RMF ステップ 2 - 認証パッケージのコントロールの選択

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:5分

    • パッケージの影響度レベルが承認されたら、ベースラインコントロールを選択します。

    始める前に

    必要なロール:sn_im_cont_baseline_control_objective テーブルにアクセスするには:sn_irm_cont_auth.system_owner、sn_irm_cont_auth.info_system_sec_officer、sn_irm_cont_auth.admin

    [適用外としてマーク] にアクセスするために必要なロール:sn_irm_cont_auth.info_system_sec_officer、sn_irm_cont_auth.info_system_sec_manager、sn_irm_cont_auth.admin

    GRC 継続的な承認とモニタリング

    GRC:継続的な承認とモニタリング クイックスタートテストでは 継続的な承認とモニタリング プラグイン (com.sn_compliance) をアクティブ化して、デモデータをロードする必要があります。

    表 : 1. GRC:継続的な承認とモニタリング クイックスタートテストテストスイート
    テスト 説明 リリースバージョン
    GRC:システム所有者による AB および AP の責任とロールの作成と検証 システム所有者は、認証境界と認証パッケージの責任とロールを作成および検証します。

    情報所有者とシステムユーザーは、認証境界を選択したときにあらかじめ設定されています。

    		 Quebec (Paris および Orlando と互換性がある)
    GRC:システム所有者によるアプリモジュールの可視化の検証 システム所有者ペルソナが [継続的な承認とモニタリング] アプリケーションメニューを表示することでき、そのメニューに次のモジュールを表示できることを確認します。
    • すべての認証境界
    • すべての認証パッケージ
    • 情報タイプライブラリー
    • コントロールオーバーレイ
    • コントロール目標
    • コントロール
    • すべてのエンゲージメント
    		 Quebec (Paris および Orlando と互換性がある)
    GRC:システム所有者による要求の最初の認証と自分の認証モジュール システム所有者が承認を要求します。 Quebec (Paris および Orlando と互換性がある)
    SO:AB および AP の責任とロールの作成と検証 システム所有者が認証境界フォームのフィールドに入力して認証境界を作成できるかどうかを検証します。

    また、同じ SO がフォームビューから認証パッケージを作成できるかどうかも検証します。

    		 Quebec (Paris および Orlando と互換性がある)

    継続的な承認とモニタリング の詳細については、「Continuous Authorization and Monitoring」を参照してください。

    このタスクについて

    認証パッケージフォームで承認が得られると、[コントロールオーバーレイ] フィールドと一連の [コントロール] 関連リストがフォームに表示されます。

    手順

    1. [ベースラインコントロール] 関連リストを選択します。
      このリストには、パッケージの計算された影響度レベルのベースラインコントロールが表示されます。実装されるコントロールの数 (NIST で定義) は、影響度レベル (高、中、低) によって異なります。
    2. コントロールのリストでは、次のアクションを実行できます。
      表 : 2. ベースラインコントロールのアクション
      アクション 説明
      リストにコントロールを追加する [追加] を選択してから、追加するコントロールを選択し、[ベースラインコントロールを作成] を選択します。
      注:
      コントロール目標を追加する場合、同じ参照 ID を持つ複数のコントロール目標を選択してベースラインコントロールに追加することはできません。コントロール目標の参照 ID が既にベースラインコントロールリストに存在する場合、コントロール目標を追加することはできません。
      コントロールオーバーレイを使用してコントロールを追加する [コントロールオーバーレイ] フィールドからコントロールオーバーレイを選択します。
      注:
      プライバシーオーバーレイやその他のタイプのコントロールオーバーレイは、政府機関によって義務付けられている場合がありますが、それらを作成して特定の数のコントロールをリストに追加できます。
      特定のコントロールを適用外として識別する

      コントロールを選択してから [選択] を選択し、理由を入力して、[確認] を選択します。

      この方法でマークしたコントロールは、[ベースラインコントロール] リストから削除され、[適用外のコントロール] 関連リストに移動します。

      注:
      • 同じ参照 ID を持つコントロール目標を、ベースラインコントロールリストから適用外のコントロールに移動することはできません。
      • 同じ参照 ID を持つコントロール目標を、ベースラインコントロールから適用外のコントロールへ、または適用外のコントロールからベースラインコントロールに移動することはできません。
      • [適用外のコントロール] リストから同じ参照 ID を持つ 2 つのコントロール目標を選択すると、[ベースラインコントロールに戻る] アクションが無効になります。
      共通コントロールからコントロールを継承する

      共通コントロールを作成し、そこからリスクガイダンスを継承できるように他の下位コントロールをアサインすることができます。たとえば、施設全体を処理するコントロールがある場合、共通コントロールから保護とコンプライアンスを継承する関連コントロールを識別できます。

      共通コントロールを作成するには、コントロールを選択してから、[共通コントロールを作成][OK] の順に選択して、確認します。共通コントロールからコントロールが継承できるようにする方法については、「共通コントロールからの継承」を参照してください。
    3. [承認を要求] を選択します。

      承認要求が承認担当者に送信されます。承認担当者はナビゲーションペインから [自分の承認] にアクセスし、パッケージ内の情報を確認します。承認を受け取ると、パッケージは [実装] ステータスに移行します。

      パッケージを [分類] ステータスに戻すには、[前のステップに戻る] を選択します。すべてのベースラインコントロールが削除されるため、パッケージを [選択] ステータスに再度移行させるには、承認を得る必要があります。