コンプライアンス マップの主要コンセプト

このセクションでは、コンプライアンス マップの背後にある主な概念を調査し、学習できます。

コンプライアンス マップにおける関係

以下の図は、コンプライアンス マップにおける規制または基準、要件、および統制間の関係を説明したものです。

メモ

  • インターフェイス用語はカスタマイズ可能であり、フィールドとタブも設定可能です。ご利用の Diligent One 組織では、一部の用語、フィールド、タブが異なる場合があります。
  • 必須フィールドが空白のままの場合、次の警告メッセージが表示されます:このフィールドは必須です。一部のカスタムフィールドにはデフォルト値が設定されている場合があります。

用語

次の一覧は、コンプライアンス マップで使用される用語の定義を表します。

  • 規制連邦政府省庁が執筆し、発行する当局のドキュメントであり、多くの場合、法令として分類されます。

    FedRAMP 2016 0.1

    グリーン ブック - 改訂版 2014(GAO-14-704G)

    NIST SP 800-53 セキュリティ管理 - Rev4

  • 基準ベスト プラクティスの要件および関連引用文の情報源である当局のドキュメント。

    COBIT 5 フレームワーク

    クレジットカード業界(PCI)のセキュリティ基準

    COSO 内部統制フレームワーク 2013

  • 要件基準または規制をまとめるために確立された一連の指示。

    メモ

    要件は、異なる規制および基準においては原則、特質、活動、タスク、または手順と呼ばれる場合がありますが、プロジェクトでは要件が一般的に使用されます。

    • アプリケーション、データベース、システム構成、ネットワーク構成、ドキュメント、およびメッセージング システムのバックアップ手続きを確立し、実行します。
    • システムの説明、後継系列、および責任をはじめとする、継続計画における運用コンセプトを文書化します。

  • 統制組織による要件へのコンプライアンス達成を保証するための評価基準または基本方針。

    • データ バックアップに関するポリシーおよび手続きが確立されていることにより、従業員の責任が明確になり、すぐに対応できます。
    • 万が一コアの運用システムが失敗した場合に備え、サーバー間のリアルタイムのデータ レプリケーションが「最新の」バックアップを提供するために実施されます。
  • 適用可能要件が組織に該当するか適切かどうかを示します。
  • 対応済み要件が満たされていることを示します。
  • 統制の重み要件のうち、統制の対象となる比率。
  • 対象範囲適用可能な要件が「対応済み」として示されている範囲を示すパーセントでの測定。
  • ギャップ対象となっていない適用可能な要件の総数。
  • 保証満たされている要件への組織の自信を示す計算。

さまざまな専門職への利点

役職利点
  • 最高情報責任者
  • IT コンプライアンス マネージャー
  • 情報セキュリティ マネージャー
  • 顧客および他の興味がある第三者に対して、強力な統制環境が存在することを証明できます。
  • 組織が規制の強制措置またはデータ漏えいにさらされないようにすることができます。
  • コンプライアンス最高責任者
  • コンプライアンス マネージャー
  • 各種の規則と基準を遵守する必要があるビジネスの利害関係者と協力できます。
  • 要件およびマッピングされた統制のドキュメントを一元管理して、コンプライアンスの進捗を管理できます。