Kontrollanforderungsdetails in der Ansicht CAM des Kontrollziels und der Kontrollformulare

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 5 Minuten Lesedauer

    • Die Ansicht CAM des Steuerungsformulars enthält Felder, die hinzugefügt wurden, um die Steuerungsanforderungsdetails zu erfassen.

    Um die Steuerungsanforderungsdetails in der Ansicht CAM eines Steuerungszielformulars und eines Steuerungsformulars aufzunehmen, werden eine zugehörige Liste „Steuerungszielanforderungen“ und eine zugehörige Liste „Steuerungsanforderungen“ hinzugefügt.

    Hinweis:
    Die Ansichten des Kontrollzielformulars und des Kontrollformulars in der Ansicht CAM sind fast identisch mit den in Policy and Compliance Managementverwendeten Kontrollziel- und Kontrollformularen. Einige Felder wurden jedoch entfernt und andere in den Formularen hinzugefügt, um die Steuerungsanforderungsdetails zu erfassen.

    CAM -Ansicht eines Kontrollzielformulars

    Tabelle : 1. CAM -Ansicht des Kontrollzielformulars
    Feld Beschreibung
    Referenz Eindeutiger numerischer Bezeichner oder die Inhaltsreferenznummer.
    Name Name des Kontrollziels.
    Quelle Quelle des Kontrollziels, NIST 800-53 Revision 5, für die die Testvorlagen bereitgestellt werden.
    Übergeordnet Kontrollziel, das dem aktuellen Kontrollziel nicht untergeordnet ist. Diese Beziehung dient dazu, eine zyklische Übergeordnet-Untergeordnet-Beziehung zu vermeiden.
    Compliance-Bewertung (%) Prozentsatz der Compliance-Bewertung, der für dieses Kontrollziel und sein Farbcode berechnet wird:
    • 80 und höher in Grün
    • 80 bis 50 in Gelb
    • unter 50 in Rot
    Aktiv Option zum Aktivieren eines Kontrollziels.
    Erstellt automatisch Steuerelemente Option, um anzugeben, dass Steuerungen automatisch erstellt werden, wenn eine Entität aus der zugehörigen Liste Zusätzliche Entitäten zugeordnet wird, indem die Schaltfläche Beziehung hinzufügen und die Entität ausgewählt wird.
    Steuerungsanforderungen erstellen Option zum automatischen Generieren von Steuerungsanforderungen für das Steuerungsziel.
    Hinweis:
    Wenn keine Kontrollzielanforderungen vorhanden sind, gibt es auch keine Kontrollanforderungen.
    Bestätigung Verweis auf den Metriktyp. GRC-Nachweis ist standardmäßig ausgewählt.
    Hinweis:
    Wenn der Benutzer den Kontrollnachweis ändert, wird auch der zugehörige Kontrollziel-Nachweistyp geändert.
    Auswirkung Potenzielle Auswirkung auf Geschäftsfunktionen aufgrund des Verlusts der Vertraulichkeit, Integrität oder Verfügbarkeit von Ziel und Daten.
    Organisatorischer Leitfaden Sicherheitskontrolldefinitionen von NIST, die, wenn sie von Organisationen als allgemeine Kontrolldefinitionen festgelegt werden, von einem oder mehreren Organisationszielen vererbt werden können.
    Beschreibung Beschreibung des Kontrollziels.
    Zusätzliche Anleitung Wenn es sich um ein Kontrollziel handelt, das nach NIST 800-53 Revision 4 bezogen wird, dann eine Richtung für die Implementierung des Kontrollziels.
    Diskussion Wenn es sich um ein Kontrollziel handelt, das von NIST 800-53 Revision 5 bezogen wird, dann werden inhaltsbezogene Informationen von NIST bezogen.

    Kontrollziele sind nur Richtlinien und nicht spezifisch für eine Entität oder ein Objekt. Sie können ein Steuerungsziel mit einer beliebigen Steuerungszielanforderung und eine Steuerungszielanforderung mit einer beliebigen Anzahl von Steuerungszielen verknüpfen, da die Beziehung zwischen dem Steuerungsziel und der Steuerungszielanforderung eine m:n-Beziehung ist.

    Tabelle : 2. Zugehörige Liste „Steuerungszielanforderungen“.
    Feld Beschreibung
    Anforderungsnummer Anforderungsnummer des Kontrollziels.
    Aktiv Option zum Aktivieren der Anforderung.
    Beschreibung Detaillierte Beschreibung der Anforderung für das Kontrollziel.
    In der zugehörigen Liste „Steuerungszielanforderungen“ können Sie auf die Schaltfläche Neu klicken, um bei Bedarf basierend auf den generierten Anforderungen eine Anforderung für das Steuerungsziel zu erstellen. Oder wählen Sie die Schaltfläche Bearbeiten, um dem Kontrollziel eine vorhandene Kontrollzielanforderung hinzuzufügen.
    Hinweis:
    • Wenn sich das Kontrollziel im Status „Inaktiv“ befindet, können Sie keine Kontrollzielanforderungen erstellen oder hinzufügen. Daher sind die Schaltflächen Neu und Bearbeiten nicht verfügbar.
    • Wenn die Kontrollzielanforderung inaktiv ist, können Sie der Kontrollzielanforderung kein Kontrollziel hinzufügen.

    CAM -Ansicht des Steuerungsformulars

    Tabelle : 3. CAM -Ansicht des Steuerungsformulars
    Feld Beschreibung
    Referenz Eindeutiger Identifier.
    Name Name der Kontrolle.
    Nummer Eindeutige Identifikationsnummer der Kontrolle.
    Entität Zugehörige Entität.
    Hinweis:
    Wenn Sie den Status der Entität vom Status Deaktiviert in Aktiv ändern, wird das manuell erstellte Steuerelement für die Entität ebenfalls in den Status Entwurf verschoben.
    Kontrollziel Zugehöriges Kontrollziel.
    Besitzer Benutzer, der die Police besitzt.
    Hinweis:
    Der Besitzer wird immer als Befragter hinzugefügt. Der von Ihnen ausgewählte Steuerungsbesitzer gehört zur Besitzergruppe.
    Status Kontrollstatus. Mögliche Auswahlmöglichkeiten sind:
    • Konform
    • Nicht konform
    • Nicht zutreffend
    Status Kontrollstatus. Mögliche Auswahlmöglichkeiten sind:
    • Entwurf: Wenn die Kontrolle aus einem Kontrollziel erstellt wird, befinden sich die Kontrollen in diesem Status. In diesem Status können alle Compliance-Benutzer die Steuerung ändern. Nur verfügbar, wenn eine einmalige Steuerung erstellt wird. Einmalige Kontrollen sind möglich, werden jedoch nicht empfohlen.
    • Nachweis: Wenn Sie auf die Schaltfläche Nachweis klicken und Nachweise vornehmen, wird die Steuerung in diesen Status versetzt.
      Hinweis:
      Wenn eine Kontrolle auf „Entwurf“ zurückgesetzt wird, wird die Bestätigung abgebrochen.
    • Prüfung: Steuerungen werden automatisch aus der Nachweisphase in die Prüfung verschoben.
    • Überwachen: In diesem Status können alle Compliance-Manager die Steuerung von „Überprüfung“ zu „Überwachen“ verschieben.
    • Deaktiviert: Compliance-Manager oder -Administratoren können eine Steuerung von „Überwachen“ in „Deaktiviert“ verschieben.
      Hinweis:
      Wenn eine Steuerung außer Kraft gesetzt wird:
      • Zugeordnete Indikatoren werden nicht ausgeführt
      • Zugeordnete Nachweise werden abgebrochen
      • Durch Änderungen an zugeordneten Kontrollzielen wird die Kontrolle nicht aktualisiert
    Autorisierungspaket Das Autorisierungspaket, dem die Kontrolle zugeordnet ist oder aus dem sie stammt.
    Häufigkeit Liste der Optionen:
    • Ereignisgesteuert
    • Täglich
    • Wöchentlich
    • Monatlich
    • Vierteljährlich
    • Halbjährlich
    • Jährlich
    Der Nachweis wird basierend auf dem für die Steuerung oder Steuerungsanforderung ausgewählten Wert gesendet.
    Hinweis:
    Informationen zum Unterschied zwischen dem Feld Häufigkeit für ein Steuerelement und dem Feld Nachweishäufigkeit in einer Entität finden Sie unter KB0694607.
    Gewichtung Wert, der zur Berechnung der Effektivität der Kontrollpunktzahl verwendet wird. Basierend auf der Kontrollgewichtung wird der Effektivitätswert der Kontrollpunktzahl berechnet.
    Verantwortliche Gruppe Gruppe, die die Richtlinie besitzt.
    Steuerungszuordnung Typ der erstellten Kontrolle. Er kann entweder systemspezifisch oder hybrid sein.
    Beschreibung Beschreibung der Kontrolle.
    Diskussion Inhaltsbezogene Informationen aus NIST 800-53 Revision 5.
    Zusätzliche Anleitung Wenn es sich um eine Steuerung handelt, die von NIST 800-53 Revision 4 bezogen wird, dann eine Anweisung für die Steuerungsimplementierung.
    Implementierungsstellungnahme Eine Erklärung dazu, wie die Kontrolle implementiert wird.

    Dies ist eine erforderliche Information, wenn die Steuerung aus einem Autorisierungspaket erstellt wird und sich im Status „Entwurf“ befindet.
    Bestätigung
    Einen Nachweis auf Anforderungsebene vornehmen Option zum Senden von Nachweisen auf Steuerungsanforderungsebene und nicht auf Steuerungsebene.
    Bestätigung

    Wählen Sie aus einer Liste von Optionen aus.

    • Andere Nachweistypen können konfiguriert werden.
    • Wenn dieses Feld ausgefüllt wird, wird das Feld Attestierungsteilnehmer automatisch obligatorisch, und der Besitzer wird zum Befragten.
    Hinweis:
    Wenn der Benutzer den Nachweistyp im Kontrollziel ändert, werden auch alle zugehörigen Steuerungen geändert.
    Nachweisteilnehmer
    • Benutzer, die dem Nachweis dieser Kontrolle zugewiesen sind.
    • Nur ein Benutzer mit der Rolle „sn_grc.user“ kann als Befragter hinzugefügt werden.
    Hinweis:
    Wenn beide Felder Nachweis und Nachweisteilnehmer festgelegt sind, werden Nachweise erstellt, wenn Sie Nachweis wählen.
    Aktivitäts-Journal
    Zusätzliche Kommentare Öffentliche Informationen über die Kontrolle.
    Aktivitäten Nachrichtenprotokolle der Steuerungsstatusänderung.
    Tabelle : 4. Zugehörige Liste „Steuerungsanforderungen“.
    Feld Beschreibung
    Nummer Eindeutige Nummer der Steuerungsanforderung.
    Anforderungsnummer Referenznummer.
    Kontrolle Steuerung, der die Steuerungsanforderung zugeordnet ist.
    Status Status der Steuerungsanforderung.
    Status Anforderungsstatus.
    Häufigkeit Kontrollhäufigkeit.
    Beschreibung Beschreibung der Steuerungsanforderung.
    Bestätigung
    Bestätigung Typ der Nachweismetrik.
    Nachweisteilnehmer Benutzer, die die Steuerungsanforderung nachweisen.
    Aktivitäts-Journal
    Zusätzliche Kommentare Informationen zur Steuerungsanforderung.

    Wenn die Steuerungszielanforderung getrennt, also entfernt oder gelöscht wird, wird die Steuerungsanforderung manuell. Diese Informationen werden in diesem Feld protokolliert.
    Aktivitäten Nachrichtenprotokolle der Statusänderung der Steuerungsanforderung.