Exemplos de AWS Audit Manager controles - AWS Audit Manager
Controles automatizados (Security Hub)Controles automatizados (AWS Config)Controles automatizados (APIchamadas)Controles automatizados (CloudTrail)Controles manuaisControles com fontes de dados mistas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exemplos de AWS Audit Manager controles

Você pode analisar os exemplos nesta página para saber mais sobre como os controles funcionam em AWS Audit Manager.

No Audit Manager, os controles podem coletar automaticamente evidências de quatro tipos de fonte de dados:

  1. AWS CloudTrail— Capture a atividade do usuário de seus CloudTrail registros e importe-a como evidência da atividade do usuário

  2. AWS Security Hub— Colete descobertas do Security Hub e importe-as como evidência de verificação de conformidade

  3. AWS Config— Colete avaliações de regras AWS Config e importe-as como evidência de verificação de conformidade

  4. AWS APIchamadas — Capture um instantâneo do recurso de uma API chamada e importe-o como evidência de dados de configuração

Muitos controles coletam evidências usando agrupamentos predefinidos dessas fontes de dados. Esses agrupamentos de fontes de dados são conhecidos como fontes AWS gerenciadas. Cada fonte AWS gerenciada representa um controle comum ou um controle central. Isso oferece uma maneira eficiente de mapear seus requisitos de conformidade para um grupo relevante de fontes de dados que é validado e mantido por avaliadores certificados pelo setor em. AWS Como alternativa, você pode usar os quatro tipos de fonte de dados acima para definir suas próprias fontes de dados. Isso oferece a flexibilidade de fazer upload de evidências manuais ou coletar evidências automatizadas de um recurso específico da empresa, como uma regra personalizada AWS Config .

Os exemplos nesta página mostram como os controles coletam evidências de cada um dos tipos individuais de fonte de dados. Eles descrevem a aparência de um controle, como o Audit Manager coleta evidências da fonte de dados e as próximas etapas que você pode seguir para demonstrar conformidade.

dica

Recomendamos que você ative o AWS Config Security Hub para uma experiência ideal no Audit Manager. Quando você ativa esses serviços, o Audit Manager pode usar as descobertas do Security Hub e Regras do AWS Config gerar evidências automatizadas.

Os exemplos estão disponíveis para cada um dos seguintes tipos de controles:

Controles automatizados usados AWS Security Hub como tipo de fonte de dados

Este exemplo mostra um controle usado AWS Security Hub como tipo de fonte de dados. Esse é um controle padrão retirado da estrutura AWS Foundational Security Best Practices (FSBP). O Audit Manager usa esse controle para gerar evidências que podem ajudar a alinhar seu AWS ambiente aos FSBP requisitos.

Exemplo de detalhes de controle

  • Nome do controleFSBP1-012: AWS Config should be enabled

  • Conjunto de controleConfig. Esse é um agrupamento de FSBP controles específico da estrutura que se relaciona ao gerenciamento de configurações.

  • Fonte de evidência — fontes de dados individuais

  • Tipo de fonte de dados — AWS Security Hub

  • Tipo de evidência — verificação de conformidade

No exemplo a seguir, esse controle está dentro de uma avaliação do Audit Manager que foi criada a partir da FSBP estrutura.

Captura de tela que mostra o controle do Security Hub em uma avaliação.

A avaliação mostra o status do controle. Também mostra quanta evidência foi coletada para esse controle até o momento. A partir daqui, você pode delegar a análise do conjunto de controles ou conclui-la você mesmo. A escolha do nome do controle abre uma página de detalhes com mais informações, incluindo as evidências desse controle.

O que esse controle faz

Esse controle exige que AWS Config esteja habilitado em todos os Regiões da AWS lugares em que você usa o Security Hub. O Audit Manager pode usar esse controle para verificar se suas IAM políticas são muito amplas para atender FSBP aos requisitos. Mais especificamente, ele pode verificar se suas IAM políticas gerenciadas pelo cliente têm acesso de administrador que inclui a seguinte declaração curinga: "Effect": "Allow" with "Action": "*" over"Resource": "*".

Como o Audit Manager coleta evidências para esse controle

O Audit Manager executa as seguintes etapas para coletar evidências para esse controle:

  1. Para cada controle, o Audit Manager avalia seus atributos dentro do escopo. Ele faz isso usando a fonte de dados especificada nas configurações de controle. Neste exemplo, suas IAM políticas são o recurso e o Security Hub e AWS Config são o tipo de fonte de dados. O Audit Manager procura o resultado de uma verificação específica do Security Hub ([IAM.1]), que, por sua vez, usa uma AWS Config regra para avaliar suas IAM políticas (iam-policy-no-statements- with-admin-access).

  2. O resultado da avaliação dos atributos é salvo e convertido em evidências amigáveis ao auditor. O Audit Manager gera evidências de verificação de conformidade para controles que usam o Security Hub como um tipo de fonte de dados. Essa evidência contém o resultado da verificação de conformidade relatada diretamente do Security Hub.

  3. O Audit Manager anexa a evidência salva ao controle denominado FSBP1-012: AWS Config should be enabled em sua avaliação.

Como você pode usar o Audit Manager para demonstrar conformidade com esse controle

Depois que a evidência é anexada ao controle, você ou um representante de sua escolha podem analisar a evidência para checar se é necessária alguma remediação.

Neste exemplo, o Audit Manager pode exibir uma decisão de Falha do Security Hub. Isso pode acontecer se suas IAM políticas contiverem curingas (*) e forem muito amplas para atender ao controle. Nesse caso, você pode atualizar suas IAM políticas para que elas não permitam privilégios administrativos totais. Para fazer isto, você pode determinar o que os usuários precisam fazer e, em seguida, criar políticas para eles que permitam que os usuários executem apenas aquelas tarefas. Essa ação corretiva ajuda a alinhar seu AWS ambiente aos FSBP requisitos.

Quando suas IAM políticas estiverem alinhadas com o controle, marque o controle como Revisado e adicione as evidências ao seu relatório de avaliação. Em seguida, você pode compartilhar esse relatório com os auditores para demonstrar que o controle está funcionando conforme o esperado.

Controles automatizados usados AWS Config como tipo de fonte de dados

Este exemplo mostra um controle usado AWS Config como tipo de fonte de dados. Esse é um controle padrão retirado do Framework de Proteção do AWS Control Tower. O Audit Manager usa esse controle para gerar evidências que ajudam a alinhar seu AWS ambiente com os AWS Control Tower Guardrails.

Exemplo de detalhes de controle

  • Nome do controleCT-4.1.2: 4.1.2 - Disallow public write access to S3 buckets

  • Conjunto de controles — esse controle pertence ao conjunto de controles Disallow public access. Esse é um agrupamento de controles relacionado ao gerenciamento de identidade e acesso.

  • Fonte de evidência — fontes de dados individuais

  • Tipo de fonte de dados — AWS Config

  • Tipo de evidência — verificação de conformidade

No exemplo a seguir, esse controle está dentro de uma avaliação do Audit Manager que foi criada a partir da estrutura do AWS Control Tower Guardrails.

Captura de tela que mostra o AWS Config controle em uma avaliação.

A avaliação mostra o status do controle. Também mostra quanta evidência foi coletada para esse controle até o momento. A partir daqui, você pode delegar a análise do conjunto de controles ou conclui-la você mesmo. A escolha do nome do controle abre uma página de detalhes com mais informações, incluindo as evidências desse controle.

O que esse controle faz

O Audit Manager pode usar esse controle para verificar se os níveis de acesso de suas políticas de bucket do S3 são muito tolerantes para atender aos requisitos. AWS Control Tower Mais especificamente, ele pode verificar as configurações do Block Public Access, as políticas do bucket e as listas de controle de acesso do bucket (ACL) para confirmar que seus buckets não permitem acesso público de gravação.

Como o Audit Manager coleta evidências para esse controle

O Audit Manager executa as seguintes etapas para coletar evidências para esse controle:

  1. Para cada controle, o Audit Manager avalia seus atributos dentro do escopo usando a fonte de dados especificada nas configurações de controle. Nesse caso, seus buckets do S3 serão os atributos e AWS Config será o tipo de fonte de dados. O Audit Manager procura o resultado de uma AWS Config regra específica (s3- bucket-public-write-prohibited) para avaliar as configurações, a política e cada um ACL dos buckets do S3 que estão no escopo de sua avaliação.

  2. O resultado da avaliação dos atributos é salvo e convertido em evidências amigáveis ao auditor. O Audit Manager gera evidências de verificação de conformidade para controles usados AWS Config como um tipo de fonte de dados. Essa evidência contém o resultado da verificação de conformidade relatada diretamente de AWS Config.

  3. O Audit Manager anexa a evidência salva ao controle denominado CT-4.1.2: 4.1.2 - Disallow public write access to S3 buckets em sua avaliação.

Como você pode usar o Audit Manager para demonstrar conformidade com esse controle

Depois que a evidência é anexada ao controle, você ou um representante de sua escolha podem analisar a evidência para checar se é necessária alguma remediação.

Neste exemplo, o Audit Manager pode exibir uma regra AWS Config declarando que um bucket do S3 não está em conformidade. Isso pode acontecer se um de seus buckets do S3 tiver uma configuração de Block Public Access que não restrinja políticas públicas, e a política em uso permita acesso público de gravação. Para corrigir isso, você pode atualizar a configuração de Block Public Access para restringir políticas públicas. Ou você pode usar uma política de bucket diferente que não permita acesso público de gravação. Essa ação corretiva ajuda a alinhar seu AWS ambiente aos AWS Control Tower requisitos.

Quando estiver satisfeito com o fato de que seus níveis de acesso ao bucket do S3 estarem alinhados com o controle, você poderá marcar o controle como Analisado e adicionar as evidências ao seu relatório de avaliação. Em seguida, você pode compartilhar esse relatório com os auditores para demonstrar que o controle está funcionando conforme o esperado.

Controles automatizados que usam AWS API chamadas como um tipo de fonte de dados

Este exemplo mostra um controle personalizado que usa AWS API chamadas como um tipo de fonte de dados. O Audit Manager usa esse controle para gerar evidências que podem ajudar a alinhar seu AWS ambiente com seus requisitos específicos.

Exemplo de detalhes de controle

  • Nome do controlePassword Use

  • Conjunto de controles: esse controle pertence ao conjunto de controles chamado Access Control. Esse é um agrupamento de controles relacionado ao gerenciamento de identidade e acesso.

  • Fonte de evidência — Fonte de dados individual

  • Tipo de fonte de dados — AWS API chamadas

  • Tipo de evidência – dados de configuração

No exemplo a seguir, o controle está dentro de uma avaliação do Audit Manager criada a partir de um framework personalizado.

Captura de tela que mostra o API controle em uma avaliação.

A avaliação mostra o status do controle. Também mostra quanta evidência foi coletada para esse controle até o momento. A partir daqui, você pode delegar a análise do conjunto de controles ou conclui-la você mesmo. A escolha do nome do controle abre uma página de detalhes com mais informações, incluindo as evidências desse controle.

O que esse controle faz

O Audit Manager pode usar esse controle personalizado para ajudá-lo a garantir acesso suficiente a políticas de controle de acesso. Esse controle exige que você siga práticas recomendadas de segurança na seleção e uso de senhas. O Audit Manager pode ajudá-lo a validar isso recuperando uma lista de todas as políticas de senha dos IAM diretores que estão no escopo de sua avaliação.

Como o Audit Manager coleta evidências para esse controle

O Audit Manager executa as seguintes etapas para coletar evidências para esse controle personalizado:

  1. Para cada controle, o Audit Manager avalia seus atributos dentro do escopo usando a fonte de dados especificada nas configurações de controle. Nesse caso, seus IAM principais são os recursos e as AWS API chamadas são o tipo de fonte de dados. O Audit Manager procura o resultado de uma IAM API chamada específica (GetAccountPasswordPolicy). Em seguida, ele retorna as políticas de senha para as Contas da AWS no escopo de sua avaliação.

  2. O resultado da avaliação dos atributos é salvo e convertido em evidências amigáveis ao auditor. O Audit Manager gera evidências de dados de configuração para controles que usam API chamadas como fonte de dados. Essa evidência contém os dados originais que são capturados das API respostas e metadados adicionais que indicam quais controles os dados suportam.

  3. O Audit Manager anexa a evidência salva ao controle denominado Password Use em sua avaliação.

Como você pode usar o Audit Manager para demonstrar conformidade com esse controle

Depois que a evidência é anexada ao controle, você ou um representante de sua escolha podem analisar a evidência para checar se é necessária alguma remediação.

Neste exemplo, você pode revisar as evidências para ver as respostas da API chamada. A GetAccountPasswordPolicyresposta descreve os requisitos de complexidade e os períodos de rotação obrigatórios para as senhas de usuário em sua conta. Você pode usar essa API resposta como evidência para mostrar que você tem políticas de controle de acesso por senha suficientes para as Contas da AWS que estão no escopo de sua avaliação. Se quiser, você também pode fornecer comentários adicionais sobre essas políticas adicionando um comentário ao controle.

Quando estiver convencido de que as políticas de senha de seus IAM diretores estão alinhadas com o controle personalizado, você pode marcar o controle como Revisado e adicionar as evidências ao seu relatório de avaliação. Em seguida, você pode compartilhar esse relatório com os auditores para demonstrar que o controle está funcionando conforme o esperado.

Controles automatizados usados AWS CloudTrail como tipo de fonte de dados

Este exemplo mostra um controle usado AWS CloudTrail como tipo de fonte de dados. Esse é um controle padrão retirado da estrutura da Regra de HIPAA Segurança 2003. O Audit Manager usa esse controle para gerar evidências que podem ajudar a alinhar seu AWS ambiente aos HIPAA requisitos.

Exemplo de detalhes de controle

  • Nome do controle164.308(a)(5)(ii)(C): Administrative Safeguards - 164.308(a)(5)(ii)(C)

  • Conjunto de controles: esse controle pertence ao conjunto de controles chamadoSection 308. Este é um agrupamento de HIPAA controles específicos de uma estrutura que se relaciona com salvaguardas administrativas.

  • Fonte de evidência — fonte AWS gerenciada (controles principais)

  • Tipo de fonte de dados subjacente — AWS CloudTrail

  • Tipo de evidência: atividade do usuário

Aqui está esse controle mostrado em uma avaliação do Audit Manager que foi criada a partir da HIPAA estrutura:

Captura de tela que mostra o CloudTrail controle em uma avaliação.

A avaliação mostra o status do controle. Também mostra quanta evidência foi coletada para esse controle até o momento. A partir daqui, você pode delegar a análise do conjunto de controles ou conclui-la você mesmo. A escolha do nome do controle abre uma página de detalhes com mais informações, incluindo as evidências desse controle.

O que esse controle faz

Esse controle exige que você tenha procedimentos de monitoramento para detectar o acesso não autorizado. Um exemplo de acesso não autorizado é quando alguém entra no console sem a autenticação multifator (MFA) ativada. O Audit Manager ajuda você a validar esse controle fornecendo evidências de que você configurou CloudWatch a Amazon para monitorar solicitações de login do console de gerenciamento quando não MFA está habilitado.

Como o Audit Manager coleta evidências para esse controle

O Audit Manager executa as seguintes etapas para coletar evidências para esse controle:

  1. Para cada controle, o Audit Manager avalia seus recursos dentro do escopo usando as fontes de evidência especificadas nas configurações de controle. Nesse caso, o controle usa vários controles principais como fontes de evidência.

    Cada controle principal é um agrupamento gerenciado de fontes de dados individuais. Em nosso exemplo, um desses controles principais (Configure Amazon CloudWatch alarms to detect management console sign-in requests without MFA enabled) é usado CloudTrail como fonte de dados. CloudTrail é o tipo de fonte de dados, e CloudWatch os alarmes da Amazon são o recurso avaliado.

    O Audit Manager revisa seus CloudTrail registros, usando a monitoring_EnableAlarmActions palavra-chave para encontrar ações que ativam CloudWatch alarmes registradas por CloudTrail. Em seguida, ele retorna um log dos eventos relevantes que estão dentro do escopo de sua avaliação.

  2. O resultado da avaliação dos atributos é salvo e convertido em evidências amigáveis ao auditor. O Audit Manager gera evidências de atividade do usuário para controles usados CloudTrail como um tipo de fonte de dados. Essa evidência contém os dados originais capturados da Amazon CloudWatch e metadados adicionais que indicam qual controle os dados suportam.

  3. O Audit Manager anexa a evidência salva ao controle denominado 164.308(a)(5)(ii)(C): Administrative Safeguards - 164.308(a)(5)(ii)(C) em sua avaliação.

Como você pode usar o Audit Manager para demonstrar conformidade com esse controle

Depois que a evidência é anexada ao controle, você ou um representante de sua escolha podem analisar a evidência para checar se é necessária alguma remediação.

Neste exemplo, você pode revisar as evidências para ver os eventos de ativação do alarme que foram registrados por. CloudTrail Você pode usar esse registro como evidência para mostrar que você tem procedimentos de monitoramento suficientes para detectar quando os logins do console ocorrem sem MFA serem ativados. Se quiser, você também pode fornecer comentários adicionais sobre essas políticas adicionando um comentário ao controle. Por exemplo, se o registro mostrar vários logins semMFA, você pode adicionar um comentário que descreva como você corrigiu o problema. O monitoramento regular dos logins do console ajuda a evitar problemas de segurança que podem surgir a partir de discrepâncias e tentativas inadequadas de login. Por sua vez, essa prática recomendada ajuda a alinhar seu AWS ambiente aos HIPAA requisitos.

Quando estiver satisfeito com o fato de que seu procedimento de monitoramento está alinhado com o controle, você poderá marcar o controle como Analisado e adicionar as evidências ao seu relatório de avaliação. Em seguida, você pode compartilhar esse relatório com os auditores para demonstrar que o controle está funcionando conforme o esperado.

Controles manuais

Alguns controles não oferecem suporte à coleta automatizada de evidências. Isso inclui controles que dependem do fornecimento de registros físicos e assinaturas, além de observações, entrevistas e outros eventos não gerados na nuvem. Nesses casos, você pode carregar manualmente evidências para demonstrar que está satisfazendo os requisitos do controle.

Este exemplo mostra um controle manual para o qual o Audit Manager não coleta evidências automatizadas. Este é um controle padrão retirado da estrutura NIST800-53 (Rev. 5). Você pode usar o Audit Manager para carregar e armazenar evidências que demonstrem a conformidade com esse controle.

Exemplo de detalhes de controle

  • Nome do controleAT-4: Training Records

  • Conjunto de controle(AT) Awareness and training. Esse é um agrupamento de NIST controles específicos da estrutura relacionados ao treinamento.

  • Fonte de evidência — Fontes de dados

  • Tipo de fonte de dados subjacente — Manual

  • Tipo de evidência – Manual

Aqui está esse controle mostrado em uma avaliação do Audit Manager que foi criada a partir da estrutura NIST 800-53 (Rev. 5) de baixa-moderada-alta:

Captura de tela que mostra o controle em uma avaliação.

A avaliação mostra o status do controle. Também mostra quanta evidência foi coletada para esse controle até o momento. A partir daqui, você pode delegar a análise do conjunto de controles ou conclui-la você mesmo. A escolha do nome do controle abre uma página de detalhes com mais informações, incluindo as evidências desse controle.

O que esse controle faz

Você pode usar esse controle para ajudar a garantir que sua equipe receba o nível adequado de treinamento em segurança e privacidade. Especificamente, você pode demonstrar que documentou atividades de treinamento em segurança e privacidade para todos os funcionários, com base em suas funções. Você também pode mostrar provas de que os registros de treinamento são mantidos para cada indivíduo.

Como você pode carregar manualmente evidências para esse controle

Para fazer upload de evidências manuais que complementem as evidências automatizadas, consulte Carregando evidências manuais em AWS Audit Manager. O Audit Manager anexa a evidência carregada ao controle denominado AT-4: Training Records em sua avaliação.

Como você pode usar o Audit Manager para demonstrar conformidade com esse controle

Se você tiver documentação que suporte esse controle, poderá carregá-la como evidência manual. Por exemplo, você pode fazer o upload da cópia mais recente dos materiais de treinamento obrigatórios baseados em funções que seu departamento de Recursos Humanos envia aos funcionários.

Assim como nos controles automatizados, você pode delegar controles manuais às partes interessadas para ajudá-lo a analisar as evidências (ou, nesse caso, fornecê-las). Por exemplo, ao analisar esse controle, você percebe que ele atende apenas parcialmente aos requisitos. Esse pode ser o caso se você não tiver uma cópia de nenhum rastreamento de frequência para treinamentos presenciais. Você pode delegar o controle a uma parte interessada do RH, que pode então fazer o upload de uma lista da equipe que participou do treinamento.

Quando estiver satisfeito com o fato de que você está alinhado com o controle, você poderá marcar o controle como Analisado e adicionar as evidências ao seu relatório de avaliação. Em seguida, você pode compartilhar esse relatório com os auditores para demonstrar que o controle está funcionando conforme o esperado.

Controles com tipos de fonte de dados mistos (automatizados e manuais)

Em muitos casos, é necessária uma combinação de evidências automatizadas e manuais para satisfazer um controle. Embora o Audit Manager possa fornecer evidências automatizadas relevantes para o controle, talvez seja necessário complementar esses dados com evidências manuais que você mesmo identifique e carregue.

Este exemplo mostra um controle que usa uma combinação de evidências manuais e evidências automatizadas. Este é um controle padrão retirado da estrutura NIST800-53 (Rev. 5). O Audit Manager usa esse controle para gerar evidências que podem ajudar a alinhar seu AWS ambiente aos NIST requisitos.

Exemplo de detalhes de controle

  • Nome do controlePersonnel Termination

  • Conjunto de controle(PS) Personnel Security (10). Esse é um agrupamento de NIST controles específico da estrutura que se relaciona com os indivíduos que realizam manutenção de hardware ou software em sistemas organizacionais.

  • Fonte de evidência — AWS gerenciada (controles principais) e fontes de dados individuais (manual)

  • Tipo de fonte de dados subjacente — AWS API chamadas AWS CloudTrail,, AWS Config, Manual

  • Tipo de evidência — dados de configuração, atividade do usuário, verificação de conformidade, evidência manual)

Aqui está esse controle mostrado em uma avaliação do Audit Manager que foi criada a partir da estrutura NIST 800-53 (Rev. 5):

Captura de tela que mostra o controle em uma avaliação.

A avaliação mostra o status do controle. Também mostra quanta evidência foi coletada para esse controle até o momento. A partir daqui, você pode delegar a análise do conjunto de controles ou conclui-la você mesmo. A escolha do nome do controle abre uma página de detalhes com mais informações, incluindo as evidências desse controle.

O que esse controle faz

Você pode usar esse controle para confirmar que está protegendo as informações organizacionais no caso de um funcionário ser demitido. Especificamente, você pode demonstrar que desativou o acesso ao sistema e revogou as credenciais do indivíduo. Além disso, você pode demonstrar que todas as pessoas demitidas participaram de uma entrevista de saída que incluiu uma discussão sobre os protocolos de segurança relevantes para sua organização.

Como o Audit Manager coleta evidências para esse controle

O Audit Manager executa as seguintes etapas para coletar evidências para esse controle:

  1. Para cada controle, o Audit Manager avalia seus recursos dentro do escopo usando as fontes de evidência especificadas nas configurações de controle.

    Nesse caso, o controle usa vários controles principais como fontes de evidência. Por sua vez, cada um desses controles principais coleta evidências relevantes de fontes de dados individuais (AWS APIchamadas e AWS Config). AWS CloudTrail O Audit Manager usa esses tipos de fonte de dados para avaliar seus IAM recursos (como grupos, chaves e políticas) em relação às API chamadas, CloudTrail eventos e AWS Config regras relevantes.

  2. O resultado da avaliação dos atributos é salvo e convertido em evidências amigáveis ao auditor. Essa evidência contém os dados originais que são capturados de cada fonte de dados e metadados adicionais que indicam quais controles os dados suportam.

  3. O Audit Manager anexa a evidência salva ao controle denominado Personnel Termination em sua avaliação.

Como você pode carregar manualmente evidências para esse controle

Para fazer upload de evidências manuais que complementem as evidências automatizadas, consulte Carregando evidências manuais em AWS Audit Manager. O Audit Manager anexa a evidência carregada ao controle denominado Personnel Termination em sua avaliação.

Como você pode usar o Audit Manager para demonstrar conformidade com esse controle

Depois que a evidência é anexada ao controle, você ou um representante de sua escolha podem analisar a evidência para checar se é necessária alguma remediação. Por exemplo, ao analisar esse controle, você percebe que ele atende apenas parcialmente aos requisitos. Esse pode ser o caso se você tiver provas de que o acesso foi revogado, mas não tiver uma cópia de nenhuma entrevista de saída. Você pode delegar o controle a uma parte interessada do RH, que pode então enviar uma cópia da documentação da entrevista de saída. Ou, se nenhum funcionário foi demitido durante o período de auditoria, você pode deixar um comentário informando por que nenhuma documentação assinada está anexada ao controle.

Quando estiver satisfeito com seu alinhamento com o controle, você poderá marcar o controle como Analisado e adicionar as evidências ao seu relatório de avaliação. Em seguida, você pode compartilhar esse relatório com os auditores para demonstrar que o controle está funcionando conforme o esperado.