Relazioni tra controlli e requisiti

Dimostrare il rispetto da parte dell'organizzazione delle specifiche rilevanti per l'azienda mappando i controlli ai requisiti.

Mappatura dei controlli

Un requisito può essere coperto da numerosi controlli e un controllo può coprire numerosi requisiti. Quando si mappa un controllo a un requisito, si definiscono le misure o le linee d'azione per garantire il raggiungimento della conformità di un'organizzazione ai requisiti.

Nota

È possibile mappare i controlli solo ai requisiti specificati come Applicabili. Per maggiori informazioni, consultare Creare una mappa di conformità.

Limitazioni

Il numero massimo di controlli che è possibile mappare a un singolo requisito è 300.

Cosa succede quando si mappa un controllo a un requisito?

Quando si mappa un controllo a un requisito:

  • i risultati del testing e le informazioni sulle issue vengono aggregati in una vista di riepilogo nel pannello laterale Dettagli requisito per ciascun requisito
  • non è possibile mappare controlli aggiuntivi ad antenati o discendenti del requisito

Esempio

Scenario

Si mappa il Requisito 1.2 al Controllo A.

Requisito 1 - (Controllo A)

  • Requisito 1.1
  • Requisito 1.2 - Controllo A
  • Requisito 1.3

Risultato

  • Il Controllo A diventa un controllo correlato per il Requisito 1.

  • Non si riescono a mappare controlli aggiuntivi al Requisito 1.
  • Per mappare il Requisito 1 a un controllo diverso, è necessario rimuovere la mappatura esistente tra il Requisito 1.2 e il Controllo A oppure mappare controlli aggiuntivi al Requisito 1.2.

Annullare la mappatura dei controlli

In qualsiasi momento è possibile annullare la mappatura dei controlli ai requisiti. Quando si esegue questa operazione, il collegamento tra il controllo e il requisito viene rimosso e i risultati aggregati del testing e le informazioni sulle issue vengono rimossi dalla mappa di conformità.

Quando i controlli vengono automaticamente rimossi dalla mappatura a un requisito?

Se si verifica uno scenario in cui i controlli verranno automaticamente rimossi dalla mappatura a un requisito, viene richiesto di confermare l'azione in Mappe di conformità prima che i controlli vengano rimossi.

Scenario Occorrenza Risultato
Specificare un requisito come non applicabile In precedenza è stato specificato un requisito come applicabile, sono stati mappati i controlli al requisito e successivamente è stato deciso di specificare il requisito come non applicabile.

Sarà annullata la mappatura di tutti i controlli mappati al requisito e a tutti i requisiti discendenti del suo gruppo.
Modificare l'ambito Si modifica l'ambito di una norma o di un regolamento e in precedenza sono stati mappati i controlli su requisiti che saranno fuori ambito. Tutti i controlli mappati ai requisiti fuori ambito non sono mappati.

Controlli correlati

I controlli correlati per un requisito sono controlli che sono stati mappati agli antenati o ai discendenti di un requisito.

Le relazioni tra controlli e requisiti vengono visualizzate nella sezione Controlli correlati nel pannello laterale Dettagli requisito per ogni requisito.

Esempi

Esempio 1: Controlli correlati (antenato)

Si definiscono le seguenti relazioni:

Requisito 1

  • Requisito 1.1 → Controllo A
  • Requisito 1.2 → Controllo B
  • Requisito 1.3

Risultato Le relazioni tra controlli e requisiti sono definite a monte dell'albero. Le lettere tra parentesi indicano i controlli correlati.

Requisito 1 → (Controllo A; Controllo B)

  • Requisito 1.1 → Controllo A
  • Requisito 1.2 → Controllo B
  • Requisito 1.3

Esempio 2: Controlli correlati (Discendenti)

Si definiscono le seguenti relazioni:

Requisito 1 → Controllo A; Controllo B

  • Requisito 1.1
  • Requisito 1.2
  • Requisito 1.3

Risultato Le relazioni tra controlli e requisiti sono definite a valle dell'albero. Le lettere tra parentesi indicano i controlli correlati.

Requisito 1 → Controllo A; Controllo B

  • Requisito 1.1 → (Controllo A; Controllo B)
  • Requisito 1.2 → (Controllo A; Controllo B)
  • Requisito 1.3 → (Controllo A; Controllo B)

Requisiti correlati

Le organizzazioni in genere devono essere conformi a più norme e regolamenti che possono avere requisiti correlati o sovrapposti. I requisiti correlati indicano che i controlli implementati per un requisito dovrebbero effettivamente soddisfare un altro requisito (correlato).

Come funziona

Diligent ha raccolto determinati requisiti correlati per supportare l'efficienza nel processo di mappatura. Tali requisiti correlati possono provenire dalla stessa norma/regolamento o da norme/regolamenti diversi.

Se sono state importate norme o regolamenti dalla Biblioteca di conformità, è possibile visualizzare i requisiti correlati e copiare le motivazioni dai requisiti correlati. Per informazioni dettagliate sulla Biblioteca di conformità, vedere Importare standard e regolamenti, sezione Gestire gli standard o i regolamenti forniti da Diligent.

Nota

L'utilizzo della funzionalità dei requisiti correlati è a propria discrezione e rischio ed è soggetto ai termini e alle condizioni della propria sottoscrizione. È propria responsabilità applicare il giudizio professionale per determinare le procedure, i test o i controlli appropriati per l'uso personale.

Se la norma o il regolamento correlato non fa già parte della propria sottoscrizione o si desidera accedere ad altre norme o regolamenti simili, contattare il rappresentante del proprio account Diligent per acquisire l'accesso ai contenuti di terze parti desiderati.

Per maggiori informazioni, consultare Galleria di contenuti e intelligenza.

Punti di forza della relazione

Diligent classifica i requisiti correlati utilizzando i seguenti punti di forza della relazione:

Forza della relazione Descrizione Esempio
Equivalente

Effettivamente identico

Dove la copertura di A richiede sempre la copertura di B e viceversa

  • A) NIST SP 800-171: 3.1.12 Monitorare e controllare le sessioni di accesso remoto.
  • B) NIST Cybersecurity Framework versione 1.1: PR.AC-3 L'accesso remoto è gestito.
Fortemente correlato

Corrispondente o molto simile.

Dove la copertura di A richiede solitamente la copertura di B

  • A) NIST SP 800-171: 3.2.2 Garantire che il personale sia formato per rispettare gli obblighi e le responsabilità a proprio carico in materia di sicurezza delle informazioni.
  • B) NIST Cybersecurity Framework versione 1.1: PR-AT-5 Il personale addetto alla sicurezza fisica e informatica comprende i propri ruoli e responsabilità.
Moderatamente correlato

Alcuni elementi sovrapposti

Dove la copertura di A talvolta richiede la copertura di B.

  • A) NIST SP 800-171: 3.1.4 Separare i doveri dei singoli individui per ridurre il rischio di attività malevole senza collusione.
  • B) NIST Cybersecurity Framework versione 1.1: PR.AC-4 I permessi e le autorizzazioni di accesso sono gestiti incorporando i principi del privilegio minimo e della separazione delle funzioni.

Controlli suggeriti

Se in precedenza è stato mappato un controllo a un requisito correlato, la mappatura del controllo viene visualizzata come suggerimento in Mappa di conformità. Questi suggerimenti aiutano i team di conformità a dimostrare il rispetto di più norme e regolamenti in modo più efficiente e a velocizzare il processo di mappatura dei controlli.

È possibile scegliere di mappare i controlli suggeriti a un requisito o di ignorare il suggerimento. Ignorare un suggerimento lo rimuove definitivamente per tutti gli utenti nell'istanza Diligent One. Una volta respinto, il suggerimento non viene mai più presentato per il requisito.