Relaciones entre controles y requisitos

Muestre la adhesión de su organización a las especificaciones relevantes para el negocio, asignando los controles a los requisitos.

Asignación de los controles

Un requisito puede ser cubierto por muchos controles y un control puede cubrir muchos requisitos. Cuando se asigna un control a un requisito, se definen las medidas o cursos de acción para asegurar el logro del cumplimiento de una organización con los requisitos.

Nota

Solo puede asignar los controles a los requisitos que ha especificado como Aplicable. Si desea obtener más información, consulte Crear un mapa de cumplimiento.

Limitaciones

La cantidad máxima de controles que puede asignar a un único requisito es 300.

¿Qué ocurre al asignar un control a un requisito?

Cuando se asigna un control a un requisito:

  • los resultados de las pruebas y la información de los asuntos se agregan en una vista de resumen en el panel lateral Detalles del requisito para cada requisito
  • no puede asignar controles adicionales a antecesores o sucesores del requisito

Ejemplo

Escenario

Usted asigna el requisito 1.2 al control A.

Requisito 1 - (Control A)

  • Requisito 1.1
  • Requisito 1.2 - Control A
  • Requisito 1.3

Resultado

  • El control A se convierte en un control relacionado para el requisito 1.

  • No puede asignar controles adicionales al requisito 1.
  • Para asignar el requisito 1 a un control diferente, debe quitar la asignación existente entre el requisito 1.2 y el control A o asignar controles adicionales al requisito 1.2.

Desasignación de controles

En cualquier momento, puede desmarcar los controles de los requisitos. Al hacer esto, se elimina el vínculo entre el control y el requisito y se suprime del mapa de cumplimiento la información sobre los asuntos y los resultados agregados de las pruebas.

¿Cuándo se desasignan de un requisito automáticamente los controles?

Si se produce un escenario en el que los controles se desasignan automáticamente de un requisito, se le pedirá que confirme su acción en Mapas de cumplimiento antes de que los controles sean desasignados.

Escenario Ocurrencia Resultado
Especificación de que el requisito 1 no es aplicable Antes especificó un requisito como aplicable, asignó controles al requisito y, posteriormente, decidió especificar el requisito como no aplicable.

Todos los controles asignados al requisito y cualquier requisito de sucesión en su grupo no están asignados.

Cambio del alcance Cambie el alcance de un estándar o norma y asigne previamente controles a requisitos que estarán fuera del alcance. Se han ubicado todos los controles asignados a los requisitos fuera del alcance.

Controles relacionados

Los controles relacionados para un requisito son controles que han sido asignados a los antecesores o sucesores del requisito.

Las relaciones entre los controles y los requisitos se muestran en la sección Controles relacionados del panel lateral Detalles del requisito para cada requisito.

Ejemplos

Ejemplo 1: Controles relacionados (Antecesor)

Usted define las siguientes relaciones:

Requisito 1

  • Requisito 1.1 → Control A
  • Requisito 1.2 → Control B
  • Requisito 1.3

Resultado Las relaciones entre los controles y los requisitos se definen hacia arriba en el árbol. Las letras entre paréntesis indican los controles relacionados.

Requisito 1 → (Control A; Control B)

  • Requisito 1.1 → Control A
  • Requisito 1.2 → Control B
  • Requisito 1.3

Ejemplo 2: Controles relacionados (Sucesores)

Usted define las siguientes relaciones:

Requisito 1 → Control A; Control B

  • Requisito 1.1
  • Requisito 1.2
  • Requisito 1.3

Resultado Las relaciones entre los controles y los requisitos se definen hacia abajo en el árbol. Las letras entre paréntesis indican los controles relacionados.

Requisito 1 → Control A; Control B

  • Requisito 1.1 → (Control A; Control B)
  • Requisito 1.2 → (Control A; Control B)
  • Requisito 1.3 → (Control A; Control B)

Requisitos relacionados

Por lo general, las organizaciones deben cumplir con múltiples estándares y normas que pueden tener requisitos relacionados o superpuestos. Los requisitos relacionados indican que los controles implementados para un requisito deben abordar efectivamente otro requisito (relacionado).

Cómo funciona

Diligent ha recopilado ciertos requisitos relacionados para apoyar la eficiencia en el proceso de asignación. Estos requisitos relacionados pueden ser del mismo estándar/norma o de diferentes estándares/normas.

Si ha importado estándares o normas de la Biblioteca de contenidos, puede ver los requisitos relacionados, copiar las declaraciones de los fundamentos de los requisitos relacionados.

Nota

El uso de la función de requisitos relacionados es a su discreción y riesgo, y está sujeto a los términos y condiciones de su suscripción. Usted es responsable por aplicar un criterio profesional para determinar los procedimientos, pruebas o controles apropiados para su propio uso.

Si el estándar o norma relacionados no forman parte de su suscripción, o si desea acceder a otros estándares o normas, comuníquese con el representante de su cuenta de Diligent para obtener acceso al contenido de terceros que desee.

Si desea más información, consulte Galería de contenidos e inteligencia.

Fortalezas de la relación

Diligent clasifica los requisitos relacionados utilizando las siguientes fortalezas de la relación:

Fortaleza de la relación Descripción Ejemplo
Equivalente

Efectivamente idéntico

Donde cubrir A siempre requiere cubrir B y viceversa

  • A) NIST SP 800-171: 3.1.12 Monitorear y controlar sesiones de acceso remoto.
  • B) Marco de ciberseguridad del NIST (Instituto Nacional de Estándares y Tecnología, por sus siglas en inglés), versión 1.1: PR.AC-3 Se administra el acceso remoto.
Fuertemente relacionado

Correspondiente o muy similar

Donde cubrir A generalmente requiere cubrir B

  • A) NIST SP 800-171: 3.2.2 Asegurar que el personal esté capacitado para llevar a cabo sus tareas y responsabilidades relacionadas con la seguridad de la información asignada.
  • B) Marco de ciberseguridad de NIST, versión 1.1: PR-AT-5 El personal físico y de ciberseguridad comprende sus roles y responsabilidades.
Moderadamente relacionado

Algunos elementos superpuestos

Donde cubrir A a veces requiere cubrir B

  • A) NIST SP 800-171: 3.1.4 Separar las funciones de las personas para reducir el riesgo de actividad malévola sin colusión.
  • B) Marco de ciberseguridad del NIST, versión 1.1: PR.AC-4 Se administran los permisos y autorizaciones de acceso, incorporando los principios de menor privilegio y separación de funciones.

Controles sugeridos

Si previamente asignó un control a un requisito relacionado, la asignación del control se muestra como una sugerencia en Mapas de cumplimiento. Estas sugerencias ayudan a los equipos de cumplimiento a mostrar la adhesión a múltiples estándares y normas de manera más eficiente y agilizan el proceso de asignación del control.

Puede elegir asignar controles sugeridos a un requisito o descartar la sugerencia. Si se descarta una sugerencia, se la quita permanentemente para todos los usuarios en la instancia de HighBond. Una vez descartada, la sugerencia no se vuelve a presentar nuevamente para el requisito.