Définir les exigences d’un contrôle au niveau de l’objectif du contrôle

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Vous pouvez décomposer un contrôle à un niveau plus granulaire en exigences lorsque vous générez le contrôle au niveau de l’objectif du contrôle.

    La définition des exigences de contrôle aide à :
    • Évaluateur des contrôles de sécurité (SCA) : évaluer individuellement chaque exigence du contrôle si les tests de contrôle comportent différents aspects.
    • Agent d’autorisation (AO), Responsable de la sécurité du système d’information (ISSO) et Responsable de la sécurité du système d’information (ISSM) : Comprendre l’exigence qui a échoué, ce qui conduit à la non-conformité du contrôle, au lieu d’évaluer la défaillance du contrôle dans son ensemble.
    • Répondant d’attestation identifié pour un contrôle : pour répondre au niveau des exigences de contrôle, qui est à un niveau plus granulaire, plutôt qu’au niveau du contrôle.

    En tant CAM qu’utilisateur, vous pouvez décomposer les contrôles pour contrôler les exigences, gérer les exigences plus efficacement, les attester individuellement et autoriser le package. Vous pouvez également définir les exigences et les créer au niveau de l’objectif de contrôle lors de la génération de contrôles.

    Création de contenu NIST à partir de la description de l’objectif de contrôle en tant qu’exigences de contrôle

    Le ServiceNow système de base envoie aux utilisateurs les exigences de contrôle générées par les objectifs CAM de contrôle NIST 800-53 révision 5. Le champ Description du formulaire Objectif de contrôle répertorie les exigences réparties sous forme de sous-points avec des sous-numéros. La référence de l’objectif de contrôle est associée à chaque sous-numéro ou clause dans le champ Description et référencée comme numéro d’exigence dans l’exigence d’objectif de contrôle. Par exemple, si la référence de l’objectif de contrôle est IR-9 et que la description de l’objectif de contrôle commence par un sous-numéro (a.), les deux sont regroupés pour générer la première exigence d’objectif de contrôle en tant que IR-9.a, avec d’autres sous-numéros ajoutés si disponibles. Par conséquent, s’il y a environ sept sous-descriptions, sept exigences de contrôle sont générées.

    Numéro de l’exigence de contrôle.