Definir os requisitos de um controle no nível do objetivo de controle
Você pode dividir um controle em um nível mais granular como requisitos ao gerar o controle no nível do objetivo de controle.
- Avaliador de controle de segurança (SCA): para avaliar cada requisito do controle individualmente se houver aspectos diferentes nos testes de controle.
- Responsável pela autorização (AO), Agente de segurança do sistema de informações (ISSO) e Gerente de segurança do sistema de informações (ISSM): para entender o requisito que falhou, o que levou à não conformidade do controle, em vez de avaliar a falha do controle como um inteiro.
- Entrevistado de certificação identificado para um controle: para responder no nível de requisitos de controle, que está em um nível mais granular, em vez do nível de controle.
Como um usuário CAM, você pode dividir os controles para controlar requisitos, gerenciar os requisitos com mais eficiência, certificá-los individualmente e obter a autorização do pacote. Você também pode definir os requisitos e criá-los no nível de objetivo de controle quando os controles são gerados.
Criação de conteúdo NIST a partir da descrição do objetivo de controle como requisitos de controle
O ServiceNow sistema base envia os requisitos de controle gerados a partir dos objetivos de controle do NIST 800-53 revisão 5 para CAM usuários. O campo Descrição do formulário de objetivo de controle lista os requisitos divididos como subpontos com subnúmeros. A referência do objetivo de controle é combinada com cada subnúmero ou cláusula no campo Descrição e referenciada como um número de requisito no requisito do objetivo de controle. Por exemplo, se a referência do objetivo de controle for IR-9 e a descrição do objetivo de controle começar com um subnúmero (a), os dois serão combinados para gerar o primeiro requisito de objetivo de controle como IR-9.a , com mais subnúmeros adicionados a ele, se disponível. Portanto, se houver cerca de sete subdescrições, sete requisitos de controle serão gerados.