NIST 800-53A – アセスメント目標は、CAM アプリケーションの ベースシステム に含まれています。アセスメント目標は、リビジョン 5 のコントロール目標にマッピングされます。

各テストテンプレートにはアセスメント手順テンプレートがあります。このテンプレートは、ServiceNow ベースシステムによって、NIST 800-53 リビジョン 5 で定められたコントロール目標の CAM ユーザーにインポートされます。各アセスメント手順テンプレートには、識別子とアセスメント目標があります。アセスメント目標により、コントロールのテスト方法が決定します。

コントロールテストでは新しい CAM ビューを使用できます。ここでは設計有効性が削除され、運用テストという運用有効性のみが存在します。

CAM では、コントロールは複数のアセスメント手順を使用して、より詳細なレベルでテストされます。コントロールテストでは、コントロールの有効性を測定します。コントロールテストの有効性は、その操作の有効性と評価手順の有効性によって測定され、それに基づいてコントロールテストのコントロール有効性が決定されます。コントロールテストに失敗することは、アセスメント目標を達成できなかったことを意味します。

コントロールテストの実施中、検査、面接、テストなどの新しいコントロールテスト基準を使用できます。これらのフィールドは読み取り専用ですが、テストテンプレートおよびテスト計画レベルで説明を更新できます。一連のアセスメント手順は、コントロールテスト中に関連リストとして使用できます。アセスメント手順は目標レベルであり、「有効」「無効」「なし」以外に「適用外」としてマークすることもできます。