合规地图的关键概念
了解合规地图的一些关键概念。
合规地图中的关系
下图说明了合规地图中的规范或标准、要求和控制之间的关系。
说明
- 界面术语均可自定义,而且字段和选项卡均可配置。在 Diligent One 实例中,某些术语、字段和选项卡可能有所不同。
- 如果必填字段留空,您会看到一则警告消息:此字段是必填项。某些自定义字段可能包含默认值。
术语
以下列表定义了合规地图中使用的术语:
- 规范由联邦政府部门撰写和颁发的权威文件,通常按照法案分类。
示例
FedRAMP 2016 0.1
绿皮书 - 修订版 2014 (GAO-14-704G)
NIST SP 800-53 安全控制 - Rev4
- 标准作为最佳实践要求来源的权威文件和相关引文。
示例
COBIT 5 框架
支付卡行业(PCI)数据安全标准
COSO 内部控制框架 2013
-
要求为了总结标准或规范而建立的一系列指令。
说明虽然在不同规范和标准中,要求可能被称为原则、属性、活动、任务或步骤,但在项目中应用程序通常使用的术语是要求。
示例
- 为应用程序、数据库、系统配置、网络配置、文档和消息传递系统建立和执行备份程序。
- 在连续性计划中记录运营概念,包括系统描述、排位和责任。
-
控制确保组织符合要求的措施或行动方针。
示例
- 与数据备份相关的政策和程序已到位,使员工的责任清晰明了可行。
- 服务器之间的实时数据复制是为了在核心生产系统出现故障时提供“热”备份。
- 适用指示该要求是否与贵组织相关或适合。
- 已覆盖指示已满足要求。
- 控制权重控制覆盖要求的百分比。
- 覆盖范围百分比量化评估,表明适用要求被标记为“已覆盖”的程度。
- 缺口未涵盖的适用要求数量的计数。
- 保障表示贵组织对能够满足要求的信心的计算。
针对不同专业人员的主要优势
| 专业职称 | 优势 |
|---|---|
|
|
|
|
