コントロール目標のレベルでのコントロールの要件の定義
コントロール目標レベルでコントロールを生成する場合、要件としてより詳細なレベルでコントロールを分類できます。
コントロール要件を定義すると、次のことに役立ちます。
- コントロールテストにさまざまな側面がある場合に、コントロールの各要件を個別に評価するセキュリティコントロール査定人 (SCA)。
- 認可担当者 (AO)、情報システムセキュリティ責任者 (ISSO)、および情報システムセキュリティマネージャー (ISSM) は、コントロール全体の失敗を評価するのではなく、失敗した要件 (コントロールの非準拠につながる) を理解します。
- コントロールに対して識別された証明書回答者は、コントロールレベルではなく、より詳細なレベルのコントロール要件レベルで応答します。
CAMユーザーは、コントロールを分解して要件を制御し、要件をより効率的に管理し、それらを個別に証明し、パッケージを承認することができます。また、コントロールが生成されたときに、要件を定義してコントロール目標レベルで作成することもできます。
コントロール要件としてのコントロール目標の説明から NIST コンテンツを作成する
ServiceNowベースシステムは、NIST 800-53 リビジョン 5 コントロール目標から生成されたコントロール要件をユーザーに配布しますCAM。コントロール目標フォーム の [説明] フィールドには、サブポイントとサブ番号として分類された要件がリストされます。コントロール目標の参照は、[説明] フィールドの各サブ番号または節と結合され、コントロール目標要件 の要件番号 として参照されます。たとえば、コントロール目標参照が IR-9 で、コントロール目標の説明がサブ番号 (a) で始まる場合、これら 2 つを組み合わせて最初のコントロール目標要件を IR-9.a として生成し、可能な場合はさらに小番号を追加します。したがって、約 7 つの副記述がある場合は、7 つの管理要件が生成されます。