Detalhes do requisito de controle na exibição CAM do objetivo de controle e dos formulários de controle

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 6 min. de leitura

    • A exibição CAM do formulário de controle tem campos que foram adicionados para capturar os detalhes do requisito de controle.

    Para acomodar os detalhes do requisito de controle na exibição CAM de um formulário de objetivo de controle, uma lista relacionada de requisitos de objetivo de controle é adicionada.

    Nota:
    As exibições do formulário de objetivo de controle e do formulário de controle na exibição CAM são quase as mesmas que as do objetivo de controle e dos formulários de controle usados em Gestão de políticas e conformidade. No entanto, alguns campos foram removidos e alguns adicionados nos formulários para capturar os detalhes do requisito de controle.

    CAM exibição de um formulário de objetivo de controle

    Tabela 1. CAM exibição do formulário de objetivo de controle
    Campo Descrição
    Referência Identificador numérico exclusivo ou o número de referência do conteúdo.
    Família Objetivos de controle agrupados em uma família.
    Ativo Opção para ativar um objetivo de controle.
    ID de família Identificação exclusiva para uma família de objetivos de controle.
    Nome Nome do objetivo de controle.
    Fonte Origem do objetivo de controle, que é o NIST 800-53 revisão 5 para o qual os modelos de teste são fornecidos.
    Primário(a) Objetivo de controle que não é secundário do objetivo de controle atual. Este relacionamento serve para evitar o relacionamento primário-secundário cíclico.
    Pontuação de conformidade (%) Percentual de pontuação de conformidade calculado para este objetivo de controle e seu código de cores:
    • 80 e mais em verde
    • 80 a 50 em amarelo
    • abaixo de 50 em vermelho
    Cria controles automaticamente Opção para indicar que os controles são criados automaticamente quando uma entidade é associada na lista relacionada Entidades adicionais selecionando Adicionar relacionamento e a entidade.
    Criar requisitos de controle Opção para gerar requisitos de controle automaticamente para o objetivo de controle.
    Nota:
    Se não houver requisitos de objetivo de controle, também não haverá requisitos de controle.
    Certificação Referência ao tipo de métrica. A certificação GRC é escolhida por padrão.
    Nota:
    Se o usuário alterar a certificação de controle, o tipo de certificação de objetivo de controle relacionado também será alterado.
    Impacto em Possível impacto nas funções de negócios devido à perda de confidencialidade, integridade ou disponibilidade de destino e dados.
    Orientação organizacional Definições de controle de segurança do NIST, que quando designadas como definições de controle comuns por organizações, são herdáveis por uma ou mais metas organizacionais.
    Descrição Descrição do objetivo de controle.
    Orientação suplementar Se for um objetivo de controle fornecido pelo NIST 800-53 revisão 4, uma direção para a implementação do objetivo de controle.
    Discussão Se for um objetivo de controle fornecido pelo NIST 800-53 revisão 5, as informações relacionadas ao conteúdo que são fornecidas pelo NIST.

    Os objetivos de controle são apenas diretrizes e não são específicos a uma entidade ou a qualquer objeto. Você pode vincular um objetivo de controle a qualquer requisito de objetivo de controle e um requisito de objetivo de controle a qualquer número de objetivos de controle, já que o relacionamento entre o objetivo de controle e o requisito de objetivo de controle é de muitos para muitos.

    Tabela 2. Lista relacionada de requisitos de objetivo de controle
    Campo Descrição
    Número do requisito Número do requisito do objetivo de controle.
    Ativo Opção para tornar o requisito ativo.
    Descrição Descrição detalhada sobre o requisito para o objetivo de controle.
    Na lista relacionada Requisitos do objetivo de controle, você pode selecionar Novo para criar um requisito para o objetivo de controle, se necessário, com base no qual os requisitos são gerados. Ou selecione Editar para adicionar um requisito de objetivo de controle existente ao objetivo de controle.
    Nota:
    • Se o objetivo de controle estiver no estado Inativo, você não poderá criar ou adicionar requisitos de objetivo de controle. Portanto, Novo e Editar não estão disponíveis.
    • Se o requisito de objetivo de controle estiver inativo, você não poderá adicionar um objetivo de controle ao requisito de objetivo de controle.

    CAM exibição do formulário de controle

    Tabela 3. CAM exibição do formulário de controle
    Campo Descrição
    Referência Identificador exclusivo.
    Nome Nome do controle.
    Número Número de identificação exclusivo do controle.
    Entidade Entidade relacionada.
    Nota:
    Se você alterar o estado da entidade para Ativo do estado Descontinuado, o controle criado manualmente na entidade também será movido para o estado Rascunho.
    Objetivo do controle Objetivo de controle relacionado.
    Responsável Usuário proprietário da política.
    Nota:
    O proprietário é sempre adicionado como um entrevistado. O proprietário do controle selecionado pertence ao grupo responsável.
    Status Status do controle. As opções possíveis são:
    • Em conformidade
    • Fora de conformidade
    • Não aplicável
    Estado Estado do controle. As opções possíveis são:
    • Rascunho: quando o controle é criado a partir de um objetivo de controle, os controles estão neste estado. Nesse estado, todos os usuários de conformidade podem modificar o controle. Disponível somente ao criar um controle único. Controles pontuais são possíveis, mas não recomendados.
    • Certificar: quando você seleciona Certificar e obter certificações, o controle passa para este estado.
      Nota:
      Quando um controle é definido novamente como rascunho, a certificação é cancelada.
    • Revisão: os controles são movidos automaticamente para revisão da fase de certificação.
    • Monitorar: neste estado, todos os gerentes de conformidade podem mover o controle da revisão para o monitoramento.
    • Descontinuado: os gerentes ou administradores de conformidade podem mover um controle de Monitor para Descontinuado.
      Nota:
      Quando um controle é descontinuado:
      • Indicadores associados não são executados
      • As certificações associadas foram canceladas
      • As mudanças nos objetivos de controle associados não atualizam o controle
    Pacote de autorização O pacote de autorização ao qual o controle está associado ou do qual é originário.
    Frequência Lista de opções:
    • Orientado por evento
    • Diariamente
    • Semanalmente
    • Mensalmente
    • Trimestralmente
    • Semestralmente
    • Anualmente
    A certificação é enviada com base no valor selecionado para o controle ou requisito de controle.
    Nota:
    Para obter informações sobre a diferença entre o campo Frequência de um controle e o campo Frequência de certificação em uma entidade, consulte KB0694607.
    Ponderação Valor usado ao calcular a eficácia da pontuação de controle.
    Grupo responsável Grupo proprietário da política.
    Alocação de controle Tipo de controle criado: específico do sistema ou híbrido.
    Descrição Descrição do controle.
    Discussão Informações relacionadas ao conteúdo do NIST 800-53 revisão 5.
    Orientação suplementar Se for um controle fornecido pelo NIST 800-53 revisão 4, uma direção para a implementação do controle.
    Declaração de implementação Uma explicação sobre como o controle será implementado.

    Essas informações serão necessárias se o controle for criado a partir de um pacote de autorização e no estado Rascunho.
    Certificação
    Obter certificação no nível do requisito Opção para enviar certificações no nível de requisito de controle e não no nível de controle.
    Certificação

    Selecione em uma lista de opções.

    • Outros tipos de certificação podem ser configurados.
    • Se este campo estiver preenchido, o valor de Respondentes de certificação será necessário e o proprietário se tornará o entrevistado.
    Nota:
    Se o usuário mudar o tipo de certificação no objetivo de controle, todos os controles relacionados também serão alterados.
    Entrevistados da certificação
    • Usuários atribuídos à certificação deste controle.
    • Somente um usuário com a função sn_grc.user pode ser adicionado como entrevistado.
    Nota:
    Quando os campos Certificação e Entrevistados de certificação estão definidos, as certificações são criadas quando você seleciona Certificar.
    Registro de atividades
    Comentários adicionais Informações públicas sobre o controle.
    Atividades Logs de mensagens de mudança de estado de controle.
    Tabela 4. Lista relacionada de requisitos de controle
    Campo Descrição
    Número Número exclusivo do requisito de controle.
    Número do requisito Número de referência.
    Controle Controle ao qual o requisito de controle está associado.
    Status Status do requisito de controle.
    Estado Estado do requisito.
    Frequência Frequência de controle.
    Descrição Descrição do requisito de controle.
    Certificação
    Certificação Tipo de métrica de certificação.
    Entrevistados da certificação Usuários que atestam o requisito de controle.
    Registro de atividades
    Comentários adicionais Informações sobre o requisito de controle.

    Quando o requisito do objetivo de controle é dissociado, removido ou excluído, o requisito de controle se torna manual. Essas informações são registradas neste campo.
    Atividades Logs de mensagens da mudança de estado do requisito de controle.