Sleutelconcepten van nalevingskaarten

In dit gedeelte kunt u de belangrijkste concepten achter nalevingskaarten verkennen en leren.

Relaties in Nalevingskaarten

De volgende illustratie geeft de relaties tussen regelgevingen of normen, voorwaarden en controles in Nalevingskaarten weer.

Opmerking

  • Interfacetermen zijn aanpasbaar, en velden en tabbladen zijn configureerbaar. In uw exemplaar van HighBond zijn sommige termen, velden en tabbladen mogelijk anders.
  • Als een verplicht veld leeg wordt gelaten, verschijnt een waarschuwingsbericht: Dit veld is verplicht. Sommige aangepaste velden kunnen standaardwaarden hebben.

Termen

De volgende lijst definieert de termen die in nalevingskaarten worden gebruikt:

  • RegelgevingenGezagsdocumenten die geschreven en uitgegeven worden door federale overheidsdepartementen, vaak gecategoriseerd onder een wet.

    Voorbeelden

    FedRAMP 2016 0.1

    Green Book - Herziening 2014 (GAO-14-704G)

    NIST SP 800-53 beveiligingscontroles - Herz4

  • NormenGezagsdocumenten die resources zijn van best practice-vereisten en gerelateerde citaten.

    Voorbeelden

    COBIT 5 Framework

    Betaalkaartindustrie (PCI) Gegevensbeveiligingsstandaard

    COSO Internal Control Framework 2013

  • VoorwaardenEen reeks richtlijnen die zijn opgesteld om een norm of voorwaarde samen te vatten.

    Opmerking

    Hoewel in verschillende regelgevingen en normen naar voorwaarden kan worden verwezen als principes, attributen, activiteiten, taken of stappen, is de algemene term die in Projecten wordt gebruikt: voorwaarde.

    Voorbeelden

    • Vaststellen en uitvoeren van back-upprocedures voor toepassingen, databases, systeemconfiguraties, netwerkconfiguraties, documenten en berichtensystemen.
    • Documenteer het operationeel concept in het continuïteitsplan, inclusief een systeembeschrijving, opvolgingslijn en verantwoordelijkheden.

  • ControlesMaatregelen of acties om ervoor te zorgen dat een organisatie aan de voorwaarden voldoet.

    Voorbeelden

    • Er zijn beleidsregels en procedures met betrekking tot gegevensback-up die de verantwoordelijkheden van medewerkers duidelijk en uitvoerbaar maken.
    • Gegevens worden in realtime tussen servers gerepliceerd om een “hot” back-up te hebben als de kern van het productiesysteem uitvalt.
  • Van toepassingDe indicatie of de voorwaarde relevant of passend is voor uw organisatie.
  • GedektDe indicatie dat aan de voorwaarde is voldaan.
  • ControlegewichtHet percentage van de voorwaarde dat door de controle wordt gedekt.
  • DekkingEen percentagemeting die aangeeft in welke mate de van toepassing zijnde voorwaarden zijn aangegeven als “gedekt.”
  • OmissiesEen telling van het aantal toepasselijke voorwaarden die niet gedekt zijn.
  • ZekerheidEen berekening die het vertrouwen van uw organisatie weergeeft dat aan de voorwaarden wordt voldaan.

Voordelen voor verschillende professionals

Professionele titel(s)Voordelen
  • Chief Information Officer
  • IT-nalevingsbeheerder
  • Informatiebeveiligingsmanager
  • Kan aan klanten en andere geïnteresseerde derden bevestigen dat er een sterke controleomgeving bestaat.
  • Kan voorkomen dat we de organisatie blootstellen aan acties voor afdwingen van regelgeving of gegevensinbreuken.
  • Hoofd nalevingsafdeling
  • Nalevingsbeheerder
  • Hiermee kunnen we samenwerken met zakelijke belanghebbenden die moeten voldoen aan verschillende regelgevingen en normen.
  • Hiermee kunnen we de voortgang van de naleving beheren door de documentatie van vereisten en de bijbehorende controles te centraliseren.