创建合规地图

集中化管理要求的文档及其映射控制,并自动汇总测试结果和问题,以便轻松评估合规性要求范围并实时报告合规状态。

开始之前

在您管理合规性之前,您需要:

要汇总来自项目的测试结果和问题数据,您或您的团队成员必须完成以下任务:

说明

  • 界面术语均可自定义,而且字段和选项卡均可配置。在 Diligent One 实例中,某些术语、字段和选项卡可能有所不同。
  • 如果必填字段留空,您会看到一则警告消息:此字段是必填项。某些自定义字段可能包含默认值。

权限

分配了合规地图权限并具有读取/写入访问权限的用户可以创建合规地图。

为什么一些标准和规范被锁定?

在使用合规地图时,您可能会发现有一些导入的标准和法规被锁定。这些操作用锁定图标 表示,表示它们是只读的。

这是因为在我们获取这些标准和法规时,提供者有时会规定客户不能修改他们提供的模板中的内容。因此,修改操作不可用,包括编辑任何标准、规范或相关要求的任何部分;增加儿童要求;以及删除要求。

工作流

添加标准或规范

手动向合规地图中添加标准或规范,或者从合规资源库导入可用的标准和规范。(要全面查看合规资源库中的标准和规范,请参阅 导入标准和规范 中的 管理 Diligent 提供的标准或规范 部分。)

  1. 打开合规地图应用程序

    合规地图页面打开。

  2. 完成下列任一任务:
    任务步骤
    导入可用的标准或规范
    1. 单击导入标准或规范

      随即会打开合规资源库页面。

    2. 搜索并选择要导入的相关标准或规范。

      一些标准和规范仅以只读格式提供。有关详细信息,请参阅导入标准和规范

      说明

      某些标准和规范只能通过订阅 Diligent 内容套件才能使用。有关详细信息,请参阅内容和情报库。

    3. 单击导入
    4. 完成导入之后,单击新导入的标准或规范的打开按钮。

      结果 – 您将返回到合规地图主页,其中新导入的标准或规范的侧面板会打开,并且标准或规范在列表视图中展开,显示其顶级层次的要求。

    5. 跳过添加要求下的步骤,然后前往指明要求是否适用并已覆盖
    访问附加标准和规范某些标准和规范会显示一个联系以获取访问权限的标签。请联系您的客户成功经理,了解如何访问这些标准和规范。
    手动添加标准或规范
    1. 单击新建

      添加标准和规范侧面板打开。

    2. 输入以下信息:
      • 标题给标准或规范命名。

        字符最长为 255。名称必须唯一。

      • 描述(可选)提供标准/规范的说明。
        说明

        富文本字段不能超过 524,288 个字符。

    3. 执行以下操作之一:
      • 要添加标准或规范并关闭面板,请单击保存并关闭

        标准或规范即会添加到合规地图中。

      • 要向标准或规范添加要求,请单击保存并创建要求,然后继续执行添加要求的步骤 3。

添加要求

添加要求以填充您的合规地图。

  1. 如果您导入了标准或规范,请单击侧面箭头 展开标准或规范。
  2. 单击 + 添加子级

    添加要求侧面板打开。

  3. 输入以下信息:
    • ID 输入要求的标识符。
    • 标题(可选)可选。给要求命名。

      如果不输入标题,则要求描述的前 255 个字符将显示为树视图中的标题,并且会删除任何 HTML 或富文本格式。

    • 描述提供要求的描述。
      说明

      富文本字段不能超过 524,288 个字符。

  4. 执行以下操作之一:

    • 保存和创建要求选择该选项可保存要求,并在树视图中的相同层次级别添加另一要求。

      说明

      如果您需要在层次结构中添加子级要求或不同级别的要求,请单击保存并关闭,导航至适当的要求,然后单击 + 添加子级

    • 保存并关闭选择该选项可保存要求,并关闭添加详情侧面板。

      新要求在树视图中突出显示,并根据 ID 进行排序。在两个要求具有相同 ID 的情况下,会自动基于要求的创建日期应用二次排序方法。

      说明

      会自动对所有要求进行排序。您不能配置要求的顺序。

      说明

      添加到标准或规范的要求数量,会显示在列表中该标准或规范名称的旁边。

指明要求是否适用并已覆盖

应用专业判断并使满足组织要求的最佳覆盖合理化。

  1. 合规地图页上,单击要求的标题。

    要求详情侧面板打开。

    提示

    以下键盘快捷键可用于处理要求:

    • 箭头键允许您在树视图中上下导航。
    • Enter 键打开所选要求的要求详情侧面板。
    • Esc 键关闭要求详情侧面板。
  2. 适用旁边,通过将开关 切换至来指定该要求是否适用于组织。

  3. 如果您对适用选择了,请在覆盖旁,通过将开关 切换至指定是否覆盖了该要求。

    说明

    默认情况下,所有父级要求都适用,并没有被覆盖。当创建新的子级要求时,子级要求从父级要求继承适用覆盖值。

  4. 可选。在依据旁边,指定将要求标记为适用/不适用和覆盖/未覆盖的原因。
    提示

    您还可以从相关要求复制理由说明。有关详细信息,请参阅处理相关要求

处理相关要求

如果已从合规资源库中导入标准或规范,则可以查看相关要求,或从相关要求复制原因说明。

Diligent 根据行业批准的映射整理相关要求。您可以查看的相关要求的最大数量是 300 个。有关详细信息,请参阅控制与要求之间的关系

  1. 合规地图页上,单击要求的标题。

    要求详情侧面板打开。

  2. 状态下,单击显示要求相关要求侧面板打开并显示相关要求的列表。
  3. 完成下列任一任务:
    • 在新选项卡中查看相关要求 单击相关要求的超链接标题。
    • 将相关要求的理由复制到当前正在处理的要求相关要求侧面板中,在理由旁,单击复制粘贴
      • 如果相关要求没有理由说明,则复制粘贴按钮将被禁用。
      • 如果您处理的要求已经有了理由说明,那么复制的理由将被追加到现有理由的底部。

        提示

        要进一步调整理由说明,可以在复制之后对其进行编辑。

    • 导入包含相关要求的标准或规范 如果存在尚未导入到合规地图的可用相关要求,请在相关要求侧面板的理由字段下,单击权威文档的标题以开始导入过程。
  4. 单击关闭以关闭要求详细信息相关要求侧面板。

将控制映射至要求

通过将控制映射到要求,展示贵组织遵守与业务相关的规范。映射要求也出现在控制透视中,帮助审计员熟悉基于映射要求的控制。

您可以遵循自动建议或手动浏览控制,将控制映射到需求。

说明

可以映射到单个要求的控制项的最大数量是 300 个。

在英文版 Diligent One 中,我们推出了 Maestra 机器学习系统,可针对具体要求提出相关控制项建议。目前,Maestra 仅有英文版,因此,将控制项映射到要求的步骤因使用的 Diligent One 语言版本而异。

  1. 合规地图页上,单击要求的标题。要求详情侧面板打开。
  2. 要求详细信息侧面板中,单击映射控制选择要映射的控制侧面板将打开。
    说明

    如果您没有看到映射控制,则表示您正在查看无法映射的要求的上级或子级。您必须删除群组中现有的映射,然后才能映射其他控制。有关详细信息,请参阅控制与要求之间的关系

    • 单击建议的控制查看来自 Diligent 机器学习服务 Maestra 的建议列表。您可以执行以下任一操作:
      • 单击控制的名称以在新选项卡中查看它。
      • 单击控制项来自的框架名称,在新选项卡中进行查看。
    • 单击浏览控制项,在 Diligent One 实例中按框架浏览控制项。您可以执行以下任一操作:
      • 在搜索框中输入一个关键字以搜索控制。

        您可以按照目标标题、控制 ID,控制标题或控制描述搜索控制。搜索字词在结果中突出显示。

      • 单击过滤器以按框架或目标过滤控制。

        搜索可与任何应用的过滤器组合使用。如果选择框架或目标过滤器,并且搜索控制,则只能在指定的框架或目标中进行搜索。

      • 单击侧箭头 展开框架并查看目标列表。单击目标旁边的侧箭头 ,查看控制项列表。
      • 如果适用,请单击查看更多,即可显示 Diligent One 实例中的所有框架。
  3. 单击要映射到要求的每个控制项旁的映射。每个映射的控制将出现在要求详细信息面板中的映射控制下。以下信息显示在每个映射控制的摘要视图中:
    • 控制 ID控制的标识码
    • 所有者负责控制的人
    • 控制标题控制的标题
    • 描述有关控制的详细信息
    • 框架该控制所来自的框架
    • 测试结果已通过、未通过的控制测试,以及尚未测试的控制
    • 问题与框架控制相关联的所有项目控制中的未结问题总数

      单击问题计数链接可提供问题的弹出列表。您可以单击单个问题以导航到详细信息。

      说明

      总计问题数基于与排查、测试计划和测试轮相关联的活动项目中所有未结并公开的问题。

  4. 可选。请完成以下操作之一:
    • 如需指示控制所覆盖的要求的百分比,请调整控制权重

      您可以指示一个 0% 和 100% 之间的值。默认覆盖范围为 100%。

    • 要导航到框架中的控制,请单击控制 ID 链接。
    • 要导航到框架,请单击框架链接。
    • 要从要求中删除控制关联,请单击取消映射
    • 要将其他控制映射到要求,请单击 + 映射控制
    • 要查看自动映射到单个上级要求或所有下级要求的控制列表以及每个控制的问题聚合数,请查看相关控制部分。
      • 单击控制 ID 链接会将您重定向到适用框架中的控制页面。
      • 单击要求链接将重定向到已映射到相关控制的要求的详细信息。
      • 单击问题计数链接可提供问题的弹出列表。

        您可以单击单个问题以导航到详细信息。

  5. 单击关闭,关闭选择要映射的控制项要求详细信息侧面板。
  1. 合规地图页上,单击要求的标题。要求详情侧面板打开。
  2. 如果您已经将控制映射到相关要求,那么 Diligent 建议将控制映射到要求。如果有控制建议,您可以接受或忽略这些建议。

    建议控制卡首先按关系强度(等效、密切相关、中度相关)排序,然后按要求名称排序,最后按控制 ID 排序。

    • 要求详细信息侧面板中,在建议控制卡中,单击您想接受的建议旁的映射
    • 若要永久忽略建议,请单击控制卡中的取消。如果您错误地忽略了建议,您仍然可以在侧面板中查看相关要求的映射控制列表,并手动映射控制。
  3. 要求详细信息侧面板中,单击 + 映射控制项

    框架控制项侧面板随即打开,并列出 Diligent One 实例中的框架。如果控制项之前已映射到要求,则会自动选中这些控制项。

    说明

    如果您没有看到 + 映射控制,则表示您正在查看无法映射的要求的上级或子级。您必须删除群组中现有的映射,然后才能映射其他控制。有关详细信息,请参阅控制与要求之间的关系

  4. 请执行以下任一操作:
    • 在搜索框中输入一个关键字以搜索控制。

      您可以按照目标标题、控制 ID,控制标题或控制描述搜索控制。搜索字词在结果中突出显示。

    • 单击显示过滤器以按框架或目标过滤控制。

      搜索可与任何应用的过滤器组合使用。如果选择框架或目标过滤器,并且搜索控制,则只能在指定的框架或目标中进行搜索。

    • 单击侧箭头 展开框架并查看目标列表。单击目标旁边的侧箭头 ,查看控制项列表。
    • 如果适用,请单击查看更多,即可显示 Diligent One 实例中的所有框架。
  5. 选择相应的控制项,然后单击完成。每个映射的控制将出现在要求详细信息面板中的映射控制下。以下信息显示在每个映射控制的摘要视图中:
    • 控制 ID控制的标识码
    • 所有者负责控制的人
    • 控制标题控制的标题
    • 描述有关控制的详细信息
    • 框架该控制所来自的框架
    • 测试结果已通过、未通过的控制测试,以及尚未测试的控制
    • 问题与框架控制相关联的所有项目控制中的未结问题总数

      单击问题计数链接可提供问题的弹出列表。您可以单击单个问题以导航到详细信息。

      说明

      总计问题数基于与排查、测试计划和测试轮相关联的活动项目中所有未结并公开的问题。

  6. 可选。请完成以下操作之一:
    • 如需指示控制所覆盖的要求的百分比,请调整控制权重

      您可以指示一个 0% 和 100% 之间的值。默认覆盖范围为 100%。

    • 要导航到框架中的控制,请单击控制 ID 链接。
    • 要导航到框架,请单击框架链接。
    • 要从要求中删除控制关联,请单击取消映射
    • 要将其他控制映射到要求,请单击 + 映射控制
    • 要查看自动映射到单个上级要求或所有下级要求的控制列表以及每个控制的问题聚合数,请查看相关控制部分。
      • 单击控制 ID 链接会将您重定向到适用框架中的控制页面。
      • 单击要求链接将重定向到已映射到相关控制的要求的详细信息。
      • 单击问题计数链接可提供问题的弹出列表。

        您可以单击单个问题以导航到详细信息。

  7. 单击关闭以关闭选择要映射的控制要求详细信息侧面板。

跟踪合规进度

过滤要求列表以跟踪合规进度。

合规地图页面,完成下列任一任务:

单击
任务步骤您看到的内容
查看所有规范和标准的所有适用要求

单击适用

所有“适用”要求的列表,无论它们是否已被标记为“已覆盖”
查看尚未被标记为“已覆盖”的要求单击未覆盖(缺口)

尚未标记为“已覆盖”的适用要求的列表

查看已被标记为“已覆盖”的要求单击已覆盖已被标记为“已覆盖”的适用要求的列表
查看已被标记为“不适用”的要求不适用

所有“不适用”要求的列表

搜索要求在搜索框中输入关键字或短语。与您的搜索词或短语相匹配的要求列表。

查看关于标准、规范或要求的摘要信息,包括:

  • 已覆盖或未覆盖的范围
  • 是否已被标记为“已覆盖”
  • 是否已关联至少一项控制措施
  • 与之相关联的未结问题总数
  • 标准、规范或要求的当前保障计算
查看嵌套树视图中的覆盖范围已覆盖问题控制措施以及保障列。
  • 覆盖范围已标记为“已覆盖”的标准或规范要求的百分比。了解如何计算覆盖范围。
  • 已覆盖指明()是否涵盖某项要求(根据您将该要求标记为已覆盖未覆盖)。如果标准和规范的所有要求均已被标记为“已覆盖”,即视为“已覆盖”该标准和规范。
  • 问题与每个标准或规范,以及树中最顶层(根)的要求相关联的问题聚合数。单击问题计数链接可提供问题的弹出列表。您可以单击单个问题以导航到详细信息。
  • 控制措施图标 () 指明要求包含至少一项映射来的控制措施。
  • 保障表示贵组织对能够满足要求的信心的计算。了解如何计算合规保障。

生成摘要报告

通过生成摘要报告演示您的组织的合规进度。

  1. 单击合规摘要报告
  2. 将 Excel 报告(.xlsx)下载到您的计算机。

    您在合规地图页上应用的任何过滤器都会反映在报告中。每种标准/规范都显示在单独的工作表上。

    提示

    在您的合规地图中按字母数字编制索引的手动创建的要求可能会在 Excel 报告中以不同方式排序。要取得相同的排序,您可以根据需要使用以下命名策略:

    • 父级要求 字母顺序 ID

      示例 A1

    • 子级要求 字母顺序 ID + 数值 ID

      示例 A1-01, A1-02, A1-03