Definindo os requisitos de um controle no nível do objetivo de controle

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura
  • Você pode detalhar um controle em um nível mais granular como requisitos ao gerar o controle no nível do objetivo de controle.

    A definição de requisitos de controle ajuda a:
    • Avaliador de controle de segurança (SCA): Para avaliar cada requisito do controle individualmente se houver aspectos diferentes para o teste de controle.
    • Oficial de autorização (AO), Oficial de segurança do sistema de informação (ISSO) e Gerente de segurança do sistema de informação (ISSM): Para entender o requisito que falhou, que levou à não conformidade do controle, em vez de avaliar a falha do controle como um todo.
    • Respondente de atestado identificado para um controle: Para responder no nível de requisitos de controle, que está em um nível mais granular, em vez de no nível de controle.

    . CAMusuário você pode detalhar os controles para controlar requisitos, gerenciar os requisitos com mais eficiência, atestar individualmente e ter o pacote autorizado. Você também pode definir os requisitos e criá-los no nível do objetivo de controle quando os controles são gerados.

    Para obter detalhes, consulte Detalhes do requisito de controle no CAMExibição do objetivo de controle e dos formulários de controle.

    Criando conteúdo do NIST a partir da descrição do objetivo de controle como requisitos de controle

    . sistema baseEnvia os requisitos de controle gerados a partir dos objetivos de controle do NIST 800-53 revisão 5 para CAMusuários. . Descrição O campo do formulário Objetivo de controle lista os requisitos detalhados como subpontos com subnúmeros. A Referência do objetivo de controle é agrupada com cada subnúmero ou a cláusula no Descrição e referenciado como a. Número do requisito No requisito de objetivo de controle. Por exemplo, se a referência do objetivo de controle for IR-9 e a descrição do objetivo de controle começar com um subnúmero (a.), os dois serão agrupados para gerar o primeiro requisito de objetivo de controle como IR-9.A, com mais subnúmeros adicionados a ele, se disponível. Portanto, se houver cerca de sete subdescrições, sete requisitos de controle serão gerados.

    Número do requisito de controle.