OSCAL アセスメント計画フィールドのマッピング
CAM は、次のフィールドマッピングを使用して、エンゲージメントおよびコントロールテストデータを OSCAL アセスメント計画形式にエクスポートします。
エンゲージメントメタデータマッピング
[OSCAL アセスメント計画メタデータ] セクションには、CAM エンゲージメントレコードからエクスポートされたエンゲージメントレベルの情報が含まれています。
| OSCAL AP フィールド | CAM フィールド | 説明 |
|---|---|---|
| assessment_plan.uuid | sn_audit_engagement.sys_id | エンゲージメントの一意の識別子 |
| assessment_plan.metadata.title | sn_audit_engagement.name | エンゲージメント名 |
| assessment_plan.metadata.props [@name=状態] |
sn_audit_engagement.state.displayValue | 現在のエンゲージメントステータス (オープン、対応中、クローズ済み、完了) |
| assessment_plan.metadata.props [@name=fieldwork_complete_percentage] |
sn_audit_engagement.task_percent_complete | テストタスクの完了率 |
| assessment_plan.metadata.props [@name=目標] |
sn_audit_engagement.objectives | このエンゲージメントのテスト目標 |
| assessment_plan.metadata.props [@name=planned_end_date] |
sn_audit_engagement.audit_period_end | 監査終了予定日 |
| assessment_plan.metadata.props [@name=planned_start_date] |
sn_audit_engagement.audit_period_start | 監査開始予定日 |
| assessment_plan.metadata.props [@name=engagement_starts] |
sn_audit_engagement.engagement_starts | エンゲージメントが正式に開始されるとき |
| assessment_plan.metadata.props [@name=engagement_ends] |
sn_audit_engagement.engagement_ends | エンゲージメントが正式に終了するとき |
| assessment_plan.metadata.props [@name=fieldwork_start_date] |
sn_audit_engagement.start_date | 実際のテスト作業が開始されるとき |
| assessment_plan.metadata.props [@name=fieldwork_end_date] |
sn_audit_engagement.end_date | 実際のテスト作業が終了するとき |
| assessment_plan.metadata.props [@name=budget_cost] |
sn_audit_engagement.budget_cost | エンゲージメントの承認済み予算金額 |
| assessment_plan.metadata.props [@name=planned_cost] |
sn_audit_engagement.cost | エンゲージメントの計画コスト |
ユーザーとロールのマッピング
OSCAL metadata.parties セクションにはユーザー情報が含まれ、metadata.roles は利用可能なロールを定義します。責任者は、ユーザーを自分のロールにリンクします。
| OSCAL AP フィールド | CAM フィールド | 説明 |
|---|---|---|
| assessment_plan.metadata.parties.uuid | sys_user.sys_id | ServiceNow ユーザーの一意の識別子 |
| assessment_plan.metadata.parties.type | ユーザー (個々のユーザーのデフォルト) | パーティタイプ:個々のユーザーの場合はユーザー、グループの場合は組織 |
| assessment_plan.metadata.parties.name | sys_user.first_name + ' ' + sys_user.last_name | ユーザーのフルネーム |
エクスポートされるロールには、エンゲージメントリード、承認者、監査人、およびコントロールテストオーナーが含まれます (コントロールテストがフィールドにアサインされたものからマッピングされます)。
コントロールテストのマッピング (アクティビティ)
OSCAL local-definitions.activities セクションには、コントロールテスト情報が含まれています。各アクティビティは、CAM 内の 1 つのコントロールテストを表します。
| OSCAL AP フィールド | CAM フィールド | 説明 |
|---|---|---|
| assessment_plan.local-definitions.activities.uuid | sn_audit_control_test.sys_id | コントロールテストの一意の識別子 |
| assessment_plan.local-definitions.activities.title | sn_audit_control_test.short_description | コントロールテストの簡単なタイトル |
| assessment_plan.local-definitions.activities.description | sn_audit_control_test.description | テスト対象の詳細な説明 |
| assessment_plan.local-definitions.activities.props[@name=state] | sn_audit_control_test.state.getDisplayValue | 現在のテストステータス (未テスト、対応中、完了) |
| assessment_plan.local-definitions.activities.props[@name=operational-assessment-procedures] | sn_audit_control_test.operation_assessment_procedures | このコントロールテストの運用評価手順 |
| assessment_plan.local-definitions.activities.related-controls.control-selections.include-controls.control-id | sn_audit_control_test.control | テスト対象のコントロール (敵の例、AC-2、AU-3) |
| assessment_plan.local-definitions.activities.related-controls.control-objective-selections.include-objectives.objective-id | sn_audit_control_test.test_plan | このコントロールテストに関連付けられたテスト計画 |
アセスメント手順のマッピング (ステップ)
「OSCAL activities.steps」セクションには、アセスメント手順の情報が含まれています。各ステップは、CAM の 1 つのアセスメント手順を表します。
| OSCAL AP フィールド | CAM フィールド | 説明 |
|---|---|---|
| assessment_plan.local-definitions.activities.steps.uuid | sn_audit_asmnt_procedure_control_test.sys_id | アセスメント手順の一意の識別子 |
| assessment_plan.local-definitions.activities.steps.description | sn_audit_asmnt_procedure_control_test.assessment_objective | このテストステップで評価または検証するもの |
| assessment_plan.local-definitions.activities.steps.props[@name=label] | sn_audit_asmnt_procedure_control_test.identifier | ステップ識別子 (AC-2(a)、AC-2(b) など) |
レビュー済みコントロールマッピング
[OSCAL レビュー済みコントロール (OSCAL reviewed-controls)] セクションは、アセスメントエンゲージメントのスコープ内にあるコントロールを特定します。
| OSCAL AP フィールド | CAM フィールド | 説明 |
|---|---|---|
| assessment_plan.reviewed-controls.control-selections.include-controls.control-id | sn_audit_m2m_control_engagement.sn_compliance_control.reference | このエンゲージメントに含まれるコントロール参照 (例:AC-2、AU-3) |
| assessment_plan.reviewed-controls.control-selections.include-controls.statement-ids | sn_audit_m2m_control_engagement.sn_compliance_control.sn_compliance_m2m_control_control_requirement.control_requirement | テスト対象の特定の制御要件 (AC-2(a)、AC-2(b) など) |
SSP 参照マッピング
OSCAL import-ssp セクションは、アセスメント計画をその親システムセキュリティ計画にリンクします。
| OSCAL AP フィールド | CAM フィールド | 説明 |
|---|---|---|
| assessment_plan.import-ssp.href | パッケージ UUID (親認証パッケージへのリンク) | このアセスメント計画をテストするパッケージにリンクする UUID 参照 |
href はパッケージ UUID を使用します。パッケージがインポートされた場合は、外部システムからの UUID が使用されます。パッケージが CAM で作成された場合、sys_idは UUID 形式に変換されます。
カスタムプロパティ
カスタムプロパティには、OSCAL 標準でネイティブにサポートされていない CAM 固有のデータが含まれています。これらのプロパティは、ServiceNow 名前空間 (JSON 内の「ns:servicenow」で識別) を使用します。カスタムプロパティには、フィールドワークの日付、予算情報、コントロールテスト方法などのエンゲージメント固有のフィールドが含まれます。すべてのカスタムプロパティのドキュメントは、ServiceNow 製品ドキュメントサイトで入手できます。