至关重要,同时也确保更清楚地了解法律要求。
更新控制措施权重

如需指示控制所覆盖的要求的百分比,请调整控制权重

您可以指示一个 0% 和 100% 之间的值。 默认覆盖范围为 100%。
前往框架应用程序
  • 要前往框架中的控制措施,请单击 ID 链接。
  • 要导航到框架,请单击框架链接。
添加或移除控制措施
  • 要从要求中移除控制措施关联,请单击取消关联
  • 要将其他控制措施关联到要求,请单击 + 关联控制措施
  • 要查看映射到单个上级要求或所有下级要求的控制措施列表以及每个控制措施的问题聚合数,请查看相关控制措施部分。
    • 单击控制 ID 链接会将您重定向到适用框架中的控制页面。
    • 单击问题计数链接可提供问题的弹出列表。

      您可以单击单个问题以导航到详细信息。

 

跟踪合规进度

过滤要求列表以跟踪合规进度。

合规地图页面,完成下列任一任务:

任务步骤您看到的内容
查看所有规范和标准的所有适用要求

单击适用

所有“适用”要求的列表,无论它们是否已被标记为“已覆盖”
查看尚未被标记为“已覆盖”的要求单击未覆盖(缺口)

尚未标记为“已覆盖”的适用要求的列表

查看已被标记为“已覆盖”的要求单击已覆盖已被标记为“已覆盖”的适用要求的列表
查看已被标记为“不适用”的要求 单击不适用

所有不适用要求的列表

搜索要求在搜索框中输入关键字或短语。与您的搜索词或短语相匹配的要求列表。

看关于标准、规范或要求的摘要信息,包括:

  • 已覆盖或未覆盖的范围
  • 是否已被标记为“已覆盖”
  • 是否已关联至少一项控制措施
  • 与之相关联的未结问题总数
  • 标准、规范或要求的当前保障计算
查看嵌套树视图中的覆盖范围已覆盖问题控制措施以及保障列。
  • 覆盖范围 已标记为“已覆盖”的标准或规范要求的百分比。了解如何计算覆盖范围。
  • 已覆盖 指明()是否涵盖某项要求(根据您将该要求标记为已覆盖未覆盖)。如果标准和规范的所有要求均已被标记为“已覆盖”,即视为“已覆盖”该标准和规范。
  • 问题 与每个标准或规范,以及树中最顶层(根)的要求相关联的问题聚合数。单击问题计数链接可提供问题的弹出列表。您可以单击单个问题以导航到详细信息。
  • 控制措施 图标 () 指明要求包含至少一项映射来的控制措施。
  • 保障 表示贵组织对能够满足要求的信心的计算。了解如何计算合规保障。

生成摘要报告

通过生成摘要报告演示您的组织的合规进度。

  1. 单击合规摘要报告
  2. 将 Excel 报告(.xlsx)下载到您的计算机。

    您在合规地图页上应用的任何过滤器都会反映在报告中。每种标准/规范都显示在单独的工作表上。

    提示

    在您的合规地图中按字母数字编制索引的手动创建的要求可能会在 Excel 报告中以不同方式排序。要取得相同的排序,您可以根据需要使用以下命名策略:

    • 父级要求 字母顺序 ID

      示例 A1

    • 子级要求 字母顺序 ID + 数值 ID

      示例 A1-01、A1-02、A1-03