Principais conceitos dos Mapas de Conformidade

Esta seção permite explorar e aprender os principais conceitos por trás dos Mapas de Conformidade.

Relações no Mapas de Conformidade

A figura a seguir mostra as relações entre regulamentos ou normas, requisitos e controles no Mapas de Conformidade.

Observação

  • Os termos, os campos e as guias da interface são personalizáveis. Em sua organização Diligent One, alguns termos, campos e guias podem ser diferentes.
  • Se um campo obrigatório for deixado em branco, você verá uma mensagem de alerta: Este campo é obrigatório. Alguns campos personalizados podem ter valores padrão.

Termos

A lista a seguir define os termos usados no Mapas de Conformidade:

  • RegulamentosDocumentos de autoridade redigidos e emitidos por departamentos do governo federal, muitas vezes caracterizados como lei.

    Exemplos

    FedRAMP 2016 0.1

    Green Book - Revisão 2014 (GAO-14-704G)

    Controles de Segurança NIST SP 800-53 - Rev4

  • NormasDocumentos de autoridade que oferecem requisitos de práticas recomendadas e citações relacionadas.

    Exemplos

    Estrutura COBIT 5

    Norma de Segurança de Dados do Setor de Cartões de Pagamento (PCI)

    Estrutura de Controles Internos COSO 2013

  • RequisitosUma série de diretivas estabelecidas para sumarizar uma norma ou regulamento.

    Observação

    Embora os requisitos possam ser mencionados como princípios, atributos, atividades, tarefas ou etapas em regulamentos e normas diferentes, o termo comum usado no Projetos é Requisito.

    Exemplos

    • Estabeleça e execute procedimentos de backup para aplicativos, bancos de dados, configurações de sistema, configurações de rede, documentos e sistemas de mensagem.
    • Documente o conceito de operações no plano de continuidade, incluindo uma descrição de sistema, uma linha de sucessão e responsabilidades.

  • ControlesMedidas ou planos de ação para garantir que a organização alcance a conformidade com os requisitos.

    Exemplos

    • Políticas e procedimentos relacionados ao backup de dados estão implantados, tornando as responsabilidades dos funcionários claras e acionáveis.
    • A replicação de dados em tempo real entre servidores é feita para oferecer um backup "hot" caso o sistema de produção principal falhe.
  • AplicávelA indicação se o requisito é ou não relevante ou apropriado para sua organização.
  • CobertoA indicação de que o requisito é cumprido.
  • Peso de ControleA porcentagem do requisito que o controle cobre.
  • CoberturaUma medição percentual que indica até que ponto os requisitos aplicáveis foram indicados como "cobertos".
  • FalhasO número de requisitos aplicáveis não cobertos.
  • GarantiaUm cálculo que representa a confiança da organização no cumprimento dos requisitos.

Benefícios para diferentes profissionais

Cargos dos profissionaisBenefícios
  • Diretor de TI
  • Gerente de Conformidade de TI
  • Gerente de Segurança das Informações
  • Pode atestar a clientes e a outros terceiros interessados a existência de um ambiente de controle robusto.
  • Pode evitar a exposição da organização a ações de fiscalização normativa ou violações de dados.
  • Diretor de Conformidade
  • Gerente de Conformidade
  • Pode colaborar com as partes interessadas da empresa necessárias para cumprir os diversos regulamentos e normas.
  • Pode gerenciar o progresso da conformidade centralizando a documentação de requisitos e seus controles mapeados.