OSCAL 평가 계획 익스포트 및 임포트

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 3분

    • OSCAL 평가 계획(AP) 모델을 사용하면 외부 도구에서 테스트 계획을 가져오고 감사자 및 승인자에 대한 계약 데이터를 익스포트할 수 있습니다.

    평가 계획(AP) 모델 개요

    NIST에서 개발한 OSCAL 평가 계획(AP) 모델은 테스트해야 할 항목과 테스트 수행 방법을 나타냅니다. AP 모델을 사용하면 조직이 표준화된 형식으로 평가 계획 데이터를 교환할 수 있습니다. CAM에서 하나의 평가 계획 JSON 파일은 하나의 계약에 해당합니다. 각 AP 파일에는 통제 테스트를 수행하는 감사자 및 증명 팀에 배포할 수 있는 테스트 계획이 포함되어 있습니다. 패키지에 계약이 여러 개 있는 경우 익스포트는 계약당 하나씩 여러 AP 파일을 생성합니다.

    익스포트되는 항목

    OSCAL 평가 계획 익스포트는 참여 및 테스트 데이터가 포함된 파일을 생성합니다. 익스포트에는 다음이 포함됩니다.

    • 참여 메타데이터(이름, 상태, 목표, 진행률 백분율, 타임라인, 예산)
    • 당사자 및 역할(역할 할당과 관련된 사용자)
    • 통제 테스트를 나타내는 활동(테스트 설명, 방법, 상태, 운영 평가 절차)
    • 활동 내 단계로서의 평가 절차
    • 검토된 통제(테스트 범위에 속하는 통제 및 요구 사항)
    • 상위 시스템 보안 계획(SSP)에 대한 참조

    사용자 지정 속성은 OSCAL 표준에서 기본적으로 지원되지 않는 CAM 특정 필드에 사용됩니다. 이러한 속성은 ServiceNow 네임스페이스를 사용합니다.

    임포트되는 항목

    OSCAL 평가 계획 임포트는 CAM에서 계약 및 관련 테스트 구조를 자동으로 생성합니다. 각 AP 파일에 대해 시스템은 다음을 생성합니다.

    • 메타데이터(사용자, 역할, 타임라인, 예산)가 포함된 1회 참여
    • AP 활동에서 매핑된 제어 테스트
    • AP 작업에서 매핑된 테스트 계획 및 평가 절차
    • 역할이 있는 사용자 할당(계약 리드, 승인자, 감사자, 제어 테스트 소유자)
    • 테스트 대상을 지정하는 통제 및 통제 목표 선택

    임포트 프로세스는 대상 인스턴스에 존재하지 않는 경우 전체 패키지 구조(경계, 패키지, 시스템 요소, 기준선 통제 및 계약)를 생성합니다. 기존 패키지의 경우 임포트한 객체는 기본적으로 재정의 목록에 표시되므로 기존 데이터를 건너뛰거나 덮어쓸 수 있습니다.

    AP 임포트 프로세스의 파일 구조 및 확인

    AP 임포트에는 필수 파일인 카탈로그, 프로파일 및 SSP가 필요합니다. 계약 수에 따라 하나 이상의 AP 파일을 첨부할 수 있습니다. 시스템은 첨부 파일 단계에서 업로드된 파일을 OSCAL 표준에 따라 확인합니다. 확인 오류가 발생하면 계속하기 전에 오류 메시지가 표시됩니다.

    AP 파일은 임포트에 포함된 SSP UUID를 참조해야 합니다. AP가 다른 SSP UUID를 참조하는 경우 오류 메시지와 함께 확인이 실패합니다. 이렇게 하면 평가 계획이 임포트되는 패키지에 올바르게 연결됩니다.

    OSCAL 임포트를 위한 사용자 및 역할 매핑

    임포트하는 동안 시스템은 OSCAL 파일의 사용자를 ServiceNow 사용자에게 매핑합니다. 사용자 이름이 일치하면 시스템에서 자동으로 매핑합니다. 사용자 이름이 일치하지 않거나 사용자가 ServiceNow에 없는 경우 해당 ServiceNow 사용자를 수동으로 선택해야 합니다. 사용자 매핑 단계에서는 필요한 모든 역할(시스템 소유자, ISSO, ISSM, 계약 리드, 감사자)이 할당되었는지 확인합니다. 자동 매핑 후 필수 역할이 누락된 경우 계속하기 전에 사용자를 수동으로 할당해야 합니다.

    OSCAL 익스포트를 위한 사용자 및 역할 매핑

    CAM은 다음 구조를 사용하여 계약 데이터를 OSCAL 평가 계획 형식으로 익스포트합니다.

    • 참여 메타데이터: 이름, 상태, 목표, 진행률 백분율, 타임라인 날짜(감사 기간, 현장 작업 날짜, 계약 기간) 및 예산 금액 메타데이터 섹션으로 익스포트
    • 사용자 및 역할: 사용자 정보(전체 이름, 고유 식별자)를 당사자 섹션으로 내보냅니다. 역할(계약 리드, 승인자, 감사자, 제어 테스트 소유자) 및 할당은 역할 및 책임 당사자 섹션으로 익스포트됩니다.
    • 제어 테스트: 테스트 제목, 설명, 현재 상태 및 운영 평가 절차를 포함하여 로컬 정의 섹션의 활동에 매핑합니다
    • 평가 절차: 통제 요구 사항에 대한 단계 식별자, 설명 및 레이블이 포함된 활동 내 단계에 매핑
    • 검토된 통제: 테스트 범위에 속하는 통제 및 요구 사항을 식별합니다.
    • SSP 참조: import-ssp 섹션의 패키지 UUID를 사용하여 평가 계획을 상위 패키지에 연결합니다.