Detalhes do requisito de controle na exibição CAM do objetivo de controle e dos formulários de controle

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 6 min. de leitura

    • A exibição CAM do formulário de controle tem campos que foram adicionados para capturar os detalhes do requisito de controle.

    Para acomodar os detalhes do requisito de controle na exibição CAM de um formulário de objetivo de controle e formulário de controle, uma lista relacionada de requisitos de objetivo de controle e uma lista relacionada de requisitos de controle são adicionadas, respectivamente.

    Nota:
    As exibições do formulário de objetivo de controle e do formulário de controle na exibição CAM são quase as mesmas que o objetivo de controle e os formulários de controle usados em Policy and Compliance Management. No entanto, alguns campos foram removidos e alguns adicionados aos formulários para capturar os detalhes do requisito de controle.

    CAM exibição de um formulário de objetivo de controle

    Tabela 1. CAM exibição do formulário de objetivo de controle
    Campo Descrição
    Referência Identificador numérico exclusivo ou o número de referência do conteúdo.
    Nome Nome do objetivo do controle.
    Fonte Origem do objetivo de controle, que é o NIST 800-53 revisão 5 para o qual os modelos de teste são fornecidos.
    Primário Objetivo de controle que não é secundário do objetivo de controle atual. Este relacionamento é para evitar um relacionamento primário-secundário cíclico.
    Pontuação de conformidade (%) Percentual de pontuação de conformidade calculado para este objetivo de controle e seu código de cor:
    • 80 e superior em verde
    • 80 a 50 em amarelo
    • abaixo de 50 em vermelho
    Ativo Opção para ativar um objetivo de controle.
    Cria controles automaticamente Opção para indicar que os controles são criados automaticamente quando uma entidade é associada na lista relacionada Entidades adicionais, selecionando o botão Adicionar relacionamento e a entidade.
    Criar requisitos de controle Opção para gerar requisitos de controle automaticamente para o objetivo de controle.
    Nota:
    Se não houver requisitos de objetivo de controle, também não haverá requisitos de controle.
    Certificação Referência ao tipo de métrica. A certificação GRC é escolhida por padrão.
    Nota:
    Se o usuário alterar a certificação de controle, o tipo de certificação do objetivo de controle relacionado também será alterado.
    Impacto Possível impacto nas funções de negócios devido à perda de confidencialidade, integridade ou disponibilidade da meta e dos dados.
    Orientação organizacional Definições de controle de segurança do NIST, que quando designadas como definições de controle comuns por organizações, são herdáveis por um ou mais destinos organizacionais.
    Descrição Descrição do objetivo do controle.
    Orientação suplementar Se for um objetivo de controle obtido pelo NIST 800-53 revisão 4, haverá uma direção para a implementação do objetivo de controle.
    Discussão Se for um objetivo de controle obtido pelo NIST 800-53 revisão 5, as informações relacionadas ao conteúdo que são obtidas pelo NIST.

    Os objetivos de controle são apenas diretrizes e não são específicos a uma entidade ou a qualquer objeto. Você pode vincular um objetivo de controle a qualquer requisito de objetivo de controle e um requisito de objetivo de controle a qualquer número de objetivos de controle, já que o relacionamento entre o objetivo de controle e o requisito de objetivo de controle é de muitos para muitos.

    Tabela 2. Lista relacionada de requisitos de objetivo de controle
    Campo Descrição
    Número do requisito Número do requisito do objetivo do controle.
    Ativo Opção para tornar o requisito ativo.
    Descrição Descrição detalhada sobre o requisito para o objetivo de controle.
    Na lista relacionada Requisitos de objetivo de controle, você pode selecionar o botão Novo para criar um requisito para o objetivo de controle, se necessário, com base no qual os requisitos são gerados. Ou selecione o botão Editar para adicionar um requisito de objetivo de controle existente ao objetivo de controle.
    Nota:
    • Se o objetivo de controle estiver no estado Inativo, você não poderá criar ou adicionar requisitos de objetivo de controle. Portanto, os botões Novo e Editar não estão disponíveis.
    • Se o requisito de objetivo de controle estiver inativo, você não poderá adicionar um objetivo de controle ao requisito de objetivo de controle.

    CAM exibição do formulário de controle

    Tabela 3. CAM exibição do formulário de controle
    Campo Descrição
    Referência Identificador exclusivo.
    Nome Nome do controle.
    Número Número de identificação exclusivo do controle.
    Entidade Entidade relacionada.
    Nota:
    Se você alterar o estado da entidade para Ativo do estado Desativado, o controle criado manualmente na entidade também será movido para o estado Rascunho.
    Objetivo do controle Objetivo de controle relacionado.
    Proprietário Usuário responsável pela política.
    Nota:
    O proprietário é sempre adicionado como respondente. O proprietário do controle que você selecionou pertence ao grupo responsável.
    Status Status do controle. As opções possíveis são:
    • Conforme
    • Fora de conformidade
    • Não aplicável
    Estado Estado do controle. As opções possíveis são:
    • Rascunho: quando o controle é criado a partir de um objetivo de controle, os controles estão neste estado. Nesse estado, todos os usuários de conformidade podem modificar o controle. Disponível somente ao criar um controle único. Controles pontuais são possíveis, mas não recomendados.
    • Atestar: quando você seleciona o botão Atestar e obtém as certificações, o controle passa para este estado.
      Nota:
      Quando um controle é definido novamente como rascunho, a certificação é cancelada.
    • Revisão: os controles são movidos automaticamente para revisão da fase de certificação.
    • Monitorar: nesse estado, todos os gerentes de conformidade podem mover o controle de revisão para monitoramento.
    • Descontinuado: os gerentes ou administradores de conformidade podem mover um controle de Monitor para Desativado.
      Nota:
      Quando um controle é descontinuado:
      • Os indicadores associados não são executados
      • As certificações associadas foram canceladas
      • Mudanças nos objetivos de controle associados não atualizam o controle
    Pacote de autorização O pacote de autorização ao qual o controle está associado ou do qual é originário.
    Frequência Lista de opções:
    • Orientado por evento
    • Diariamente
    • Semanalmente
    • Mensalmente
    • Trimestralmente
    • Semestralmente
    • Anualmente
    A certificação é enviada com base no valor selecionado para o controle ou requisito de controle.
    Nota:
    Para obter informações sobre a diferença entre o campo Frequência de um controle e o campo Frequência de certificação em uma entidade, consulte KB0694607.
    Ponderação Valor usado para calcular a eficácia da pontuação de controle. Com base na ponderação do controle, o valor da eficácia da pontuação de controle é calculado.
    Grupo responsável Grupo proprietário da política.
    Alocação de controle Tipo de controle criado. Pode ser específico do sistema ou híbrido.
    Descrição Descrição do controle.
    Discussão Informações relacionadas ao conteúdo do NIST 800-53 revisão 5.
    Orientação suplementar Se for um controle obtido pelo NIST 800-53 revisão 4, uma direção para a implementação do controle.
    Declaração de implementação Uma explicação sobre como o controle será implementado.

    Esta é uma informação necessária se o controle for criado a partir de um pacote de autorização e no estado Rascunho.
    Certificação
    Obter certificação no nível do requisito Opção para enviar certificações no nível de requisito de controle e não no nível de controle.
    Certificação

    Selecione em uma lista de opções.

    • Outros tipos de certificação podem ser configurados.
    • Se este campo estiver preenchido, o campo Respondentes de certificação se tornará automaticamente obrigatório e o proprietário se tornará o entrevistado.
    Nota:
    Se o usuário mudar o tipo de certificação no objetivo do controle, todos os controles relacionados também serão alterados.
    Entrevistados da certificação
    • Usuários atribuídos à certificação deste controle.
    • Somente um usuário com a função sn_grc.user pode ser adicionado como respondente.
    Nota:
    Quando os campos Certificação e Entrevistados de certificação estão definidos, as certificações são criadas quando você seleciona Certificar.
    Diário de atividades
    Comentários adicionais Informações públicas sobre o controle.
    Atividades Logs de mensagens da mudança de estado do controle.
    Tabela 4. Lista relacionada de requisitos de controle
    Campo Descrição
    Número Número exclusivo do requisito de controle.
    Número do requisito Número de referência.
    Controle Controle ao qual o requisito de controle está associado.
    Status Status do requisito de controle.
    Estado Estado do requisito.
    Frequência Frequência de controle.
    Descrição Descrição do requisito de controle.
    Certificação
    Certificação Tipo de métrica de certificação.
    Entrevistados da certificação Usuários que atestam o requisito de controle.
    Diário de atividades
    Comentários adicionais Informações sobre o requisito de controle.

    Quando o requisito de objetivo de controle é dissociado, ou seja, é removido ou excluído, o requisito de controle se torna manual. Essas informações são registradas nesse campo.
    Atividades Logs de mensagens da mudança de estado do requisito de controle.