An integrated Governance, Risk and Compliance (GRC) is one of the most important business requirements in any organization to tackle any cybersecurity threat. The absence of scientific references regarding GRC is leading to a dispersion of concepts involving this topic. Without boundaries and correct domain definition, poor implementation of GRC solutions can lead to low performances and high vulnerabilities for organizations. This research paper discusses the GRC model framework in detail and its ability in providing correct information workflow and proposes a set of high-level concepts covering the GRC domain. The key functions of governance, risk and compliance and their associations, resulting in a reference conceptual model for integrated GRC are presented. The GRC model is evaluated by comparing the GRC capability model with information security management system (ISMS) and key comparisons are made for risk assessment between GRC and ISMS with an evaluation framework.
Un model de guvernanță, risc și conformitate (GRC) integrat este una dintre cele mai importante cerințe de afaceri din orice organizație pentru a aborda orice amenințare de securitatea cibernetică. Absența referințelor științifice referitoare la GRC duce la o dispersie a conceptelor care vizează acest subiect. Fără limite și definirea corectă a domeniului, implementarea defectuoasă a soluțiilor GRC poate duce la performanțe scăzute și vulnerabilități severe în cadrul organizațiilor. Această lucrare de cercetare evidențiază în detaliu cadrul modelului GRC și capacitatea necesară acestuia de a furniza un flux de lucru corect al informațiilor, precum și propune un set de concepte de nivel înalt care acoperă domeniul GRC. Sunt prezentate funcțiile cheie ale guvernanței, riscului și conformității și asocierile acestora, rezultând un model conceptual de referință pentru GRC integrat. Modelul GRC este evaluat prin compararea modelului de capacitate GRC cu sistemul de management al securității informațiilor (ISMS) și se identifică comparațiile cheie pentru evaluarea riscurilor între GRC și ISMS cu un framework de evaluare.