Détails des exigences de contrôle dans la CAM vue Objectif du contrôle et Formulaires de contrôle

Rversion finale: Washingtondc

Mis à jour 1 févr. 2024

6 minutes de lecture

La CAM vue du formulaire Contrôle comporte des champs qui ont été ajoutés pour capturer les détails des exigences de contrôle.

Pour tenir compte des détails des exigences de contrôle dans la CAM vue d’un formulaire d’objectif de contrôle et d’un formulaire de contrôle, une liste connexe des exigences d’objectif de contrôle et une liste connexe des exigences de contrôle sont ajoutées, respectivement.

Remarque :

Les vues du formulaire Objectif du contrôle et du formulaire Contrôle dans la CAM vue sont presque identiques à celles des formulaires Objectif du contrôle et Contrôle utilisés dans Policy and Compliance Management. Toutefois, certains champs ont été supprimés et d’autres ajoutés dans les formulaires pour capturer les détails des exigences de contrôle.

CAM vue d’un formulaire d’objectif de contrôle

Tableau 1. CAM Vue du formulaire Objectif de contrôle
Champ	Description
Référence	Identificateur numérique unique ou numéro de référence du contenu.
Nom	Nom de l’objectif du contrôle.
Source	Source de l’objectif de contrôle, qui est NIST 800-53 révision 5 pour lequel les modèles de test sont fournis.
Parent	Objectif de contrôle qui n’est pas un enfant de l’objectif de contrôle actuel. Cette relation a pour but d’éviter la relation cyclique parent-enfant.
Score de conformité (%)	Score de conformité (%) calculé pour cet objectif de contrôle et son code de couleur : 80 et plus en vert 80 à 50 en jaune moins de 50 en rouge
Actif	Option permettant d’activer un objectif de contrôle.
Crée automatiquement des contrôles	Option permettant d’indiquer que les contrôles sont automatiquement créés lorsqu’une entité est associée à partir de la liste connexe Entités supplémentaires en sélectionnant le bouton Ajouter une relation et l’entité.
Créer des exigences de contrôle	Option permettant de générer automatiquement les exigences de contrôle pour l’objectif de contrôle. Remarque : S’il n’y a pas d’exigences d’objectif de contrôle, il n’y en aura pas non plus.
Attestation	Référence au type de mesure. L’attestation GRC est choisie par défaut. Remarque : Si l’utilisateur modifie l’attestation du contrôle, le type d’attestation de l’objectif du contrôle connexe change également.
Impact	Impact potentiel sur les fonctions business en raison de la perte de confidentialité, d’intégrité ou de disponibilité de la cible et des données.
Guide organisationnel	Définitions de contrôle de sécurité du NIST qui, lorsqu’elles sont désignées comme définitions de contrôle communes par les organisations, sont héréditaires par une ou plusieurs cibles organisationnelles.
Description	Description de l’objectif du contrôle.
Recommandation complémentaire	S’il s’agit d’un objectif de contrôle provenant de la norme NIST 800-53 révision 4, alors une direction pour l’implémentation de l’objectif de contrôle.
Discussion	S’il s’agit d’un objectif de contrôle provenant de la norme NIST 800-53 révision 5, il s’agit des informations relatives au contenu provenant du NIST.

Les objectifs de contrôle ne sont que des lignes directrices et ne sont pas spécifiques à une entité ou à un objet. Vous pouvez lier un objectif de contrôle à n’importe quelle exigence d’objectif de contrôle, et une exigence d’objectif de contrôle à n’importe quel nombre d’objectifs de contrôle, car la relation entre l’objectif de contrôle et l’exigence d’objectif de contrôle est de type plusieurs-à-plusieurs.

Tableau 2. Liste connexe des exigences d’objectifs de contrôle
Champ	Description
Numéro de l'exigence	Numéro de l’exigence de l’objectif du contrôle.
Actif	Option pour rendre l’exigence active.
Description	Description détaillée de l’exigence pour l’objectif du contrôle.

Dans la liste connexe des exigences d’objectif de contrôle, vous pouvez sélectionner le bouton Nouveau pour créer une exigence pour l’objectif de contrôle si nécessaire, en fonction des exigences générées. Vous pouvez également sélectionner le bouton Modifier pour ajouter une exigence existante en matière d’objectif de contrôle à l’objectif de contrôle.

Remarque :

Si l’objectif du contrôle est à l’état Inactif, vous ne pouvez pas créer ni ajouter de besoins pour l’objectif du contrôle. Par conséquent, les boutons Nouveau et Modifier ne sont pas disponibles.
Si l’exigence d’objectif de contrôle est inactive, vous ne pouvez pas ajouter d’objectif de contrôle à l’exigence d’objectif de contrôle.

CAM vue du formulaire Contrôle

Tableau 3. CAM vue du formulaire de contrôle
Champ	Description
Référence	Identificateur unique.
Nom	Nom du contrôle.
Numéro	Numéro d’identification unique du contrôle.
Entité	Entité connexe. Remarque : Si vous faites passer l’état de l’entité de l’état Actif à l’état Mis hors service, le contrôle créé manuellement sur l’entité passe également à l’état Brouillon.
Objectif du contrôle	Objectif du contrôle connexe.
Propriétaire	Utilisateur propriétaire de la politique. Remarque : Le propriétaire est toujours ajouté en tant que personne interrogée. Le propriétaire du contrôle que vous sélectionnez appartient au groupe propriétaire.
Statut	État de contrôle. Les choix possibles sont : Conforme Non conformes Non applicable
État	État du contrôle. Les choix possibles sont : Brouillon : lorsque le contrôle est créé à partir d’un objectif de contrôle, les contrôles sont dans cet état. Dans cet état, tous les utilisateurs de conformité peuvent modifier le contrôle. Disponible uniquement lors de la création d’un contrôle ponctuel. Des contrôles ponctuels sont possibles mais non recommandés. Attester : lorsque vous sélectionnez le bouton Attester et que vous prenez des attestations, le contrôle passe à cet état. Remarque : Lorsqu’un contrôle revient à l’état de brouillon, l’attestation est annulée. Révision : les contrôles sont automatiquement déplacés vers Révision à partir de la phase d’attestation. Surveiller : dans cet état, tous les gestionnaires de conformité peuvent déplacer le contrôle de l’état Révision à l’état Surveiller. Mis hors service : les gestionnaires ou les administrateurs de conformité peuvent déplacer un contrôle de Moniteur vers Mis hors service. Remarque : Lorsqu’un contrôle est mis hors service : Les indicateurs associés ne s’exécutent pas Les attestations associées sont annulées Les changements apportés aux objectifs de contrôle associés ne mettent pas à jour le contrôle
Package d'autorisation	Package d’autorisation auquel le contrôle est associé ou d’où il provient.
Fréquence	Liste des options : Événementiel Quotidien Hebdomadaire Mensuel Trimestriel 2 fois par an Annuel L’attestation est envoyée en fonction de la valeur sélectionnée pour le contrôle ou l’exigence de contrôle. Remarque : Pour plus d’informations sur la différence entre le champ Fréquence d’un contrôle et le champ Fréquence d’attestation d’une entité, consultez KB0694607.
Pondération	Valeur utilisée pour calculer l’efficacité du score de contrôle. En fonction de la pondération de contrôle, la valeur d’efficacité du score de contrôle est calculée.
Groupe propriétaire	Groupe propriétaire de la politique.
Allocation de contrôle	Type de contrôle créé. Il peut s’agir d’un système spécifique ou hybride.
Description	Description du contrôle.
Discussion	Informations relatives au contenu issues de la norme NIST 800-53 révision 5.
Recommandation complémentaire	S’il s’agit d’un contrôle provenant de la norme NIST 800-53 révision 4, il s’agit d’une direction pour l’implémentation du contrôle.
Déclaration d’implémentation	Une explication sur la façon dont le contrôle va être implémenté. Il s’agit d’une information obligatoire si le contrôle est créé à partir d’un package d’autorisation et à l’état Brouillon.
Attestation
Prendre attestation au niveau des exigences	Option pour envoyer des attestations au niveau de l’exigence de contrôle et non au niveau du contrôle.
Attestation	Sélectionnez une option dans une liste d’options. D’autres types d’attestation peuvent être configurés. Si ce champ est renseigné, le champ Personnes chargées de répondre sur l’attestation devient automatiquement obligatoire et le propriétaire devient la personne chargée de répondre. Remarque : Si l’utilisateur modifie le type d’attestation dans l’objectif du contrôle, tous les contrôles connexes sont également modifiés.
Personnes chargées de répondre sur l'attestation	Utilisateurs affectés à l’attestation de ce contrôle. Seul un utilisateur ayant le rôle sn_grc.user peut être ajouté en tant que personne chargée de répondre. Remarque : Lorsque les champs Attestation et Personnes chargées de répondre sur Attestation sont définis, des attestations sont créées lorsque vous sélectionnez Attester.
Journal d'activité
Commentaires supplémentaires	Informations publiques sur le contrôle.
Activités	Journaux de messages de changement d’état de contrôle.

Tableau 4. Liste connexe des exigences de contrôle
Champ	Description
Numéro	Numéro unique de l’exigence de contrôle.
Numéro de l'exigence	Numéro de référence.
Contrôle	Contrôle auquel l’exigence de contrôle est associée.
Statut	État de l’exigence de contrôle.
État	État du besoin.
Fréquence	Fréquence de contrôle.
Description	Description de l’exigence de contrôle.
Attestation
Attestation	Type de mesure d’attestation.
Personnes chargées de répondre sur l'attestation	Utilisateurs qui attestent l’exigence de contrôle.
Journal d'activité
Commentaires supplémentaires	Informations sur l’exigence de contrôle. Lorsque l’exigence d’objectif de contrôle est dissociée, c’est-à-dire supprimée ou supprimée, l’exigence de contrôle devient manuelle. Ces informations sont consignées dans ce champ.
Activités	Journaux de messages de changement d’état de l’exigence de contrôle.