Kontrollanforderungsdetails in der Ansicht CAM von Kontrollziel und Kontrollformularen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer

    • Die Ansicht CAM des Steuerungsformulars verfügt über Felder, die hinzugefügt wurden, um die Steuerungsanforderungsdetails zu erfassen.

    Um die Steuerungsanforderungsdetails in der Ansicht CAM eines Steuerungszielformulars unterzubringen, wird eine zugehörige Liste Steuerungszielanforderungen hinzugefügt.

    Hinweis:
    Die Ansichten des Kontrollzielformulars und des Kontrollformulars in der Ansicht CAM sind fast identisch mit den in Richtlinien- und Compliance-Managementverwendeten Kontrollziel- und Kontrollformularen. Einige Felder wurden jedoch entfernt und andere in den Formularen hinzugefügt, um die Steuerungsanforderungsdetails zu erfassen.

    CAM Ansicht eines Kontrollzielformulars

    Tabelle : 1. CAM Ansicht des Formulars „Kontrollziel“.
    Feld Beschreibung
    Referenz Eindeutiger numerischer Bezeichner oder die Inhaltsreferenznummer.
    Familie Kontrollziele, die in einer Familie gruppiert sind.
    Aktiv Option zum Aktivieren eines Kontrollziels.
    Familien-ID Eindeutige Identifizierung für eine Familie von Kontrollzielen.
    Name Name des Kontrollziels
    Quelle Quelle des Kontrollziels (NIST 800-53 Revision 5), für das die Testvorlagen bereitgestellt werden.
    Übergeordnet Kontrollziel, das dem aktuellen Kontrollziel nicht untergeordnet ist. Diese Beziehung soll eine zyklische Beziehung zwischen über- und untergeordneten Elementen vermeiden.
    Compliance-Bewertung (%) Prozentsatz der Compliance-Punktzahl, der für dieses Kontrollziel berechnet wird, und zugehöriger Farbcode:
    • 80 und höher in Grün
    • 80 bis 50 in Gelb
    • unter 50 in Rot
    Erstellt automatisch Steuerungen Option, um anzugeben, dass Steuerungen automatisch erstellt werden, wenn eine Entität aus der zugehörigen Liste „Zusätzliche Entitäten“ zugeordnet wird, indem Beziehung hinzufügen und die Entität ausgewählt werden.
    Steuerungsanforderungen erstellen Option zur automatischen Generierung von Steuerungsanforderungen für das Steuerungsziel.
    Hinweis:
    Wenn es keine Steuerungsziel-Anforderungen gibt, gibt es auch keine Steuerungsanforderungen.
    Bestätigung Verweis auf den Metriktyp. GRC-Nachweis ist standardmäßig ausgewählt.
    Hinweis:
    Wenn der Anwender den Kontrollnachweis ändert, wird auch der zugehörige Kontrollziel-Nachweistyp geändert.
    Auswirkung Potenzielle Auswirkungen auf Geschäftsfunktionen aufgrund des Verlusts der Vertraulichkeit, Integrität oder Verfügbarkeit von Zielen und Daten.
    Organisatorischer Leitfaden Sicherheitskontrolldefinitionen von NIST, die, wenn sie von Organisationen als allgemeine Kontrolldefinitionen festgelegt werden, von einem oder mehreren Unternehmenszielen geerbt werden können.
    Beschreibung Beschreibung des Kontrollziels.
    Zusätzliche Anleitung Wenn es sich um ein Kontrollziel handelt, das von NIST 800-53 Revision 4 stammt, dann eine Richtung für die Implementierung des Kontrollziels.
    Diskussion Wenn es sich um ein Kontrollziel handelt, das von NIST 800-53 Revision 5 bezogen wird, werden inhaltsbezogene Informationen von NIST bezogen.

    Kontrollziele sind lediglich Richtlinien und nicht spezifisch für eine Entität oder ein Objekt. Sie können ein Steuerungsziel mit einer beliebigen Steuerungsziel-Anforderung und eine Steuerungsziel-Anforderung mit einer beliebigen Anzahl von Steuerungszielen verknüpfen, da die Beziehung zwischen dem Steuerungsziel und der Steuerungsziel-Anforderung eine Viele-zu-Viele-Beziehung ist.

    Tabelle : 2. Zugehörige Liste mit den Kontrollzielanforderungen
    Feld Beschreibung
    Anforderungsnummer Anforderungsnummer des Kontrollziels.
    Aktiv Option zum Aktivieren der Anforderung.
    Beschreibung Detaillierte Beschreibung der Anforderung für das Kontrollziel.
    In der zugehörigen Liste „Steuerungszielanforderungen“ können Sie Neu auswählen, um bei Bedarf eine Anforderung für das Steuerungsziel zu erstellen, basierend darauf, welche Anforderungen generiert werden. Oder wählen Sie Bearbeiten, um dem Kontrollziel eine vorhandene Steuerungsziel-Anforderung hinzuzufügen.
    Hinweis:
    • Wenn sich das Kontrollziel im Status „Inaktiv“ befindet, können Sie keine Kontrollzielanforderungen erstellen oder hinzufügen. Daher sind Neu und Bearbeiten nicht verfügbar.
    • Wenn die Steuerungsziel-Anforderung inaktiv ist, können Sie der Steuerungsziel-Anforderung kein Steuerungsziel hinzufügen.

    CAM Ansicht des Steuerungsformulars

    Tabelle : 3. CAM des Steuerungsformulars
    Feld Beschreibung
    Referenz Eindeutiger Bezeichner.
    Name Name des Steuerelements
    Nummer Eindeutige Identifikationsnummer des Steuerelements.
    Entität Zugehörige Entität
    Hinweis:
    Wenn Sie den Status der Entität vom Status „Deaktiviert“ in „Aktiv“ ändern, wechselt das manuell erstellte Steuerelement für die Entität ebenfalls in den Status Entwurf.
    Kontrollziel Zugehöriges Kontrollziel.
    Besitzer Benutzer, der Besitzer der Richtlinie ist.
    Hinweis:
    Der Besitzer wird immer als Teilnehmer hinzugefügt. Der von Ihnen ausgewählte Steuerungsbesitzer gehört zur Besitzergruppe.
    Status Steuerungsstatus. Mögliche Auswahlmöglichkeiten sind:
    • Konform
    • Nicht konform
    • Nicht zutreffend
    Status Steuerungsstatus. Mögliche Auswahlmöglichkeiten sind:
    • Entwurf: Wenn die Kontrolle aus einem Kontrollziel erstellt wird, befinden sich die Steuerungen in diesem Status. In diesem Status können alle Compliance-Benutzer die Steuerung ändern. Nur beim Erstellen einer einmaligen Steuerung verfügbar. Einmalige Steuerungen sind möglich, werden jedoch nicht empfohlen.
    • Attest (Beglaubigen): Wenn Sie Attest ( Beglaubigen) auswählen und Nachweise entgegennehmen, wechselt das Steuerelement in diesen Status.
      Hinweis:
      Wenn ein Steuerelement auf den Entwurf zurückgesetzt wird, wird die Bestätigung abgebrochen.
    • Überprüfung: Steuerungen werden automatisch aus der Nachweisphase in die Überprüfung verschoben.
    • Überwachen: In diesem Status können alle Compliance-Manager die Steuerung von „Überprüfen“ in „Überwachen“ verschieben.
    • Deaktiviert: Compliance-Manager oder -Administratoren können ein Steuerelement von „Überwachen“ zu „Deaktiviert“ verschieben.
      Hinweis:
      Wenn ein Steuerelement außer Kraft gesetzt wird:
      • Zugeordnete Indikatoren werden nicht ausgeführt
      • Zugehörige Nachweise werden abgebrochen
      • Änderungen an zugeordneten Kontrollzielen aktualisieren die Kontrolle nicht
    Autorisierungspaket Das Autorisierungspaket, dem die Kontrolle zugeordnet ist oder aus dem sie stammt.
    Häufigkeit Liste der Optionen:
    • Ereignisgesteuert
    • Täglich
    • Wöchentlich
    • Monatlich
    • Vierteljährlich
    • Halbjährlich
    • Jährlich
    Der Nachweis wird basierend auf dem Wert gesendet, der für die Steuerung oder Steuerungsanforderung ausgewählt wurde.
    Hinweis:
    Informationen zum Unterschied zwischen dem Feld Häufigkeit für ein Steuerelement und dem Feld Nachweishäufigkeit in einer Entität finden Sie unter KB0694607.
    Gewichtung Wert, der bei der Berechnung der Effektivität der Kontrollpunktzahl verwendet wird.
    Verantwortliche Gruppe Gruppe, die die Richtlinie besitzt.
    Steuerungszuteilung Art der erstellten Kontrolle: entweder systemspezifisch oder hybrid.
    Beschreibung Beschreibung des Steuerelements.
    Diskussion Inhaltsbezogene Informationen aus NIST 800-53 Revision 5.
    Zusätzliche Anleitung Wenn es sich um eine Steuerung aus NIST 800-53 Revision 4 handelt, dann eine Richtung für die Implementierung der Steuerung.
    Implementierungsstellungnahme Eine Erklärung, wie das Steuerelement implementiert wird.

    Diese Informationen sind erforderlich, wenn das Steuerelement aus einem Autorisierungspaket erstellt wird und sich im Status Entwurf befindet.
    Bestätigung
    Einen Nachweis auf Anforderungsebene vornehmen Option zum Senden von Nachweisen auf Steuerungsanforderungsebene und nicht auf Steuerungsebene.
    Bestätigung

    Wählen Sie aus einer Liste von Optionen aus.

    • Andere Nachweistypen können konfiguriert werden.
    • Wenn dieses Feld ausgefüllt ist, ist der Wert „Nachweisteilnehmer“ erforderlich, und der Besitzer wird zum Befragten.
    Hinweis:
    Wenn der Benutzer den Nachweistyp im Kontrollziel ändert, werden auch alle zugehörigen Steuerungen geändert.
    Nachweisteilnehmer
    • Anwender, die dem Nachweis dieser Kontrolle zugewiesen sind.
    • Nur Benutzer mit der Rolle sn_grc.user können als Teilnehmer hinzugefügt werden.
    Hinweis:
    Wenn beide Felder Nachweis und Nachweisteilnehmer festgelegt sind, werden Nachweise erstellt, wenn Sie Beglaubigenauswählen.
    Aktivitäts-Journal
    Zusätzliche Anmerkungen Öffentliche Informationen zum Steuerelement.
    Aktivitäten Nachrichtenprotokolle für Kontrollstatusänderungen.
    Tabelle : 4. Zugehörige Liste „Steuerungsanforderungen“.
    Feld Beschreibung
    Nummer Eindeutige Nummer der Steuerungsanforderung.
    Anforderungsnummer Referenznummer.
    Kontrolle Steuerung, der die Steuerungsanforderung zugeordnet ist.
    Status Status der Steuerungsanforderung.
    Status Anforderungsstatus.
    Häufigkeit Kontrollhäufigkeit.
    Beschreibung Beschreibung der Steuerungsanforderung.
    Bestätigung
    Bestätigung Nachweismetriktyp.
    Nachweisteilnehmer Benutzer, die die Steuerungsanforderung bestätigen.
    Aktivitäts-Journal
    Zusätzliche Anmerkungen Informationen zur Steuerungsanforderung.

    Wenn die Steuerungszielanforderung getrennt, also entfernt oder gelöscht wird, wird die Steuerungsanforderung zu einer manuellen. Diese Information wird in diesem Feld protokolliert.
    Aktivitäten Nachrichtenprotokolle der Statusänderung der Steuerungsanforderung.