통제 목표 수준에서 통제 요구 사항 정의
통제 목표 수준에서 통제를 생성할 때 요구 사항으로 더 세분화된 수준에서 통제를 세분화할 수 있습니다.
통제 요구 사항을 정의하면 다음과 같은 이점을 얻을 수 있습니다.
- 보안 통제 평가자(SCA): 통제 테스트에 다양한 측면이 있는 경우 통제의 각 요구 사항을 개별적으로 평가합니다.
- AO(Authorization Official), ISSO(Information System Security Officer) 및 ISSM(Information System Security Manager): 제어의 실패를 전체적으로 평가하는 대신 실패한 요구 사항을 이해하여 제어의 미준수로 이어집니다.
- 통제에 대해 식별된 증명 응답자: 통제 수준이 아닌 더 세분화된 수준의 통제 요구 사항 수준에서 응답하기 위해서입니다.
CAM 사용자는 컨트롤을 세분화하여 요구 사항을 제어하고, 요구 사항을 보다 효율적으로 관리하고, 개별적으로 증명하고, 패키지에 권한을 부여할 수 있습니다. 통제가 생성될 때 요구 사항을 정의하고 통제 목표 수준에서 생성할 수도 있습니다.
통제 목표 설명에서 통제 요구 사항으로 NIST 컨텐츠 생성
ServiceNow 기본 시스템은 NIST 800-53 수정 버전 5 통제 목표 CAM 에서 생성된 통제 요구 사항을 사용자에게 전달합니다. 통제 목표 양식의 설명 필드에는 하위 번호가 있는 하위 포인트로 분류된 요구사항이 나열됩니다. 통제 목표의 참조는 설명 필드의 각 하위 번호 또는 절로 묶여 있으며 통제 목표 요구 사항에서 요구 사항 번호 로 참조됩니다. 예를 들어, 통제 목표 참조가 IR-9이고 통제 목표에 대한 설명이 하위 번호(a.)로 시작하는 경우, 이 둘을 함께 사용하여 첫 번째 통제 목표 요구 사항을 IR-9.a로 생성하고 사용 가능한 경우 하위 번호를 추가합니다. 따라서 약 7개의 하위 설명이 있는 경우 7개의 제어 요구 사항이 생성됩니다.