Details zur Steuerungsanforderung in CAMAnsicht von Kontrollziel- und Kontrollformularen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer

    • Die CAMDie Ansicht des Steuerungsformulars enthält Felder, die hinzugefügt wurden, um die Details der Kontrollanforderung zu erfassen.

    Um die Details der Steuerungsanforderung in aufzunehmen CAMAnsicht eines Kontrollzielformulars eine zugehörige Liste „Kontrollzielanforderungen“ wird hinzugefügt.

    Hinweis:
    Die Ansichten des Kontrollzielformulars und des Steuerungsformulars in CAMAnsichten sind fast identisch mit den in verwendeten Kontrollziel- und Kontrollformularen Richtlinien- und Compliance-Management. Einige Felder wurden jedoch entfernt und einige in den Formularen hinzugefügt, um die Details der Kontrollanforderung zu erfassen.

    CAM Ansicht eines Kontrollzielformulars

    Tabelle : 1. CAM Ansicht des Formulars „Kontrollziel“
    Feld Beschreibung
    Referenz Eindeutiger numerischer Bezeichner oder Inhaltsreferenznummer.
    Familie Kontrollziele in einer Familie gruppiert.
    Aktiv Option zum Aktivieren eines Kontrollziels.
    Familien-ID Eindeutige Identifizierung für eine Familie von Kontrollzielen.
    Name Name des Kontrollziels.
    Quelle Quelle des Kontrollziels (NIST 800-53-Überarbeitung 5), für die die Testvorlagen bereitgestellt werden.
    Übergeordnet Kontrollziel, das dem aktuellen Kontrollziel nicht untergeordnet ist. Diese Beziehung dient dazu, eine zyklische übergeordnete/untergeordnete Beziehung zu vermeiden.
    Compliance-Punktzahl (%) Prozentsatz der Compliance-Punktzahl, der für dieses Kontrollziel und seinen Farbcode berechnet wird:
    • 80 und höher in Grün
    • 80 bis 50 in Gelb
    • Unter 50 in Rot
    Erstellt automatisch Steuerungen Option, um anzugeben, dass Steuerungen automatisch erstellt werden, wenn eine Entität aus der zugehörigen Liste „zusätzliche Entitäten“ durch Auswahl zugeordnet wird Fügen Sie eine Beziehung hinzu Und die Entität.
    Steuerungsanforderungen erstellen Option zum automatischen Generieren von Kontrollanforderungen für das Kontrollziel.
    Hinweis:
    Wenn keine Kontrollzielanforderungen vorhanden sind, gibt es auch keine Kontrollanforderungen.
    Bestätigung Verweis auf den Metriktyp. GRC-Nachweis Ist standardmäßig ausgewählt.
    Hinweis:
    Wenn der Anwender den Kontrollnachweis ändert, wird auch der zugehörige Kontrollziel-Nachweistyp geändert.
    Auswirkung Potenzielle Auswirkungen auf Geschäftsfunktionen aufgrund des Verlusts der Vertraulichkeit, Integrität oder Verfügbarkeit von Ziel und Daten.
    Organisatorischer Leitfaden Sicherheitskontrolldefinitionen von NIST, die, wenn sie von Organisationen als allgemeine Steuerungsdefinitionen festgelegt werden, von einem oder mehreren Organisationszielen vererbt werden können.
    Beschreibung Beschreibung des Kontrollziels.
    Zusätzliche Anleitung Wenn es sich um ein Kontrollziel handelt, das von der NIST 800-53-Überarbeitung 4 stammt, gibt es eine Anweisung für die Implementierung des Kontrollziels.
    Diskussion Wenn es sich um ein Kontrollziel handelt, das von der NIST 800-53-Überarbeitung 5 stammt, werden inhaltsbezogene Informationen von NIST bezogen.

    Kontrollziele sind nur Richtlinien und nicht spezifisch für eine Entität oder ein Objekt. Sie können ein Kontrollziel mit einer beliebigen Kontrollzielanforderung und eine Kontrollzielanforderung mit einer beliebigen Anzahl von Kontrollzielen verknüpfen, da die Beziehung zwischen dem Kontrollziel und der Kontrollzielanforderung viele-zu-viele ist.

    Tabelle : 2. Zugehörige Liste für Kontrollzielanforderungen
    Feld Beschreibung
    Anforderungsnummer Anforderungsnummer des Kontrollziels.
    Aktiv Option zum Aktivieren der Anforderung.
    Beschreibung Detaillierte Beschreibung der Anforderung für das Kontrollziel.
    In der zugehörigen Liste „Kontrollzielanforderungen“ können Sie auswählen Neu Dient zum Erstellen einer Anforderung für das Kontrollziel bei Bedarf, basierend auf den Anforderungen generiert werden. Oder wählen Sie aus Bearbeiten Dient zum Hinzufügen einer vorhandenen Kontrollzielanforderung zum Kontrollziel.
    Hinweis:
    • Wenn sich das Kontrollziel im Status „Inaktiv“ befindet, können Sie keine Kontrollzielanforderungen erstellen oder hinzufügen. Daher Neu Und Bearbeiten Sind nicht verfügbar.
    • Wenn die Kontrollzielanforderung inaktiv ist, können Sie der Kontrollzielanforderung kein Kontrollziel hinzufügen.

    CAM Ansicht des Steuerungsformulars

    Tabelle : 3. CAM Ansicht des Kontrollformulars
    Feld Beschreibung
    Referenz Eindeutiger Bezeichner.
    Name Name der Steuerung.
    Nummer Eindeutige Identifikationsnummer der Kontrolle.
    Entität Zugehörige Entität.
    Hinweis:
    Wenn Sie den Status der Entität vom Status „stillgelegt“ in „aktiv“ ändern, wechselt die manuell erstellte Steuerung für die Entität ebenfalls in den Status „Entwurf“.
    Kontrollziel Zugehöriges Kontrollziel.
    Eigentümer Anwender, der die Richtlinie besitzt.
    Hinweis:
    Der Besitzer wird immer als Teilnehmer hinzugefügt. Der von Ihnen ausgewählte Steuerungsbesitzer gehört zur Besitzergruppe.
    Status Steuerungsstatus. Mögliche Auswahlmöglichkeiten:
    • Konform
    • Nicht konform
    • Nicht zutreffend
    Status Kontrollstatus. Mögliche Auswahlmöglichkeiten:
    • Entwurf : Wenn die Kontrolle aus einem Kontrollziel erstellt wird, befinden sich die Steuerungen in diesem Status. In diesem Status können alle Compliance-Anwender die Steuerung ändern. Nur verfügbar, wenn eine einmalige Steuerung erstellt wird. Einmalige Steuerungen sind möglich, aber nicht empfohlen.
    • Nachweis : Wenn Sie auswählen Nachweis Und Nachweise ausfüllen, wechselt die Steuerung in diesen Status.
      Hinweis:
      Wenn ein Steuerelement auf „Entwurf“ zurückgesetzt wird, wird der Nachweis abgebrochen.
    • Überprüfen : Steuerungen werden automatisch aus der Nachweisphase zur Überprüfung verschoben.
    • Überwachen : In diesem Status können alle Compliance-Manager die Steuerung von „Überprüfung“ in „Überwachung“ verschieben.
    • Stillgelegt : Compliance-Manager oder -Administratoren können eine Steuerung von „Überwachen“ in „stillgelegt“ verschieben.
      Hinweis:
      Wenn eine Steuerung außer Kraft gesetzt wird:
      • Zugeordnete Indikatoren werden nicht ausgeführt
      • Zugeordnete Nachweise werden abgebrochen
      • Änderungen an zugeordneten Kontrollzielen aktualisieren die Steuerung nicht
    Autorisierungspaket Das Autorisierungspaket, dem die Steuerung zugeordnet ist oder aus dem sie stammt.
    Häufigkeit Liste der Optionen:
    • Ereignisgesteuert
    • Täglich
    • Wöchentlich
    • Monatlich
    • Vierteljährlich
    • Halbjährlich
    • Jährlich
    Der Nachweis wird basierend auf dem für die Steuerung oder Steuerungsanforderung ausgewählten Wert gesendet.
    Hinweis:
    Für Informationen zum Unterschied zwischen Häufigkeit Feld für ein Steuerelement und Nachweishäufigkeit Feld in einer Entität, siehe KB0694607 .
    Gewichtung Wert, der bei der Berechnung der Effektivität der Kontrollpunktzahl verwendet wird.
    Verantwortliche Gruppe Gruppe, die die Richtlinie besitzt.
    Steuerungszuteilung Typ der erstellten Steuerung: Entweder systemspezifisch oder Hybrid.
    Beschreibung Beschreibung der Steuerung.
    Diskussion Inhaltsbezogene Informationen aus NIST 800-53-Überarbeitung 5.
    Zusätzliche Anleitung Wenn es sich um eine Kontrolle handelt, die von der NIST 800-53-Überarbeitung 4 stammt, dann eine Anweisung für die Kontrollimplementierung.
    Implementierungsstellungnahme Eine Erklärung, wie die Steuerung implementiert wird.

    Diese Informationen sind erforderlich, wenn die Steuerung aus einem Autorisierungspaket erstellt wird und sich im Status „Entwurf“ befindet.
    Bestätigung
    Einen Nachweis auf Anforderungsebene vornehmen Option zum Senden von Nachweisen auf Kontrollanforderungsebene und nicht auf Kontrollebene.
    Bestätigung

    Wählen Sie aus einer Liste von Optionen aus.

    • Andere Nachweistypen können konfiguriert werden.
    • Wenn dieses Feld ausgefüllt ist, wird Nachweisteilnehmer Wert ist erforderlich, und der Besitzer wird zum Teilnehmer gemacht.
    Hinweis:
    Wenn der Anwender den Nachweistyp im Kontrollziel ändert, werden auch alle zugehörigen Steuerungen geändert.
    Nachweisteilnehmer
    • Anwender, die dem Nachweis dieser Kontrolle zugewiesen sind.
    • Nur ein Anwender mit der Rolle sn_grc.user kann als Teilnehmer hinzugefügt werden.
    Hinweis:
    Wenn beides Nachweis Und Nachweisteilnehmer Felder werden festgelegt, Nachweise werden erstellt, wenn Sie auswählen Nachweis .
    Aktivitätsjournal
    Zusätzliche Anmerkungen Öffentliche Informationen zur Steuerung.
    Aktivitäten Nachrichtenprotokolle der Änderung des Kontrollstatus.
    Tabelle : 4. Zugehörige Liste für Steuerungsanforderungen
    Feld Beschreibung
    Nummer Eindeutige Nummer der Kontrollanforderung.
    Anforderungsnummer Referenznummer.
    Kontrolle Steuerung, der die Kontrollanforderung zugeordnet ist.
    Status Status der Kontrollanforderung.
    Status Anforderungsstatus.
    Häufigkeit Kontrollfrequenz.
    Beschreibung Beschreibung der Steuerungsanforderung.
    Bestätigung
    Bestätigung Nachweismetriktyp.
    Nachweisteilnehmer Anwender, die die Kontrollanforderung nachweisen.
    Aktivitätsjournal
    Zusätzliche Anmerkungen Informationen zur Steuerungsanforderung.

    Wenn die Zuordnung der Kontrollzielanforderung aufgehoben wird, die entfernt oder gelöscht wird, wird die Kontrollanforderung manuell. Diese Informationen werden in diesem Feld protokolliert.
    Aktivitäten Nachrichtenprotokolle der Statusänderung der Kontrollanforderung.