Relacionamentos entre controles e requisitos

Demonstre a conformidade da sua organização com especificações relevantes para o negócio vinculando controles aos requisitos.

Controles de vínculos

Um requisito pode ser coberto por diversos controles, e um controle pode cobrir vários requisitos. Quando você vincula um controle a um requisito, define as medidas ou os planos de ação para garantir que a organização alcance a conformidade com os requisitos.

Observação

Você somente pode vincular controles a requisitos especificados como Aplicável. Para obter mais informações, consulte Criando um mapa de conformidade.

Limitações

O número máximo de controles que você pode vincular para um único requisito é 300.

O que acontece quando você vincula um controle a um requisito?

Vincular controles a requisitos:

  • Os resultados de testes e as informações sobre problemas são agregados em uma exibição resumida no painel lateral Detalhes do Requisito para cada requisito
  • Os controles adicionais não podem ser vinculados aos ancestrais ou descendentes do requisito.

Exemplo

Cenário

Você mapeia o Requisito 1.2 ao Controle A.

Requisito 1 - (Controle A)

  • Requisito 1.1
  • Requisito 1.2 - Controle A
  • Requisito 1.3

Resultado

  • O Controle A se torna um controle relacionado para o Requisito 1.

  • Você não pode mapear controles adicionais ao Requisito 1.
  • Para mapear o Requisito 1 a um controle diferente, será necessário remover o mapeamento existente entre o Requisito 1.2 e o Controle A ou mapear controles adicionais ao Requisito 1.2.

Desvincular controles

A qualquer momento, você pode desvincular os controles dos requisitos. Quando isso é feito, o link entre o controle e os requisitos é removido e resultados de testes e informações sobre problemas agregados são removidos do mapa de conformidade.

Quando o mapeamento de controles a um requisito é automaticamente desfeito?

Se ocorrer um cenário em que o mapeamento de controles a um requisito seja desvinculado automaticamente, você será solicitado a confirmar essa ação em Mapas de Conformidade antes que o mapeamento dos controles seja desvinculado.

CenárioOcorrênciaResultado
Especificando um requisito como não aplicávelVocê especificou anteriormente um requisito como aplicável, vinculou controles ao requisito e decidiu mais tarde especificar o requisito como não aplicável.

O mapeamento de todos os controles vinculados ao requisito e a todos os requisitos descendentes nesse grupo será desvinculado.

Alterando o escopoVocê altera o escopo de uma norma ou regulamento e vinculou previamente controles a requisitos que ficarão fora do escopo.O mapeamento de todos os controles vinculados a requisitos fora do escopo é desvinculado.

Controles relacionados

Os controles relacionados para um requisito são controles que foram vinculados aos ancestrais ou descendentes de um requisito.

As relações entre controles e requisitos são exibidas na seção Controles relacionados no painel lateral Detalhes do requisito para cada requisito.

Exemplos

Exemplo 1: Controles relacionados (ancestral)

Você define estas relações:

Requisito 1

  • Requisito 1.1 → Controle A
  • Requisito 1.2 → Controle B
  • Requisito 1.3

ResultadoAs relações entre controles e requisitos são definidas subindo na árvore. As letras entre parênteses indicam os controles relacionados.

Requisito 1 → (Controle A; Controle B)

  • Requisito 1.1 → Controle A
  • Requisito 1.2 → Controle B
  • Requisito 1.3

Exemplo 2: Controles relacionados (descendentes)

Você define estas relações:

Requisito 1 → Controle A; Controle B

  • Requisito 1.1
  • Requisito 1.2
  • Requisito 1.3

ResultadoAs relações entre controles e requisitos são definidas descendo na árvore. As letras entre parênteses indicam os controles relacionados.

Requisito 1 → Controle A; Controle B

  • Requisito 1.1 → (Controle A; Controle B)
  • Requisito 1.2 → (Controle A; Controle B)
  • Requisito 1.3 → (Controle A; Controle B)

Requisitos relacionados

As organizações normalmente precisam estar em conformidade com vários padrões e regulamentos que podem ter requisitos relacionados ou sobrepostos. Os requisitos relacionados indicam que os controles implementados para um requisito devem tratar efetivamente outro requisito (relacionado).

Como funciona

A Diligent reuniu alguns requisitos relacionados para aumentar a eficiência no processo de vínculo. Esses requisitos relacionados podem ser da mesma norma ou regulamento ou de diferentes normas ou regulamentos.

Se você tiver importado padrões ou regulamentos da Biblioteca de Conformidade, poderá exibir os requisitos relacionados e copiar instruções de lógica dos requisitos relacionados. Para obter detalhes sobre a Biblioteca de Conformidade, consulte a seção Importando normas e regulamentos, .

Observação

O uso do recurso de requisitos relacionados fica a seu critério e risco e está sujeito aos termos e condições da sua assinatura. Você deve aplicar julgamento profissional para determinar os procedimentos, testes ou controles apropriados para seu próprio uso.

Se a norma ou regulamento relacionado ainda não fizer parte da sua assinatura ou se você quiser acessar outras normas ou regulamentos, entre em contato com o representante da sua conta Diligent para obter acesso ao conteúdo de terceiros desejado.

Para obter mais informações, consulte Galeria de Conteúdo e Inteligência.

Forças de relacionamento

A Diligent categoriza os requisitos relacionados usando as seguintes forças de relacionamento: 

Força do relacionamentoDescriçãoExemplo
Equivalente

Efetivamente idêntico

Quando a cobertura A sempre exigir a cobertura B e vice-versa

  • A)NIST SP 800-171: 3.1.12Monitorar e controlar sessões de acesso remoto.
  • B)NIST Estrutura de segurança cibernética versão 1.1: PR.AC-3O acesso remoto é gerenciado.
Relação forte

Correspondente ou muito semelhante

Quando a cobertura A normalmente exigir a cobertura B

  • A) NIST SP 800-171: 3.2.2Certifique-se de que a equipe seja treinada para executar suas tarefas e responsabilidades relacionadas à segurança da informação.
  • B) NIST Estrutura de segurança cibernética versão 1.1: PR-AT-5O pessoal de segurança física e cibernética entende seus papéis e responsabilidades.
Relação moderada

Alguns elementos sobrepostos

Quando a cobertura A algumas vezes exigir a cobertura B

  • A) NIST SP 800-171: 3.1.4Separe os deveres dos indivíduos para reduzir o risco de atividade maliciosa sem conluio.
  • B) NIST Estrutura de segurança cibernética versão 1.1: PR.AC-4As permissões e autorizações de acesso são gerenciadas, incorporando os princípios de menor privilégio e separação de tarefas.

Controles sugeridos

Se você anteriormente vinculou um controle para um requisito relacionado, o mapeamento de controle é exibido como sugestão nos Mapas de Conformidade. Essas sugestões ajudam as equipes de conformidade a demonstrar adesão a vários padrões e regulamentos com mais eficiência e agilizam o processo de mapeamento de controle.

Você pode optar por mapear os controles sugeridos para um requisito ou descartar a sugestão. Descartar uma sugestão a remove permanentemente para todos os usuários na instância do Diligent One. Depois de descartada, a sugestão nunca é apresentada para o requisito novamente.