Mappage de champs du plan d’évaluation OSCAL
CAM exporte les données de test d’engagement et de contrôle au format du plan d’évaluation OSCAL à l’aide des mappages de champs suivants.
Mappage des métadonnées d’engagement
La section des métadonnées du plan d’évaluation OSCAL contient des informations au niveau de l’engagement exportées à partir de l’enregistrement d’engagement CAM.
| Champ AP OSCAL | Champ CAM | Description |
|---|---|---|
| assessment_plan.uuid | sn_audit_engagement.sys_id | Identificateur unique de l'engagement |
| assessment_plan.metadata.title | sn_audit_engagement.nom | Nom de l'engagement |
| assessment_plan. métadonnées.propriétés [@name=état] |
sn_audit_engagement.state.displayValue | État actuel de l’engagement (Ouvert, Travail en cours, Fermé, Terminé) |
| assessment_plan. métadonnées.propriétés [@name=fieldwork_complete_percentage] |
sn_audit_engagement.task_percent_complete | Pourcentage de tâches de test terminées |
| assessment_plan. métadonnées.propriétés [@name=objectif] |
sn_audit_engagement.Objectifs | Objectifs des tests pour cet engagement |
| assessment_plan. métadonnées.propriétés [@name=planned_end_date] |
sn_audit_engagement. fin_period_audit | Date de fin d’audit planifiée |
| assessment_plan. métadonnées.propriétés [@name=planned_start_date] |
sn_audit_engagement. début de période_audit | Date de début d’audit planifiée |
| assessment_plan. métadonnées.propriétés [@name=engagement_starts] |
sn_audit_engagement.engagement_starts | Début officiel de l’engagement |
| assessment_plan. métadonnées.propriétés [@name=engagement_ends] |
sn_audit_engagement.engagement_fins | Fin officielle de l’engagement |
| assessment_plan. métadonnées.propriétés [@name=fieldwork_start_date] |
sn_audit_engagement.start_date | Début des tests réels |
| assessment_plan. métadonnées.propriétés [@name=fieldwork_end_date] |
sn_audit_engagement.end_date | Fin du travail de test réel |
| assessment_plan. métadonnées.propriétés [@name=budget_cost] |
sn_audit_engagement.coût_budget | Montant du budget approuvé pour l’engagement |
| assessment_plan. métadonnées.propriétés [@name=planned_cost] |
sn_audit_engagement.coût | Coût planifié pour l’engagement |
Mappage des utilisateurs et des rôles
La section OSCAL metadata.parties contient des informations utilisateur et metadata.roles définit les rôles disponibles. Les parties responsables relient les utilisateurs à leurs rôles.
| Champ AP OSCAL | Champ CAM | Description |
|---|---|---|
| assessment_plan.metadata.parties.uuid | sys_user.sys_id | Identificateur unique d’utilisateur ServiceNow |
| assessment_plan.metadata.parties.type | Personne (par défaut pour les utilisateurs individuels) | Type de partie : personne pour les utilisateurs individuels, organisation pour les groupes |
| assessment_plan.metadata.parties.name | sys_user.prénom_nom + ' ' + sys_user.nom_de_famille | Nom complet de l’utilisateur |
Les rôles exportés incluent : responsable de l’engagement, approbateurs, auditeurs et propriétaire du test de contrôle (mappé à partir du champ affecté au test de contrôle).
Mappage des tests de contrôle (activités)
La section OSCAL local-definitions.activities contient des informations sur les tests de contrôle. Chaque activité représente un test de contrôle dans CAM.
| Champ AP OSCAL | Champ CAM | Description |
|---|---|---|
| assessment_plan.définitions-locales.activités.uuid | sn_audit_control_test.sys_id | Identificateur unique pour le test de contrôle |
| assessment_plan.définitions-locales.activités.title | sn_audit_control_test.description_courte | Titre bref du test de contrôle |
| assessment_plan.définitions-locales.activités.description | sn_audit_control_test.description | Description détaillée de ce qui sera testé |
| assessment_plan.local-definitions.activities.props[@name=état] | sn_audit_control_test.state.getDisplayValue | État actuel du test (Non testé, En cours, Terminé) |
| assessment_plan.local-definitions.activities.props[@name=procédures-d’évaluation opérationnelle] | sn_audit_control_test.procédures_d’évaluation_de_l’opération | Procédures d’évaluation du fonctionnement pour ce test de contrôle |
| assessment_plan.définitions-locales.activités.contrôles-connexes.sélections-contrôles.include-controls.control-id | sn_audit_control_test.contrôle | Contrôle en cours de test (exemple ennemi, AC-2, AU-3) |
| assessment_plan.définitions-locales.activités.contrôles-connexes.sélections-objectifs-de-contrôle.include-objectifs.objectif-id | sn_audit_control_test.plan_de_test | Plan de tests associé à ce test de contrôle |
Mappage de la procédure d’évaluation (étapes)
La section activités.étapes OSCAL contient des informations sur la procédure d’évaluation. Chaque étape représente une procédure d’évaluation dans CAM.
| Champ AP OSCAL | Champ CAM | Description |
|---|---|---|
| assessment_plan.définitions-locales.activités.étapes.uuid | sn_audit_asmnt_procedure_control_test.sys_id | Identificateur unique de la procédure d'évaluation |
| assessment_plan.définitions-locales.activités.étapes.description | sn_audit_asmnt_procedure_control_test.évaluation_objectif | Ce que cette étape de test évalue ou vérifie |
| assessment_plan.définitions-locales.activités.étapes.propriétés[@name=étiquette] | sn_audit_asmnt_procedure_control_test.identificateur | Identificateur d’étape (par exemple, AC-2(a), AC-2(b)) |
Mappage des contrôles examinés
La section des contrôles révisés OSCAL identifie les contrôles dans le périmètre de l’engagement d’évaluation.
| Champ AP OSCAL | Champ CAM | Description |
|---|---|---|
| assessment_plan.controled-controls.control-selections.include-controls.control-id | sn_audit_m2m_control_engagement.sn_compliance_control.reference | Référence de contrôle incluse dans cet engagement (par exemple, AC-2, AU-3) |
| assessment_plan.révisions-contrôles.contrôles-contrôles.include-controls.identification-instruction | sn_audit_m2m_control_engagement.sn_compliance_control.sn_compliance_m2m_control_control_requirement.control_requirement | Exigences de contrôle spécifiques en cours de test (par exemple, AC-2(a), AC-2(b)) |
Mappage de référence SSP
La section SSP d’importation OSCAL relie le plan d’évaluation à son plan de sécurité du système parent.
| Champ AP OSCAL | Champ CAM | Description |
|---|---|---|
| assessment_plan.import-ssp.href | UUID de package (liens vers le package d’autorisation parent) | Référence UUID liant ce plan d’évaluation au package qu’il teste |
Le href utilise l’UUID du package. Si le package a été importé, il utilise l’UUID du système externe. Si le package a été créé au format CAM, le système convertit le sys_id au format UUID.
Propriétés personnalisées
Les propriétés personnalisées contiennent des données spécifiques à CAM qui ne sont pas prises en charge nativement par les normes OSCAL. Ces propriétés utilisent l’espace de noms ServiceNow (identifié par « ns :servicenow » dans le JSON). Les propriétés personnalisées incluent des champs spécifiques à l’engagement tels que les dates de travail sur le terrain, les informations budgétaires et les méthodes de test de contrôle. La documentation de toutes les propriétés personnalisées est disponible sur le site de documentation produit ServiceNow.