統制と要件の関係

統制を要件にマッピングすることで、ビジネスに関連のある仕様への組織の準拠状況を示します。

統制のマッピング

1 つの要件は多くの統制の対象となることができると同時に、1 つの統制は多くの要件を対象とする場合があります。統制を要件にマッピングする場合に、組織が要件への遵守を達成することを保証する対策、または行動指針を定義します。

メモ

適用可能と指定した要件にのみ統制をマッピングできます。詳細については、「コンプライアンス マップを作成する」を参照してください。

制限

単一の要件にマッピング可能な統制の最大数は 300 です。

統制を要件にマッピングするとどうなるか?

統制を要件にマッピングする場合:

  • テスト結果と問題の情報は、各要件の[要件の詳細]サイド パネルの概要表示に集約されます
  • 追加の統制は、要件の先祖または子孫にマピングできません

シナリオ

要件 1.2 を統制 A にマッピングします。

要件 1.2 - 統制 A

  • 要件 1.1
  • 要件 1.2 - 統制 A
  • 要件 1.3

結果

  • 統制 A は 要件 1 の関連する統制になります。

  • 追加の統制を 要件 1 にマッピングできません。
  • 要件 1 を異なる統制にマッピングするには、要件 1.2 と統制 A 間の既存のマッピングを削除するか、追加の統制を要件 1.2 にマッピングする必要があります。

統制のマッピング解除

いつでも、統制を要件からマッピング解除できます。そうすると、統制と要件間のリンクは削除され、集約テストの結果と問題の情報はコンプライアンス マップから削除されます。

統制はいつ要件から自動的にマッピング解除されるか?

統制が要件から自動的にマッピング解除されるシナリオが発生する場合、統制がマッピング解除される前に、[コンプライアンス マップ]でアクションを確認するようプロンプトが表示されます。

シナリオ 発生 結果
要件の適用不可としての指定 以前には要件を適用可能と指定し、統制を要件にマッピングしていましたが、後に要件を適用不可として指定することを決定します。

この要件と、そのグループのいずれかの子孫の要件にマッピングされているすべての統制は、マッピング解除されます。

範囲の変更 基準または規制の範囲を変更し、以前には、範囲外となるであろう要件に統制をマッピングしていました。 範囲外の要件にマッピングされるすべての統制がマッピング解除されます。

関連する統制

要件に関連する統制は、要件の先祖または子孫にマッピングされている統制です。

統制と要件の関係は、各要件の[要件の詳細]サイド パネルの[関連する統制]セクションに表示されます。

例 1: 関連する統制(先祖)

次の関係を定義します。

要件 1

  • 要件 1.1 → 統制 A
  • 要件 1.2 → 統制 B
  • 要件 1.3

結果 統制と要件の関係は、ツリーの上方に向けて定義されます。括弧内の文字が関連する統制を示しています。

要件 1 → 統制 A、統制 B

  • 要件 1.1 → 統制 A
  • 要件 1.2 → 統制 B
  • 要件 1.3

例 2: 関連する統制(子孫)

次の関係を定義します。

要件 1 → 統制 A、統制 B

  • 要件 1.1
  • 要件 1.2
  • 要件 1.3

結果 統制と要件の関係は、ツリーの下方に向けて定義されます。括弧内の文字が関連する統制を示しています。

要件 1 → 統制 A、統制 B

  • 要件 1.1 → 統制 A、統制 B
  • 要件 1.2 → 統制 A、統制 B
  • 要件 1.3 → 統制 A、統制 B

関連する要件

組織は、関連する、または重複した要件である可能性のある複数の基準と規制に準拠する必要があるのが一般的です。関連する要件は、ある要件に実施されている統制は別の (関連する) 要件にも効果的に取り組むべきであることを示唆しています。

機能の仕組み

Diligent は、マッピングプロセスの効率向上に関連する特定の要件を照合しました。関連する要件は、同じ基準/規制から、または異なる基準/規制からのものである場合があります。

コンプライアンスライブラリから基準または規制をインポートした場合は、関連する要件の表示や、関連する要件からの論理的根拠の説明のコピーを行うことができます。コンプライアンスライブラリの詳細については、「基準と規則のインポート」の「Diligent 提供の基準または規制の管理」のセクションを参照してください。

メモ

関連する要件の機能の使用については、ご自分の裁量とリスクに基づき行ってください。またサブスクリプションのご利用規約に従います。お客様は、専門的に判断し、自身の使用のために適切な手続き、テスト、または統制を決定する責任を負います。

関連する基準または規制がまだサブスクリプションの一部になっていない場合、またはこうした他の基準または規制にアクセスしたい場合には、Diligent の顧客担当者に問い合わせ、希望するサードパーティのコンテンツへのアクセス権を取得してください。

詳細については、コンテンツおよびインテリジェンスギャラリーを参照してください。

関係の強さ

Diligent は、関連する要件を次の関係の強さを使って分類しています。

関係の強さ 説明
同等物

実質的に一致

A をカバーするところでは常に B をカバーするが、その逆もまた同様

  • A) NIST SP 800-171: 3.1.12 リモート アクセス セッションを監視、統制します。
  • B) NIST サイバーセキュリティ フレームワーク バージョン 1.1: PR.AC-3 リモート アクセスが管理されます。
強く関連している

該当しているか、大変類似している

A をカバーする場合は、通常 B をカバーする必要がある

  • A) NIST SP 800-171: 3.2.2 割り当てられた情報セキュリティ関連の職務と責任を担当者が果たすことを訓練されるよう徹底します。
  • B) NIST サイバーセキュリティ フレームワーク バージョン 1.1: PR-AT-5 物理的およびサイバーセキュリティ担当者は、自分のロールと責任を理解します。
適度に関連している

一部重複している要素がある

A をカバーする場合は、時々 B をカバーする必要がある

  • A) NIST SP 800-171: 3.1.4 悪意のある活動のリスクを共謀なく低減するために、個人の職務を分離します。
  • B) NIST サイバーセキュリティ フレームワーク バージョン 1.1: PR.AC-4 最も低い権限と職務の分離という原則を組み込み、アクセス許可と権限の承認が管理されます。

推奨された統制

以前に統制を関連する要件にマッピングした場合は、統制のマッピングはコンプライアンス マップで推奨として表示されます。これらの推奨により、コンプライアンス チームは、複数の基準と規制への準拠をより効率的に示し、統制のマッピング プロセスを促進させることができます。

推奨された統制を要件にマッピングしたり、推奨を却下したりすることを選べます。推奨を却下すると、Diligent One インスタンスですべてのユーザーに対してこれが完全に削除されます。いったん却下されると、推奨はその要件に対して二度と提示されなくなります。