Beziehungen zwischen Kontrollen und Anforderungen

Demonstrieren Sie die Einhaltung Anforderungen durch Ihre Organisation, indem Sie den Anforderungen Kontrollen zuordnen.

Kontrollen zuordnen

Eine Anforderung kann durch viele Kontrollen abgedeckt werden, und eine Kontrolle kann viele Anforderungen abdecken. Wenn Sie eine Kontrolle einer Anforderung zuordnen, definieren Sie Aktionen oder Handlungsabläufe zur Sicherstellung, dass eine Organisation die Anforderungen einhält.

Hinweis

Sie können nur solchen Anforderungen Kontrollen zuordnen, die Sie als zutreffend festgelegt haben. Weitere Informationen finden Sie unter Eine Compliance-Map erstellen.

Beschränkungen

Die maximale Anzahl von Kontrollen, die Sie einer einzelnen Anforderung zuordnen können, beträgt 300.

Was passiert, wenn Sie eine Kontrolle einer Anforderung zuordnen?

Wenn Sie eine Kontrolle einer Anforderung zuordnen,

  • werden Testergebnisse und Probleminformationen in einer Übersichtsansicht für jede Anforderung im Seitenbereich Anforderungseinzelheiten angezeigt,
  • können Sie den Vorgängern oder Nachfolgern der Anforderung keine zusätzlichen Kontrollen zuordnen.

Beispiel

Szenario

Sie ordnen Anforderung 1.2 der Kontrolle A zu.

Anforderung 1 - (Kontrolle A)

  • Anforderung 1.1
  • Anforderung 1.2 - Kontrolle A
  • Anforderung 1.3

Ergebnis

  • Kontrolle A wird für Anforderung 1 eine verbundene Kontrolle.

  • Sie sind nicht in der Lage, Anforderung 1 zusätzliche Kontrollen zuzuordnen.
  • Um Anforderung 1 eine andere Kontrolle zuzuordnen, müssen Sie die bestehende Zuordnung zwischen Anforderung 1.2 und Kontrolle A entfernen oder Anforderung 1.2 zusätzliche Kontrollen zuordnen.

Zuordnung von Kontrollen aufheben

Jederzeit können Sie die Zuordnung von Kontrollen zu Anforderungen wieder entfernen. Dadurch wird die Verknüpfung zwischen der Kontrolle sowie der Anforderung entfernt, und aggregierte Testergebnisse sowie Probleminformationen werden aus der Compliance-Map gelöscht.

Wann wird die Zuordnung von Kontrollen zu einer Anforderung automatisch entfernt?

In einem Szenario, in dem die Zuordnung von Kontrollen zu einer Anforderung automatisch entfernt wird, werden Sie aufgefordert, diese Aktion in Compliance-Maps zuerst zu bestätigen.

Szenario Eintreten Ergebnis
Eine Anforderung als nicht zutreffend festlegen Angenommen Sie haben eine Anforderung als zutreffend festgelegt und ihr Kontrollen zugeordnet, sich später jedoch entschieden, die Anforderung als nicht zutreffend festzulegen.

Die Zuordnung sämtlicher Kontrollen auf die Anforderung und auf Nachfolgeanforderungen innerhalb ihrer Gruppe wird aufgehoben.
Umfang ändern Sie ändern den Umfang eines Standards oder einer Vorschrift und haben zuvor Kontrollen auf Anforderungen zugeordnet, die nun außerhalb des Umfangs liegen. Die Zuordnung sämtlicher Kontrollen auf außerhalb des Umfangs liegende Anforderungen wird aufgehoben.

Verbundene Kontrollen

Mit einer Anforderung verbundene Kontrollen sind Kontrollen, die Vorgänger- oder Nachfolgeranforderungen zugeordnet wurden.

Beziehungen zwischen Kontrollen und Anforderungen werden im Abschnitt Verbundene Kontrollen innerhalb des Seitenbereichs Anforderungseinzelheiten jeder Anforderung angezeigt.

Beispiele

Beispiel 1: Verbundene Kontrollen (Vorgänger)

Sie definieren die folgenden Beziehungen:

Anforderung 1

  • Anforderung 1.1 → Kontrolle A
  • Anforderung 1.2 → Kontrolle B
  • Anforderung 1.3

Ergebnis Beziehungen zwischen Kontrollen und Anforderungen werden innerhalb des Baums nach oben definiert. Die Buchstaben in Klammern deuten die verbundenen Kontrollen an

Anforderung 1 → (Kontrolle A; Kontrolle B)

  • Anforderung 1.1 → Kontrolle A
  • Anforderung 1.2 → Kontrolle B
  • Anforderung 1.3

Beispiel 2: Verbundene Kontrollen (Nachfolger)

Sie definieren die folgenden Beziehungen:

Anforderung 1 → Kontrolle A; Kontrolle B

  • Anforderung 1.1
  • Anforderung 1.2
  • Anforderung 1.3

Ergebnis Beziehungen zwischen Kontrollen und Anforderungen werden innerhalb des Baums nach unten definiert. Die Buchstaben in Klammern deuten die verbundenen Kontrollen an

Anforderung 1 → Kontrolle A; Kontrolle B

  • Anforderung 1,1 → (Kontrolle A; Kontrolle B)
  • Anforderung 1,2 → (Kontrolle A; Kontrolle B)
  • Anforderung 1,3 → (Kontrolle A; Kontrolle B)

Verbundene Anforderungen

Organisationen müssen in der Regel mehrere Standards und Vorschriften einhalten, die sich möglicherweise auf einander bezogene oder überlappende Anforderungen haben. Aus den damit verbundenen Anforderungen geht hervor, dass die für eine Anforderung durchgeführten Kontrollen eine andere (verbundene) Anforderung effektiv erfüllen sollten.

Funktionsweise

Diligent hat bestimmte verwandte Anforderungen zusammengefasst, um die Effizienz des Zuordnungsprozesses zu verbessern. Diese verwandten Anforderungen können aus demselben Standard bzw. derselben Vorschrift oder aus verschiedenen Standards bzw. Vorschriften stammen.

Wenn Sie Standards oder Bestimmungen aus der Compliance-Bibliothek importiert haben, können Sie verwandte Anforderungen anzeigen und Begründungen aus verbundenen Anforderungen kopieren. Weitere Informationen über die Compliance-Bibliothek finden Sie unter Standards und Vorschriften importieren, im Abschnitt Von Diligent bereitgestellte Standards oder Vorschriften verwalten.

Hinweis

Die Nutzung der entsprechenden Funktion für Anforderungen liegt in Ihrem Ermessen und auf Ihr Risiko und unterliegt den Bedingungen Ihres Abonnements. Es liegt in Ihrer Verantwortung, unter Anwendung eines fachkundigen Ermessens die geeigneten Verfahren, Tests oder Kontrollen für Ihren eigenen Gebrauch festzulegen.

Wenn der entsprechende Standard oder die entsprechende Vorschrift nicht bereits Teil Ihres Abonnements ist oder Sie Zugang zu anderen derartigen Standards oder Vorschriften wünschen, wenden Sie sich bitte an Ihren Diligent-Kundenbetreuer, um Zugang zu den von Ihnen gewünschten Inhalten von Drittanbietern zu erhalten.

Weitere Informationen finden Sie in der Content & Intelligence-Galerie.

Stärken von Beziehungen

Diligent kategorisiert zusammengehörige Anforderungen mit Hilfe der folgenden Beziehungsstärken:

Beziehungsstärken Beschreibung Beispiel
Äquivalent

Tatsächlich identisch

Wenn Abdeckung A immer Abdeckung B erfordert und umgekehrt

  • A) NIST SP 800-171: 3.1.12 Überwachung und Steuerung von Remote-Zugriffssitzungen.
  • B) NIST Cybersecurity Framework Version 1.1: PR.AC-3 Der Remote-Zugriff wird verwaltet.
Stark miteinander verbunden

Entsprechend oder sehr ähnlich

Wenn Abdeckung A normalerweise Abdeckung B erfordert.

  • A) NIST SP 800-171: 3.2.2 Vergewissern Sie sich, dass das Personal für die Durchführung der ihm zugewiesenen Aufgaben und Verantwortlichkeiten im Bereich der Informationssicherheit geschult ist.
  • B) NIST Cybersecurity Framework Version 1.1: PR-AT-5 Das Personal für physische Sicherheit und Cybersicherheit versteht seine Rolle und Verantwortung.
Mäßig miteinander verbunden

Einige überlappende Elemente

Wenn Abdeckung A manchmal Abdeckung B erfordert.

  • A) NIST SP 800-171: 3.1.4 Trennen Sie die Pflichten der einzelnen Beteiligten, um das Risiko böswilliger Aktivitäten ohne Absprachen zu verringern.
  • B) NIST Cybersecurity Framework Version 1.1: PR.AC-4 Die Zugriffsrechte und Berechtigungen werden nach den Prinzipien der geringsten Berechtigung und der Aufgabentrennung verwaltet.

Vorgeschlagene Kontrollen

Wenn Sie zuvor eine Kontrolle einer verbundenen Anforderung zugeordnet haben, wird die Kontrollzuordnung in den Compliance-Maps als Vorschlag angezeigt. Diese Vorschläge helfen den Compliance-Teams, die Einhaltung verschiedener Standards und Bestimmungen effizienter zu zeigen und den Prozess der Kontrollzuordnung zu beschleunigen.

Sie können die vorgeschlagenen Kontrollen einer Anforderung zuordnen oder den Vorschlag ablehnen. Durch das Ablehnen eines Vorschlags wird dieser für alle Benutzer in der Diligent One-Instanz dauerhaft entfernt. Einmal abgelehnt, wird der Vorschlag für die Anforderung nie wieder vorgelegt.