Détails des exigences de contrôle dans la vue de l’objectif de contrôle CAM et des formulaires de contrôle
La CAM vue du formulaire de contrôle comporte des champs qui ont été ajoutés pour capturer les détails des exigences de contrôle.
Pour tenir compte des détails des exigences de contrôle dans la CAM vue d’un formulaire d’objectif de contrôle, une liste connexe des exigences d’objectifs de contrôle est ajoutée.
Remarque :
Les vues du formulaire d’objectif de contrôle et du formulaire de contrôle dans la CAM vue sont presque identiques à celles de l’objectif de contrôle et des formulaires de contrôle utilisés dans Gestion de la politique et de la conformité. Toutefois, certains champs ont été supprimés et d’autres ajoutés dans les formulaires pour capturer les détails des exigences de contrôle.
CAM vue d’un formulaire d’objectif de contrôle
| Champ | Description |
|---|---|
| Référence | Identificateur numérique unique ou numéro de référence du contenu. |
| Famille | Objectifs de contrôle regroupés dans une famille. |
| Actif | Option permettant d’activer un objectif de contrôle. |
| ID de famille | Identification unique pour une famille d’objectifs de contrôle. |
| Nom | Nom de l’objectif du contrôle. |
| Source | Source de l’objectif de contrôle, qui est NIST 800-53 révision 5 pour lequel les modèles de tests sont fournis. |
| Société parente | Objectif de contrôle qui n’est pas un enfant de l’objectif de contrôle actuel. Cette relation permet d’éviter les relations cycliques parent-enfant. |
| Score de conformité (%) | Score de conformité (%) calculé pour cet objectif de contrôle et son code couleur :
|
| Crée automatiquement des contrôles | Option permettant d’indiquer que les contrôles sont automatiquement créés lorsqu’une entité est associée à partir de la liste connexe Entités supplémentaires en sélectionnant Ajouter une relation et l’entité. |
| Créer des exigences de contrôle | Option permettant de générer automatiquement des exigences de contrôle pour l’objectif de contrôle. Remarque : S’il n’y a pas d’exigences d’objectifs de contrôle, il n’y aura pas d’exigences de contrôle non plus. |
| Attestation | Référence au type de mesure. L’attestation GRC est choisie par défaut. Remarque : Si l’utilisateur modifie l’attestation de contrôle, le type d’attestation de l’objectif du contrôle connexe change également. |
| Impact | Impact potentiel sur les fonctions business en raison de la perte de confidentialité, d’intégrité ou de disponibilité de la cible et des données. |
| Guide organisationnel | Les définitions de contrôle de sécurité du NIST, qui, lorsqu’elles sont désignées comme des définitions de contrôle communes par les organisations, peuvent être héritées par une ou plusieurs cibles organisationnelles. |
| Description | Description de l’objectif du contrôle. |
| Recommandation complémentaire | S’il s’agit d’un objectif de contrôle provenant de la norme NIST 800-53 révision 4, une directive pour l’implémentation de l’objectif de contrôle. |
| Discussion | S’il s’agit d’un objectif de contrôle provenant de la norme NIST 800-53 révision 5, les informations relatives au contenu provenant du NIST sont issues du NIST. |
Les objectifs de contrôle ne sont que des lignes directrices et ne sont pas spécifiques à une entité ou à un objet. Vous pouvez lier un objectif de contrôle à n’importe quelle exigence d’objectif de contrôle, et une exigence d’objectif de contrôle à n’importe quel nombre d’objectifs de contrôle, car la relation entre l’objectif de contrôle et l’exigence d’objectif de contrôle est plusieurs à plusieurs.
| Champ | Description |
|---|---|
| Numéro de l'exigence | Numéro d’exigence de l’objectif du contrôle. |
| Actif | Option pour rendre l’exigence active. |
| Description | Description détaillée de l’exigence pour l’objectif du contrôle. |
Dans la liste connexe Exigences d’objectifs de contrôle, vous pouvez sélectionner Nouveau pour créer une exigence pour l’objectif de contrôle si nécessaire, en fonction des exigences générées. Vous pouvez également sélectionner Modifier pour ajouter une exigence d’objectif de contrôle existante à l’objectif de contrôle.
Remarque :
- Si l’objectif de contrôle est à l’état Inactif, vous ne pouvez pas créer ni ajouter des exigences d’objectifs de contrôle. Par conséquent, les optionsNouveau et Modifier ne sont pas disponibles.
- Si l’exigence d’objectif de contrôle est inactive, vous ne pouvez pas ajouter d’objectif de contrôle à l’exigence d’objectif de contrôle.
CAM vue du formulaire de contrôle
| Champ | Description |
|---|---|
| Référence | Identificateur unique. |
| Nom | Nom du contrôle. |
| Numéro | Numéro d’identification unique du contrôle. |
| Entité | Entité connexe. Remarque : Si vous passez l’état de l’entité de l’état à Actif à partir de l’état Mis hors service, le contrôle créé manuellement sur l’entité passe également à l’état Brouillon. |
| Objectif du contrôle | Objectif de contrôle connexe. |
| Propriétaire | Utilisateur propriétaire de la politique. Remarque : Le propriétaire est toujours ajouté en tant que répondant. Le propriétaire du contrôle que vous sélectionnez appartient au groupe propriétaire. |
| Statut | État de contrôle. Les choix possibles sont :
|
| État | État de contrôle. Les choix possibles sont :
|
| Package d'autorisation | Package d’autorisation auquel le contrôle est associé ou d’où il provient. |
| Fréquence | Liste des options :
Remarque : Pour plus d’informations sur la différence entre le champ Fréquence d’un contrôle et le champ Fréquence d’attestation d’une entité, consultez KB0694607. |
| Pondération | Valeur utilisée lors du calcul de l’efficacité du score de contrôle. |
| Groupe propriétaire | Groupe propriétaire de la politique. |
| Allocation de contrôle | Type de contrôle créé : spécifique au système ou hybride. |
| Description | Description du contrôle. |
| Discussion | Informations relatives au contenu de la norme NIST 800-53 révision 5. |
| Recommandation complémentaire | S’il s’agit d’un contrôle provenant de la norme NIST 800-53 révision 4, il s’agit d’une instruction pour l’implémentation du contrôle. |
| Déclaration d'implémentation | Une explication sur la façon dont le contrôle sera implémenté. Ces informations sont requises si le contrôle est créé à partir d’un package d’autorisation et à l’état Brouillon. |
| Attestation | |
| Prendre attestation au niveau des exigences | Option pour envoyer des attestations au niveau des exigences du contrôle et non au niveau du contrôle. |
| Attestation | Sélectionnez une option dans une liste d’options.
Remarque : Si l’utilisateur modifie le type d’attestation dans l’objectif du contrôle, tous les contrôles associés sont également modifiés. |
| Personnes chargées de répondre sur l'attestation |
Remarque : Lorsque les champs Attestation et Personnes chargées de répondre sur l’attestation sont définis, des attestations sont créées lorsque vous sélectionnez Attester. |
| Journal d'activité | |
| Commentaires supplémentaires | Informations publiques sur le contrôle. |
| Activités | Journaux de messages de changement d’état du contrôle. |
| Champ | Description |
|---|---|
| Numéro | Numéro unique de l’exigence de contrôle. |
| Numéro de l'exigence | Numéro de référence. |
| Contrôle | Contrôle auquel l’exigence de contrôle est associée. |
| Statut | État de l’exigence de contrôle. |
| État | État du besoin. |
| Fréquence | Fréquence de contrôle. |
| Description | Description de l’exigence de contrôle. |
| Attestation | |
| Attestation | Type de métrique d’attestation. |
| Personnes chargées de répondre sur l'attestation | Utilisateurs qui attestent l’exigence de contrôle. |
| Journal d'activité | |
| Commentaires supplémentaires | Informations sur l’exigence de contrôle. Lorsque l’exigence d’objectif de contrôle est dissociée, c’est-à-dire supprimée ou supprimée, l’exigence de contrôle devient manuelle. Ces informations sont enregistrées dans ce champ. |
| Activités | Journaux de messages de changement d’état de l’exigence de contrôle. |