OSCAL 평가 계획 필드 매핑
CAM은 다음 필드 매핑을 사용하여 계약 및 통제 테스트 데이터를 OSCAL 평가 계획 형식으로 내보냅니다.
참여 메타데이터 매핑
OSCAL 평가 계획 메타데이터 섹션에는 CAM 계약 기록에서 익스포트한 계약 수준 정보가 포함되어 있습니다.
| OSCAL AP 필드 | CAM 필드 | 설명 |
|---|---|---|
| assessment_plan.uuid | sn_audit_engagement.sys_id | 참여의 고유 식별자 |
| assessment_plan.metadata.title | sn_audit_engagement.name | 참여 이름 |
| assessment_plan.metadata.props [@name=상태] |
sn_audit_engagement.state.displayValue | 현재 참여 상태(열림, 진행 중, 종결됨, 완료) |
| assessment_plan.metadata.props [@name=fieldwork_complete_percentage] |
sn_audit_engagement.task_percent_complete | 완료된 테스트 작업의 백분율 |
| assessment_plan.metadata.props [@name=목표] |
sn_audit_engagement.목표 | 이 계약에 대한 테스트 목표 |
| assessment_plan.metadata.props [@name=planned_end_date] |
sn_audit_engagement.audit_period_end | 계획된 감사 종료 날짜 |
| assessment_plan.metadata.props [@name=planned_start_date] |
sn_audit_engagement.audit_period_start | 계획된 감사 시작 날짜 |
| assessment_plan.metadata.props [@name=engagement_starts] |
sn_audit_engagement.engagement_starts | 계약이 공식적으로 시작되는 시기 |
| assessment_plan.metadata.props [@name=engagement_ends] |
sn_audit_engagement.engagement_ends | 참여가 공식적으로 종료되는 경우 |
| assessment_plan.metadata.props [@name=fieldwork_start_date] |
sn_audit_engagement.start_date | 실제 테스트 작업이 시작되는 경우 |
| assessment_plan.metadata.props [@name=fieldwork_end_date] |
sn_audit_engagement.end_date | 실제 테스트 작업이 종료되는 경우 |
| assessment_plan.metadata.props [@name=budget_cost] |
sn_audit_engagement.예산_비용 | 계약에 대해 승인된 예산 금액 |
| assessment_plan.metadata.props [@name=planned_cost] |
sn_audit_engagement.비용 | 계약에 대한 계획된 비용 |
사용자 및 역할 매핑
OSCAL metadata.parties 섹션에는 사용자 정보가 포함되어 있으며 metadata.roles는 사용 가능한 역할을 정의합니다. 책임 당사자는 사용자를 자신의 역할에 연결합니다.
| OSCAL AP 필드 | CAM 필드 | 설명 |
|---|---|---|
| assessment_plan.metadata.parties.uuid | sys_user.sys_id | ServiceNow 사용자 고유 식별자 |
| assessment_plan.메타데이터.당사자.유형 | 개인(개별 사용자의 경우 기본값) | 파티 유형: 개인 사용자의 경우 개인, 그룹의 경우 조직 |
| assessment_plan.metadata.parties.name | sys_user.first_name + ' ' + sys_user.last_name | 사용자의 전체 이름 |
익스포트된 역할에는 계약 리드, 승인자, 감사자 및 제어 테스트 소유자가 포함됩니다(필드에 할당된 제어 테스트에서 매핑됨).
제어 테스트 매핑(활동)
OSCAL local-definitions.activities 섹션에는 제어 테스트 정보가 포함되어 있습니다. 각 활동은 CAM에서 하나의 통제 테스트를 나타냅니다.
| OSCAL AP 필드 | CAM 필드 | 설명 |
|---|---|---|
| assessment_plan.local-definitions.activities.uuid | sn_audit_control_test.sys_id | 제어 테스트의 고유 식별자 |
| assessment_plan.local-definitions.activities.title | sn_audit_control_test.short_description | 통제 테스트의 짧은 제목 |
| assessment_plan.local-definitions.activities.description | sn_audit_control_test.description | 테스트할 항목에 대한 자세한 설명 |
| assessment_plan.local-definitions.activities.props[@name=state] | sn_audit_control_test.state.getDisplayValue | 현재 테스트 상태(테스트되지 않음, 진행 중, 완료) |
| assessment_plan.local-definitions.activities.props[@name=운영 평가-절차] | sn_audit_control_test.operation_assessment_procedures | 이 통제 테스트에 대한 운영 평가 절차 |
| assessment_plan.local-definitions.activities.related-controls.control-selections.include-controls.control-id | sn_audit_control_test.control | 테스트 중인 컨트롤(예: AC-2, AU-3) |
| assessment_plan.local-definitions.activities.related-controls.control-objective-selections.include-objectives.objective-id | sn_audit_control_test.test_plan | 이 통제 테스트와 관련된 테스트 계획 |
평가 절차 매핑(단계)
OSCAL activities.steps 섹션에는 평가 절차 정보가 포함되어 있습니다. 각 단계는 CAM의 한 평가 절차를 나타냅니다.
| OSCAL AP 필드 | CAM 필드 | 설명 |
|---|---|---|
| assessment_plan.local-definitions.activities.steps.uuid | sn_audit_asmnt_procedure_control_test.sys_id | 평가 절차의 고유 식별자 |
| assessment_plan.local-definitions.activities.steps.description | sn_audit_asmnt_procedure_control_test.assessment_objective | 이 테스트 단계에서 평가하거나 검증하는 사항 |
| assessment_plan.local-definitions.activities.steps.props[@name=label] | sn_audit_asmnt_procedure_control_test.identifier | 단계 식별자(예: AC-2(a), AC-2(b)) |
검토된 통제 매핑
OSCAL 검토된 통제 섹션은 평가 계약 범위에 속하는 통제를 식별합니다.
| OSCAL AP 필드 | CAM 필드 | 설명 |
|---|---|---|
| assessment_plan.reviewed-controls.control-selections.include-controls.control-id | sn_audit_m2m_control_engagement.sn_compliance_control.reference | 이 계약에 포함된 통제 참조(예: AC-2, AU-3) |
| assessment_plan.reviewed-controls.control-selections.include-controls.statement-ids | sn_audit_m2m_control_engagement.sn_compliance_control.sn_compliance_m2m_control_control_requirement.control_requirement | 테스트 중인 특정 제어 요구 사항(예: AC-2(a), AC-2(b)) |
SSP 참조 매핑
OSCAL import-ssp 섹션은 평가 계획을 상위 시스템 보안 계획에 연결합니다.
| OSCAL AP 필드 | CAM 필드 | 설명 |
|---|---|---|
| assessment_plan.import-ssp.href | 패키지 UUID(상위 권한 부여 패키지로 연결되는 링크) | 이 평가 계획을 테스트하는 패키지에 연결하는 UUID 참조 |
href는 패키지 UUID를 사용합니다. 패키지를 가져온 경우 외부 시스템의 UUID를 사용합니다. 패키지가 CAM에서 생성된 경우 시스템은 sys_id를 UUID 형식으로 변환합니다.
사용자 지정 속성
사용자 지정 속성에는 OSCAL 표준에서 기본적으로 지원되지 않는 CAM 관련 데이터가 포함됩니다. 이러한 속성은 ServiceNow 네임스페이스(JSON에서 "ns:servicenow"로 식별됨)를 사용합니다. 사용자 지정 속성에는 필드 작업 날짜, 예산 정보 및 제어 테스트 방법과 같은 계약별 필드가 포함됩니다. 모든 사용자 지정 속성에 대한 설명서는 ServiceNow 제품 설명서 사이트에서 확인할 수 있습니다.