Relações entre controles e requisitos

Demonstre que a sua organização cumpre as especificações relevantes para os negócios mapeando controles a requisitos.

Mapeando controles

Um requisito pode ser coberto por diversos controles e um controle pode cobrir vários requisitos. Quando você mapeia um controle a um requisito, define as medidas ou os planos de ação para garantir que a organização alcance a conformidade com os requisitos.

Observação

Você somente pode mapear controles a requisitos especificados como Aplicável. Para obter mais informações, consulte Criar um mapa de conformidade.

Limitações

O número máximo de controles que você pode mapear para um único requisito é 300.

O que acontece quando você mapeia um controle a um requisito?

Quando você mapeia um controle para um requisito:

  • para cada requisito, os resultados de testes e as informações sobre problemas são agregados em uma exibição resumida no painel lateral Detalhes do requisito
  • não é possível mapear controles adicionais a ancestrais ou descendentes do requisito

Exemplo

Cenário

Você mapeia o Requisito 1.2 ao Controle A.

Requisito 1 - (Controle A)

  • Requisito 1.1
  • Requisito 1.2 - Controle A
  • Requisito 1.3

Resultado

  • O Controle A se torna um controle relacionado para o Requisito 1.

  • Você não pode mapear controles adicionais ao Requisito 1.
  • Para mapear o Requisito 1 a um controle diferente, será necessário remover o mapeamento existente entre o Requisito 1.2 e o Controle A ou mapear controles adicionais ao Requisito 1.2.

Desfazendo o mapeamento de controles

A qualquer momento, você pode desfazer o mapeamento de controles aos requisitos. Quando isso é feito, o link entre o controle e os requisitos é removido e resultados de testes e informações sobre problemas agregados são removidos do mapa de conformidade.

Quando o mapeamento de controles a um requisito é automaticamente desfeito?

Se ocorrer um cenário em que o mapeamento de controles a um requisito seja desfeito, você será solicitado a confirmar essa ação em Mapas de Conformidade antes que o mapeamento dos controles seja desfeito.

Cenário Ocorrência Resultado
Especificando um requisito como não aplicável Você especificou anteriormente um requisito como aplicável, mapeou controles ao requisito e decidiu mais tarde especificar o requisito como não aplicável.

O mapeamento de todos os controles ao requisito e a todos os requisitos descendentes nesse grupo será desfeito.
Alterando o escopo Você altera o escopo de uma norma ou regulamento e mapeou previamente controles a requisitos que ficarão fora do escopo. O mapeamento de todos os controles a requisitos fora do escopo é desfeito.

Controles relacionados

Os controles relacionados para um requisito são controles que foram mapeados aos ancestrais ou descendentes de um requisito.

As relações entre controles e requisitos são exibidas na seção Controles relacionados no painel lateral Detalhes do requisito para cada requisito.

Exemplos

Exemplo 1: Controles relacionados (ancestral)

Você define estas relações:

Requisito 1

  • Requisito 1.1 → Controle A
  • Requisito 1.2 → Controle B
  • Requisito 1.3

Resultado As relações entre controles e requisitos são definidas subindo na árvore. As letras entre parênteses indicam os controles relacionados.

Requisito 1 → (Controle A; Controle B)

  • Requisito 1.1 → Controle A
  • Requisito 1.2 → Controle B
  • Requisito 1.3

Exemplo 2: Controles relacionados (descendentes)

Você define estas relações:

Requisito 1 → Controle A; Controle B

  • Requisito 1.1
  • Requisito 1.2
  • Requisito 1.3

Resultado As relações entre controles e requisitos são definidas descendo na árvore. As letras entre parênteses indicam os controles relacionados.

Requisito 1 → Controle A; Controle B

  • Requisito 1.1 → (Controle A; Controle B)
  • Requisito 1.2 → (Controle A; Controle B)
  • Requisito 1.3 → (Controle A; Controle B)

Requisitos relacionados

As organizações normalmente precisam estar em conformidade com vários padrões e regulamentos que podem ter requisitos relacionados ou sobrepostos. Os requisitos relacionados indicam que os controles implementados para um requisito devem tratar efetivamente outro requisito (relacionado).

Como funciona?

A Diligent reuniu alguns requisitos relacionados para aumentar a eficiência no processo de mapeamento. Esses requisitos relacionados podem ser da mesma norma/regulamento ou de diferentes normas/regulamentos.

Se você tiver importado padrões ou regulamentos da Biblioteca de Conformidade, poderá exibir os requisitos relacionados e copiar instruções de lógica dos requisitos relacionados. Para saber mais sobre a Biblioteca de Conformidade, consulte Importando normas e regulamentos, seção Gerenciamento de normas ou regulamentos fornecidos pela Diligent.

Observação

O uso do recurso de requisitos relacionados fica a seu critério e risco e está sujeito aos termos e condições da sua assinatura. Você deve aplicar julgamento profissional para determinar os procedimentos, testes ou controles apropriados para seu próprio uso.

Se a norma ou regulamento relacionado ainda não fizer parte da sua assinatura ou se você quiser acessar outras normas ou regulamentos, entre em contato com o representante da sua conta Diligent para obter acesso ao conteúdo de terceiros desejado.

Para obter mais informações, consulte Galeria de Conteúdo e Inteligência.

Forças de relacionamento

A Diligent categoriza os requisitos relacionados usando as seguintes forças de relacionamento:

Força do relacionamento Descrição Exemplo
Equivalente

Efetivamente idêntico

Quando a cobertura A sempre exigir a cobertura B e vice-versa

  • A) NIST SP 800-171: 3.1.12 Monitore e controle as sessões de acesso remoto.
  • B) Estrutura de Segurança Cibernética NIST versão 1.1: PR.AC-3 Acesso remoto gerenciado.
Relação forte

Correspondente ou muito semelhante

Quando a cobertura A normalmente exigir a cobertura B

  • A) NIST SP 800-171: 3.2.2 Certifique-se de que a equipe seja treinada para executar suas tarefas e responsabilidades relacionadas à segurança da informação.
  • B) Estrutura de Segurança Cibernética NIST versão 1.1: PR-AT-5 A equipe de segurança física e segurança cibernética entende seus papéis e responsabilidades.
Relação moderada

Alguns elementos sobrepostos

Quando a cobertura A algumas vezes exigir a cobertura B

  • A) NIST SP 800-171: 3.1.4 Separe os deveres dos indivíduos para reduzir o risco de atividade maliciosa sem conluio.
  • B) Estrutura de Segurança Cibernética NIST versão 1.1: PR.AC-4 As permissões e autorizações de acesso são gerenciadas, incorporando os princípios de menor privilégio e separação de tarefas.

Controles sugeridos

Se você anteriormente mapeou um controle para um requisito relacionado, o mapeamento de controle é exibido como sugestão nos Mapas de Conformidade. Essas sugestões ajudam as equipes de conformidade a demonstrar adesão a vários padrões e regulamentos com mais eficiência e agilizam o processo de mapeamento de controle.

Você pode optar por mapear os controles sugeridos para um requisito ou descartar a sugestão. Descartar uma sugestão a remove permanentemente para todos os usuários na instância do Diligent One. Depois de descartada, a sugestão nunca é apresentada para o requisito novamente.