Vue des détails du besoin de contrôle
La CAM vue du formulaire Contrôle comporte des champs qui ont été ajoutés pour capturer les détails du besoin de contrôle.
Pour prendre en charge les détails des exigences de contrôle dans la CAM vue d’un formulaire d’objectif de contrôle, une liste connexe des exigences d’objectifs de contrôle est ajoutée.
Remarque :
Les vues du formulaire Objectif de contrôle et du formulaire Contrôle dans la CAM vue sont presque les mêmes que celles des formulaires Objectif de contrôle et Contrôle utilisées dans Gestion de la politique et de la conformité. Toutefois, certains champs ont été supprimés et d’autres ajoutés dans les formulaires pour capturer les détails des exigences de contrôle.
CAM vue d’un formulaire d’objectif de contrôle
| Champ | Description |
|---|---|
| Référence | Identificateur numérique unique ou numéro de référence de contenu. |
| Famille | Objectifs de contrôle regroupés en une famille. |
| Actif | Option permettant d’activer un objectif de contrôle. |
| ID de famille | Identification unique d’une famille d’objectifs de contrôle. |
| Nom | Nom de l’objectif du contrôle. |
| Source | Source de l’objectif du contrôle, qui est la norme NIST 800-53 révision 5 pour laquelle les modèles de test sont fournis. |
| Parent | Objectif du contrôle qui n’est pas un enfant de l’objectif de contrôle actuel. Cette relation permet d’éviter les relations cycliques parent-enfant. |
| Score de conformité ( %) | Score de conformité ( %) calculé pour cet objectif de contrôle et son code couleur :
|
| Crée automatiquement des contrôles | Option pour indiquer que les contrôles sont automatiquement créés lorsqu’une entité est associée à partir de la liste connexe Entités supplémentaires en sélectionnant Ajouter une relation et l’entité. |
| Créer des exigences de contrôle | Option permettant de générer automatiquement des exigences de contrôle pour l’objectif de contrôle. Remarque : S’il n’y a pas d’exigences en matière d’objectifs de contrôle, il n’y aura pas non plus d’exigences en matière de contrôle. |
| Attestation | Référence au type de mesure. L’attestation GRC est choisie par défaut. Remarque : Si l’utilisateur modifie l’attestation de contrôle, le type d’attestation d’objectif de contrôle connexe est également modifié. |
| Impact | Impact potentiel sur les fonctions business en raison de la perte de confidentialité, d’intégrité ou de disponibilité de la cible et des données. |
| Guide organisationnel | Les définitions de contrôle de sécurité du NIST, lorsqu’elles sont désignées comme des définitions de contrôle communes par les organisations, sont héréditaires par une ou plusieurs cibles organisationnelles. |
| Description | Description de l’objectif du contrôle. |
| Recommandation complémentaire | S’il s’agit d’un objectif de contrôle provenant de la norme NIST 800-53 révision 4, alors une direction pour la mise en œuvre de l’objectif de contrôle. |
| Discussion | S’il s’agit d’un objectif de contrôle provenant de la norme NIST 800-53 révision 5, alors les informations relatives au contenu proviennent du NIST. |
Les objectifs de contrôle ne sont que des lignes directrices et ne sont pas spécifiques à une entité ou à un objet. Vous pouvez lier un objectif de contrôle à n’importe quelle exigence d’objectif de contrôle, et une exigence d’objectif de contrôle à n’importe quel nombre d’objectifs de contrôle, car la relation entre l’objectif de contrôle et l’exigence d’objectif de contrôle est plusieurs-à-plusieurs.
| Champ | Description |
|---|---|
| Numéro de l'exigence | Numéro d’exigence de l’objectif du contrôle. |
| Actif | Option pour rendre le besoin actif. |
| Description | Description détaillée de l’exigence pour l’objectif du contrôle. |
Dans la liste connexe des exigences d’objectifs de contrôle, vous pouvez sélectionner Nouveau pour créer une exigence pour l’objectif de contrôle si nécessaire, en fonction des exigences générées. Vous pouvez également sélectionner Modifier pour ajouter une exigence d’objectif de contrôle existante à l’objectif de contrôle.
Remarque :
- Si l’objectif de contrôle est à l’état Inactif, vous ne pouvez pas créer ni ajouter d’exigences d’objectif de contrôle. Par conséquent, Nouveau et Modifier ne sont pas disponibles.
- Si l’exigence d’objectif de contrôle est inactive, vous ne pouvez pas ajouter d’objectif de contrôle à l’exigence d’objectif de contrôle.
CAM vue du formulaire de contrôle
| Champ | Description |
|---|---|
| Référence | Identificateur unique. |
| Nom | Nom du contrôle. |
| Numéro | Numéro d’identification unique du contrôle. |
| Entité | Entité connexe. Remarque : Si vous changez l’état de l’entité à Actif à partir de l’état Mis hors service, le contrôle créé manuellement sur l’entité passe également à l’état Brouillon. |
| Objectif du contrôle | Objectif du contrôle connexe. |
| Propriétaire | Utilisateur propriétaire de la politique. Remarque : Le propriétaire est toujours ajouté en tant que répondant. Le propriétaire du contrôle que vous sélectionnez appartient au groupe propriétaire. |
| Statut | État de contrôle. Les choix possibles sont :
|
| État | État du contrôle. Les choix possibles sont :
|
| Package d'autorisation | Package d’autorisation auquel le contrôle est associé ou dont il provient. |
| Fréquence | Liste des options :
Remarque : Pour plus d’informations sur la différence entre le champ Fréquence d’un contrôle et le champ Fréquence d’attestation dans une entité, voir KB0694607. |
| Pondération | Valeur utilisée lors du calcul de l’efficacité du score de contrôle. |
| Groupe propriétaire | Groupe propriétaire de la politique. |
| Allocation de contrôle | Type de contrôle créé : spécifique au système ou hybride. |
| Description | Description du contrôle. |
| Discussion | Informations relatives au contenu de la norme NIST 800-53 révision 5. |
| Recommandation complémentaire | S’il s’agit d’un contrôle provenant de la norme NIST 800-53 révision 4, alors une direction pour l’implémentation du contrôle. |
| Déclaration d'implémentation | Une explication sur la façon dont le contrôle sera implémenté. Ces informations sont requises si le contrôle est créé à partir d’un package d’autorisation et se trouve à l’état Brouillon. |
| Attestation | |
| Prendre attestation au niveau des exigences | Option permettant d’envoyer les attestations au niveau des exigences de contrôle et non au niveau des contrôles. |
| Attestation | Sélectionnez parmi une liste d’options.
Remarque : Si l’utilisateur modifie le type d’attestation dans l’objectif de contrôle, tous les contrôles connexes sont également modifiés. |
| Personnes chargées de répondre sur l'attestation |
Remarque : Lorsque les champs Attestation et Répondant d’attestation sont définis, des attestations sont créées lorsque vous sélectionnez Attester. |
| Journal d'activité | |
| Commentaires supplémentaires | Informations publiques sur le contrôle. |
| Activités | Journaux de messages sur le changement d’état du contrôle. |
| Champ | Description |
|---|---|
| Numéro | Numéro unique du besoin de contrôle. |
| Numéro de l'exigence | Numéro de référence. |
| Contrôle | Contrôle auquel l’exigence de contrôle est associée. |
| Statut | État de l’exigence de contrôle. |
| État | État du besoin. |
| Fréquence | Fréquence de contrôle. |
| Description | Description de l’exigence de contrôle. |
| Attestation | |
| Attestation | Type de mesure d’attestation. |
| Personnes chargées de répondre sur l'attestation | Utilisateurs qui attestent du besoin de contrôle. |
| Journal d'activité | |
| Commentaires supplémentaires | Informations sur le besoin de contrôle. Lorsque l’exigence d’objectif de contrôle est dissociée, c’est-à-dire supprimée ou supprimée, l’exigence de contrôle devient manuelle. Ces informations sont consignées dans ce champ. |
| Activités | Journaux de messages du changement d’état du besoin de contrôle. |