CAM 워크플로우 구성을 사용하면 작업을 NIST(국립표준기술연구소) 프레임워크로 제한하는 대신 사용자 지정 워크플로우 및 프레임워크를 구성할 수 있습니다. 이러한 유연성을 통해 특정 준수 및 인증 요구 사항에 맞게 조정할 CAM 수 있습니다.

이전 CAM 에는 NIST 프레임워크 및 7단계 프로세스(준비, 범주화, 선택, 구현, 평가, 승인 및 모니터링)와의 긴밀한 결합을 유지했습니다. 워크플로우 구성은 이 단일 프레임워크에서 분리되어 CAM 사용자 지정 워크플로우를 생성하고 권한 부여 패키지 및 경계에 매핑할 수 있도록 합니다.

구성은 기존 권한 부여 패키지 기록을 사용하고 다양한 워크플로우에 매핑할 수 있는 유연한 상태 모델을 추가합니다. 이 접근 방식은 여러 워크플로우를 지원하면서 이전 버전과의 호환성을 유지합니다.

워크플로우 구성

워크플로우 구성은 워크플로우, 프레임워크, 규정, 관련 버전, 영향 및 뷰 규칙을 정의합니다. CAM 은 NIST 워크플로 구성을 제공하지만 PSPF(보호 보안 정책 프레임워크) 또는 사용자 지정 내부 프레임워크와 같은 다른 프레임워크에 대한 추가 워크플로를 만들 수 있습니다.

각 워크플로우 구성에는 다음이 포함됩니다.

• 버전: 워크플로우의 다양한 수정 버전(예: NIST Rev 4 및 Rev 5)
• 워크플로우 영향: 통제 목표를 필터링하는 데 사용되는 영향 수준(예: 낮음, 보통, 높음)
• 뷰 규칙: 특정 워크플로우에만 적용되는 사용자 지정 뷰
• 상태 모델: 워크플로우를 특정 상태 모델에 연결합니다

상태 모델

상태 모델은 워크플로우의 단계, 전환 및 확인을 정의합니다. 상태 모델은 권한 부여 패키지 테이블에 적용되며 워크플로우 수명주기 동안 패키지가 이동하는 방식을 제어합니다.

상태 모델에는 다음이 포함됩니다.

• 워크플로우 상태: 프레임워크의 개별 단계(예: 준비, 범주화, 선택)
• 상태 전환: 필수 확인 조건이 있는 단계 간 유효한 경로입니다.
• 상태 모델 속성: 승인 요구 사항 또는 보고서 생성과 같은 특수 기능입니다. 상태 모델 속성은 특정 워크플로우 단계에서 사용할 수 있는 기능을 제어합니다.

상태 전환

상태 전환은 패키지가 한 단계에서 다른 단계로 이동하는 방식을 정의합니다. 각 전환에는 계속하기 전에 충족해야 하는 확인 조건이 포함될 수 있습니다.

확인 조건의 예:

• 권한 부여 범위 필드는 비워둘 수 없습니다.
• 모든 기준선 통제에는 "통제 자동 생성"이 활성화되어 있어야 합니다.
• 필요한 승인을 완료해야 합니다.

상태 모델 속성

속성은 사용자 지정 코드 없이도 워크플로우 상태에 특수 기능을 추가합니다. 속성은 승인 요구 사항, 보고서 생성, 관련 목록 작업 및 특정 워크플로우 상태에 대한 UI 페이지 가시성과 같은 기능을 제어합니다.

사용 가능한 속성의 전체 목록은 다음 문서를 참조하십시오 워크플로우 상태에 GRC 기존 속성 추가.

워크플로우 제한 사항

고급 플러그인(app-grc-cont-auth-monitor-advanced)이 없으면 CAM NIST 워크플로우를 포함하여 최대 2개의 워크플로우를 만들 수 있습니다. 고급 플러그인을 CAM 설치하면 이 제한이 제거되고 무제한 워크플로우 구성을 사용할 수 있습니다.

워크플로우 구성 활성화

워크플로우 구성기는 작업 공간이 설치된 경우에만 CAM 사용할 수 있습니다. 시스템 속성은 사용자 지정 워크플로우의 사용 여부를 제어합니다. 자세한 내용은 지속적 인증 및 모니터링 시스템 속성 문서를 참조하십시오.

워크플로우 구성 속성을 활성화하면 다음과 같이 수행됩니다.

• 시스템에 영향을 설명하는 확인 대화 상자가 표시됩니다
• 기존 패키지와 경계를 마이그레이션하여 워크플로우와 연결해야 합니다.
• 활성화 후에는 속성을 비활성화할 수 없습니다.
• 새 구성을 적용하기 위해 시스템이 새로 고쳐집니다

마이그레이션 동작

기존 데이터를 CAM 마이그레이션할 때 모든 패키지와 경계를 워크플로우에 자동으로 할당합니다.

마이그레이션 프로세스는 다음을 수행합니다.

• 워크플로우 할당 없이 모든 권한 부여 패키지 및 경계를 식별
• 기본 NIST 워크플로우 구성과 연결합니다.
• 홈페이지를 업데이트하여 워크플로우별 탭을 표시합니다.
• 워크플로우 기반 필터링 및 보고 사용

OSCAL 익스포트 및 임포트

워크플로우 구성 속성을 활성화하면 OSCAL 익스포트에 워크플로우 및 프레임워크 메타데이터가 포함됩니다.

익스포트 및 임포트 시나리오

속성 끄기(익스포트) → 속성 켜기(임포트)

익스포트에 워크플로우 데이터가 없기 때문에 임포트한 패키지는 기본적으로 NIST 워크플로우로 설정됩니다.

속성 켜기(익스포트) → 속성 끄기(임포트)

임포트는 성공했지만 패키지에 워크플로우 기능이 없습니다.

속성 켜기(두 인스턴스 모두)

• 워크플로우가 임포트 인스턴스에 존재하는 경우: 패키지는 해당 워크플로우를 사용합니다.
• 워크플로우가 임포트 인스턴스에 없는 경우: 패키지 경험이 손상되어 수동으로 수정해야 합니다.

평가 역량

평가 보내기 버튼을 누르면 클래식 평가와 위험 평가를 모두 사용할 수 있습니다(Advanced Risk Management가 설치된 경우).

클래식 평가

평가 메트릭 유형을 사용하는 플랫폼 평가입니다. 테이블이 권한 부여 패키지로 설정된 평가 템플릿을 생성하거나 수정해야 합니다.

위험 평가

패키지 및 경계와 관련된 위험을 평가하는 위험 평가 방법론(RAM) 평가입니다. 위험 평가는 패키지 양식의 별도의 관련 목록에 나타납니다.