RMF 2단계 - 권한 부여 패키지에 대한 통제 선택

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 29일
  • 소요 시간: 3분

    • 패키지의 영향 수준이 승인되면 기준선 통제를 선택해야 합니다.

    시작하기 전에

    필요한 역할: sn_im_cont_baseline_control_objective 테이블에 쓰려면 다음을 수행합니다. sn_irm_cont_auth.system_owner, sn_irm_cont_auth.info_system_sec_officer, sn_irm_cont_auth.admin

    해당 사항 없음으로 표시에 액세스하려면: sn_irm_cont_auth.info_system_sec_officer, sn_irm_cont_auth.info_system_sec_manager, sn_irm_cont_auth.admin.

    GRC 지속적 인증 및 모니터링

    GRC: 지속적 인증 및 모니터링 빠른 시작 테스트를 하려면 지속적 인증 및 모니터링 플러그인(com.sn_compliance)을 활성화하고 데모 데이터를 로드해야 합니다.

    표 1. GRC: 지속적 인증 및 모니터링 빠른 시작 테스트 테스트 도구 모음
    테스트 설명 릴리스 버전
    GRC: 시스템 소유자가 AB 및 AP에 대한 책임과 역할을 생성하고 확인 시스템 소유자는 권한 부여 경계 및 권한 부여 패키지에 대한 책임과 역할을 생성하고 검증합니다.

    권한 부여 경계를 선택하면 정보 소유자와 시스템 사용자가 미리 채워집니다.

    		 Quebec(ParisOrlando와 호환 가능)
    GRC: 시스템 소유자가 앱 모듈 가시성 확인 시스템 소유자 가상 사용자가 Continuous Authorization & Monitoring 애플리케이션 메뉴와 더불어 해당 메뉴 아래에서 다음 모듈을 볼 수 있는지 확인합니다.
    • 모든 권한 부여 범위
    • 모든 권한 부여 패키지
    • 정보 유형 라이브러리
    • 통제 오버레이
    • 통제 목표
    • 통제
    • 모든 계약
    		 Quebec(ParisOrlando와 호환 가능)
    GRC: 시스템 소유자 요청 첫 승인 및 내 승인 모듈 시스템 소유자가 승인을 요청합니다. Quebec(ParisOrlando와 호환 가능)
    SO: AB 및 AP에 대한 책임 및 역할 생성 및 확인 시스템 소유자가 권한 부여 범위 양식의 필드를 완료하여 권한 부여 범위를 생성할 수 있는지 확인합니다.

    또한 동일한 SO가 권한 부여 패키지를 양식 뷰에서 생성할 수 있는지도 확인합니다.

    		 Quebec(ParisOrlando와 호환 가능)

    지속적 인증 및 모니터링에 대한 자세한 내용은 Continuous Authorization and Monitoring을 참조하십시오.

    이 태스크 정보

    권한 부여 패키지 양식에 대한 승인을 받으면 통제 오버레이 필드와 일련의 통제 관련 목록이 양식에 나타났습니다.

    프로시저

    1. 기준선 통제 관련 목록을 선택합니다.
      목록에는 패키지의 계산된 영향 수준에 대한 기준선 통제가 표시됩니다. 구현할 통제 수(NIST에서 정의)는 영향 수준(높음, 보통 및 낮음)에 따라 다릅니다.
    2. 컨트롤 목록에서 다음 작업을 수행할 수 있습니다.
      표 2. 기준선 통제에 대한 작업
      작업 설명
      목록에 통제 추가 추가를 선택하고 추가할 컨트롤을 선택한 다음 기준선 컨트롤 만들기를 선택합니다.
      주:
      통제 목표를 추가할 때 기준선 통제에 추가할 참조 ID가 동일한 여러 통제 목표를 선택할 수 없습니다. 기준선 통제 목록에 참조 ID가 이미 있는 경우에는 통제 목표를 추가할 수 없습니다.
      통제 오버레이를 사용하여 통제 추가 통제 오버레이 필드에서 통제 오버레이를 선택합니다.
      주:
      개인 정보 오버레이 및 기타 유형의 통제 오버레이는 정부 기관에서 요구할 수 있지만 이를 생성하여 목록에 지정된 수의 통제를 추가할 수 있습니다.
      특정 통제를 적용할 수 없는 것으로 식별

      컨트롤을 선택하고, 선택을 선택하고, 근거를 입력하고, 확인을 선택합니다.

      이 방법으로 표시한 통제는 기준선 통제 목록에서 적용할 수 없는 통제 관련 목록으로 제거됩니다.

      주:
      • 참조 ID가 동일한 통제 목표를 기준선 통제 목록에서 적용할 수 없는 통제로 이동할 수 없습니다.
      • 참조 ID가 동일한 통제 목표를 기준선 통제에서 적용할 수 없는 통제로 이동하거나 적용할 수 없는 통제에서 기준선 통제로 이동할 수 없습니다.
      • 적용할 수 없는 통제 목록에서 참조 ID가 동일한 두 개의 통제 목표를 선택하면 기준선 통제로 돌아가기 작업이 비활성화됩니다.
      일반 통제에서 통제 상속

      다른 하위 통제를 할당하여 위험 지침을 상속할 수 있는 공통 통제를 만들 수 있습니다. 예를 들어 전체 시설을 처리하는 통제가 있는 경우 일반 통제에서 보호 및 준수를 상속할 관련 통제를 식별할 수 있습니다.

      일반 컨트롤을 만들려면 컨트롤을 선택하고, 일반 컨트롤 만들기를 선택하고, 확인을 선택하여 확인합니다. 일반 컨트롤에서 컨트롤을 상속할 수 있도록 하는 방법에 대한 자세한 내용은 을 참조하십시오 일반 통제에서 상속.
    3. 승인 요청을 선택합니다.

      승인 요청이 권한 부여 담당자에게 전송되며, 권한 부여 담당자는 탐색 창에서 내 승인에 액세스하고 패키지의 정보를 검토합니다. 승인을 받으면 패키지가 구현 상태로 전환됩니다.