Eine Anforderung dient
- der Umsetzung und Einhaltung von externen Anforderungen
- Der Umsetzung von Standards
- Der Reduzierung von Risiken
Aus Governance-Sicht sollte ein Requirement
- als Anforderung in einer Policy berücksichtigt werden und ggf. durch abgeleitete detaillierte Requirements konkretisiert werden.
- als Ziel eines Prozesses definiert sein. Es muss nicht das Hauptziel sein, sondern kann auch ein Nebenziel sein.
- als Control Objective definiert sein. D.h. Als Kontrollziel einer Kontrolle oder das Ziel einer risikomitigierenden Maßnahme.
Eine Anforderung sollte so atomar definiert sein, dass sie im Rahmen einer Prüfungshandlung geprüft werden kann.