Concepts clés des cartes de conformité

Cette section vous permet d’explorer et d’apprendre les concepts clés qui sous-tendent l’application Cartes de conformité.

Relations dans les cartes de conformité

L’illustration ci-dessous montre les relations entre les réglementations ou les normes, les conditions requises et les contrôles dans les cartes de conformité.

Note

  • Les termes de l'interface sont personnalisables ; les champs et les onglets sont configurables. Dans votre organisation Diligent One, certains termes, champs et onglets peuvent être différents.
  • Si un champ obligatoire est vide, le message d’avertissement s’affiche : Ce champ est obligatoire. Certains champs personnalisés peuvent comporter des valeurs par défaut.

Conditions

La liste suivante définit les termes utilisés dans les Cartes de conformité :

  • RéglementationsDocuments de référence rédigés et délivrés par les services de gouvernement fédéral, souvent classés sous une Loi.

    Exemples

    FedRAMP 2016 0.1

    Livre vert - Révision 2014 (GAO-14-704G)

    NIST SP 800-53 Security Controls (Contrôles de sécurité) - Rev4

  • NormesDocuments de référence source des conditions requises relatives aux bonnes pratiques et citations liées.

    Exemples

    Cadre de contrôle COBIT 5

    Norme de sécurité de l’industrie des cartes de paiement (Payment Card Industry Data Security Standard ou PCI DSS)

    Cadre de contrôle interne COSO 2013

  • Conditions requisesSérie de directives ayant été définies pour résumer une norme ou une réglementation.

    Note

    Bien qu'il serait possible de faire référence aux conditions requises sous les termes principes, attributs, activités, tâches ou étapes dans différentes réglementations et normes, le terme usuel utilisé dans Projets est Condition requise.

    Exemples

    • Définir et exécuter des procédures de sauvegarde pour les applications, bases de données, configurations de système, configurations réseau, documents et systèmes de messagerie.
    • Documenter le concept des opérations dans le plan de continuité, avec une description du système, l'ordre de succession et les responsabilités.

  • ContrôlesMesures ou lignes de conduite permettant d’assurer la réussite d’une organisation en termes de conformité avec des conditions requises.

    Exemples

    • Des politiques et des procédures liées à la sauvegarde des données sont en place, ce qui rend les responsabilités des employés claires et applicables.
    • Une réplication des données en temps réel est effectuée entre les serveurs pour fournir une sauvegarde « à chaud » en cas de panne du système de production principal.
  • ApplicableIndique si la condition requise est pertinente ou appropriée pour votre organisation.
  • CouvertIndique que la condition requise est satisfaite.
  • Poids du contrôleLe pourcentage de la condition requise couvert par le contrôle.
  • CouverturePourcentage qui indique dans quelle mesure les conditions requises applicables ont été indiquées comme « couvertes ».
  • OmissionsNombre de conditions requises applicables qui ne sont pas couvertes.
  • AssuranceCalcul qui représente la confiance de votre organisation pour répondre aux conditions.

Avantages pour plusieurs professionnels

Titre(s) du professionnelAvantages
  • Responsable informatique
  • Responsable de la conformité informatique
  • Responsable de la sécurité informatique
  • Peut certifier aux clients et aux autres tiers intéressés qu’un environnement de contrôle solide existe.
  • Peut empêcher d’exposer l’organisation à des mesures d’exécution réglementaires ou à des violations de données.
  • Responsable de la conformité
  • Directeur de la conformité
  • Peut collaborer avec les intervenants dans l’entreprise devant respecter différentes réglementations et normes.
  • Peut gérer l’avancement de la conformité en centralisant la documentation des conditions requises et leurs contrôles mappés.