コントロール要件の定義
コントロール目標レベルでコントロールを生成する場合、要件として、より詳細なレベルでコントロールを分類できます。
コントロール要件を定義すると、次のようなユーザーに役立ちます。
- セキュリティコントロール査定人 (SCA):コントロールテストにさまざまな側面がある場合に、コントロールの各要件を個別に評価します。
- 認定担当者 (AO)、情報システムセキュリティ責任者 (ISSO)、および情報システムセキュリティマネージャー (ISSM):コントロール全体の失敗を評価するのではなく、コントロールの非準拠につながった失敗した要件を理解します。
- コントロールに対して識別された証明書の回答者:コントロールレベルではなく、より詳細なレベルにあるコントロール要件レベルで応答します。
CAM ユーザーは、コントロールを分解して要件を制御し、要件をより効率的に管理し、それらを個別に証明し、パッケージを承認することができます。また、コントロールが生成されたときに、要件を定義してコントロール目標レベルで作成することもできます。
詳細については、「コントロール要件の詳細ビュー」を参照してください。
コントロール要件としてのコントロール目標の説明から NIST コンテンツを作成する
ベースシステムは、NIST 800-53 リビジョン 5 コントロール目標から生成されたコントロール要件を CAM ユーザーに配布します。コントロール目標フォームの [説明] フィールドには、サブポイントとサブ番号として分類された要件がリストされます。コントロール目標の参照は、[説明] フィールドの各サブ番号または節と結合され、コントロール目標要件の [要件番号 (Requirement number)] として参照されます。たとえば、コントロール目標参照が IR-9 で、コントロール目標の説明がサブ番号 (a) で始まる場合、これら 2 つを組み合わせて最初のコントロール目標要件を IR-9.a として生成し、可能な場合はさらにサブ番号を追加します。したがって、約 7 つのサブ説明がある場合は、7 つの管理要件が生成されます。