Vorgaben müssen in der CCDB-Klasse Control angelegt werden. Weiterhin müssen die Vorgaben wie folgt strukturiert sein:
Auf der ersten Ebene wird ein Control-Asset erstellt, welches alle Fachdomänen bündelt. Darunter werden die einzelnen Fachdomänen angelegt und unter den Fachdomänen werden beliebig viele Einzelvorgaben erstellt. Dies ermöglicht die korrekte Anzeige unter Gesamtkatalog.
Die Domänen-Controlls dürfen NICHT als Dummy-Asset markiert werden, da diese inklusive der ihnen zugeordneten Einzelvorgaben nicht mehr angezeigt werden können.
Als CCDB wird die Compliance Configuration Database bezeichnet. Die Datenbank konsolidiert alle Informationen über den aktuellen Compliance- und Sicherheitsstatus von relevanten, d.h. an einer IT-Wirkungskette beteiligten Assets.
Ein Asset in einer Datenbank ist ein verwalteter Datensatz, der eine Ressource oder einen Wert beschreibt z.B. IT-Geräte, Softwarelizenzen oder digitale Dateien.
Dummy-Assets sind Platzhalter, die keine reale Entsprechung haben. Im VASGARD/IAN bieten sie die Möglichkeit, Assets über eine Hierarchie zu gliedern. Dazu können Dummy-Assets angelegt und zugehörige Assets als Nachfolger zugewiesen werden.