準備ステップでは、認証境界、コントロールオーバーレイ、および情報タイプを設定し、実際の認証パッケージを作成できます。

分類ステップでは、考えられる最悪のケースのシナリオに従って情報システムの重要度または機密性を定義します。 ここには、パッケージの NIST の情報タイプを選択し、その情報タイプを使用してパッケージの影響度レベルを定義する作業が含まれます。

パッケージの影響度レベルが承認されたら、ベースラインコントロールを選択します。

実装するコントロールを選択し、それらに対して可能なアクションを実行すると、 コントロールを実装できます。

コントロールを実装すると、内部および外部のコントロールを評価し、アクションプランとマイルストーン (POA&M) を生成し、変更要求と脆弱性一致アイテムを管理できます。

NIST 800-53A – アセスメント目標は、CAM アプリケーションの ベースシステム に含まれています。アセスメント目標は、リビジョン 5 のコントロール目標にマッピングされます。

CAM ワークスペース は、セキュリティポリシーとガイドラインへの準拠を保証するために、NIST Risk Management Framework へのコンプライアンスを継続的に監視および管理できる一元化されたハブです。