Các tổ chức phải chứng minh hệ thống thông tin tuân thủ các tiêu chuẩn bảo mật nhưng tài liệu quy định thường dài, phức tạp, viết bằng ngôn ngữ tự nhiên.

     • Việc kiểm tra tuân thủ thường rời rạc, thiếu tính nhất quán, đặc biệt khi hệ thống thay đổi hoặc tích hợp dịch vụ bên ngoài.

   - Giải pháp:

     • Đề xuất quy trình gồm 3 bước: (1) trích xuất yêu cầu bằng mẫu ngữ nghĩa (governance patterns), (2) ánh xạ sang mô hình logic chính thức, (3) kết nối bằng quan hệ ngữ nghĩa để tạo thành phân cấp kiểm soát.

     • Có 3 loại mẫu: imposes (áp đặt), performs (thực hiện), protects (bảo vệ); mỗi mẫu có cấu trúc logic riêng.

     • Có 5 quan hệ ngữ nghĩa: subsumedBy, usedBy, structures, refines, forms; dùng để xây dựng phân cấp kiểm soát và xác định yêu cầu chi phối.

     • Các phân cấp được tổ chức thành compliance types (kiểu tuân thủ) và compliance rules (quy tắc tuân thủ).

     • Áp dụng vào case study kiểm soát audit từ SP800-53, ISO 15408-2, DoDI 8500.2, STIG… tạo ra 12 compliance predicates và sơ đồ kết nối toàn diện.

   - Đánh giá:

     • Thực hiện 2 nghiên cứu với chuyên gia bảo mật (CNSSI certified) để kiểm tra độ chính xác, khả năng lặp lại và mức độ ưu tiên so với phương pháp truyền thống như DIACAP.

     • Kết quả: 91% đồng thuận về kiểm soát chi phối, 92% đồng thuận về quan hệ ngữ nghĩa, 67% độ tin cậy nội bộ khi chọn mẫu, 8.8/10 mức độ trực quan, 8.6/10 mức độ ưu tiên so với DIACAP.

   - Ứng dụng:

     • Có thể dùng để xây dựng baseline xác thực hệ thống, tạo test case, hỗ trợ đánh giá rủi ro, hoặc tích hợp vào công cụ như OpenRISA.

     • Có thể mở rộng sang các lĩnh vực như bảo mật cloud, bảo mật quyền riêng tư (HIPAA), hoặc các overlay ngành (y tế, hàng không…).