GRC의 도메인 분리

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 4분

    • 도메인 분리 및 애플리케이션에 대한 개요입니다 거버넌스, 리스크 및 컴플라이언스 . 도메인 분리를 사용하여 데이터, 프로세스 및 관리 작업을 도메인이라는 논리적 그룹으로 분할할 수 있습니다. 어떤 사용자가 데이터를 보고 액세스할 수 있는지를 포함하여 이러한 분리의 여러 측면을 제어할 수 있습니다.

    도메인 분리는 다음과 같은 고객에게 가장 적합합니다.
    • 비즈니스 엔터티 간에 절대적인 데이터 분리를 적용해야 합니다(데이터 분리).
    • 각 도메인에 대한 비즈니스 프로세스 정의 및 사용자 인터페이스를 사용자 지정합니다(위임된 관리).
    • 단일 인스턴스에서 일부 전역 프로세스와 전역 보고를 유지관리합니다.
    이러한 사용자는 도메인 범위를 확장하거나 축소하여 다른 도메인의 데이터를 표시하거나 숨기도록 선택할 수 있습니다.
    주:
    사용자는 항상 도메인 가시성으로 명시적으로 부여된 도메인의 데이터에 액세스할 수 있습니다.

    지원 수준: 기본

    • 비즈니스 논리: 데이터가 애플리케이션의 서비스 제공자 사용 사례에 적합한 도메인으로 들어가도록 보장합니다.
    • 애플리케이션은 런타임에서 도메인 분리를 지원합니다. 도메인 분리에는 사용자 인터페이스, 캐시 키, 보고, 롤업 및 집계로부터의 분리가 포함됩니다.
    • 인스턴스 소유자는 여러 테넌트에서 작동하도록 애플리케이션을 설정해야 합니다.

    샘플 사용 사례: 서비스 제공자(SP)가 채팅을 사용하여 테넌트 고객의 메시지에 응답할 때 고객이 SP의 응답을 볼 수 있어야 합니다.

    지원 수준에 대한 자세한 내용은 도메인 분리를 위한 애플리케이션 지원을 참조하십시오.

    GRC에서 도메인 분리가 작동하는 방식

    • GRC는 데이터 분리를 지원하지만 논리와 프로세스의 분리는 완전히 지원되지 않습니다.

    • GRC의 많은 기록 유형은 사용자 프로세스를 통해 자동으로 생성됩니다. 엔터티, 통제, 위험, 표시기 및 통제 테스트는 모두 자동으로 생성될 수 있는 필드입니다. 자동으로 생성되는 레코드의 경우, 레코드의 도메인은 작업에 대해 구성된 도메인 반복기에 의해 결정됩니다. 그렇지 않으면 기본적으로 기본 도메인(정의된 경우) 또는 전역 도메인으로 설정됩니다. 수동으로 생성된 기록의 경우 도메인은 기록을 생성하는 사용자의 도메인에서 파생됩니다.

      도메인 분리된 GRC 구현에서 작업할 때는 자동 생성을 염두에 두어야 합니다. 사용자는 올바른 도메인 수준에서 기록을 생성/생성하고 있어서 올바른 사용자 집합이 볼 수 있도록 해야 합니다.

      예를 들어 다음과 같은 도메인이 있다고 가정합니다.
      • 전역
      • 맨 위
        • 도메인 A
        • 도메인 B
    • 도메인 A와 B의 사용자가 평가하도록 할 위험 또는 통제가 있는 경우, 위험 또는 통제를 전역 수준에서 생성하거나 수동으로 생성해야 합니다. 도메인 B에서 위험 또는 통제가 생성된 경우 인덱싱으로 인해 도메인 A에서 위험 또는 통제를 다시 만들 수 없습니다.
    • TOP 및 도메인 A의 사용자가 평가하도록 할 위험 또는 통제가 있는 경우 도메인 A에서 위험 또는 통제를 생성할 수 있습니다.

    위험과 통제가 전역 도메인에 있지 않는 한, 사용자는 하위 도메인의 사용자에게 상위 도메인의 위험이나 통제를 할당해서는 안 됩니다. 위의 예제에서 TOP 도메인에 컨트롤이 있는 경우 도메인 A 또는 B의 사용자는 컨트롤에 액세스할 수 없으므로 증명을 위해 할당해서는 안 됩니다. 따라서 증명 또는 평가 질문서가 생성되지 않습니다.

    마찬가지로 사용자는 상위 도메인의 통제 목표와 위험 설명을 하위 도메인의 증명 및 평가에 할당해서는 안 됩니다. 그렇지 않으면 증명 또는 평가 질문서가 생성되지 않습니다.

    사용 케이스

    IT에 대한 GRC 데이터는 다른 부서의 GRC 데이터와 분리할 수 있습니다. GRC 애플리케이션을 사용하는 각 비즈니스 영역에는 다른 부서와 공유할 수 없는 별도의 데이터가 있을 수 있습니다. 따라서 각 부서에는 자체 엔터티, 정책, 통제, 위험 등이 있을 수 있습니다.

    IT 도메인의 통제를 볼 때 사용자는 도메인 범위를 확장하여 재무 도메인의 값을 표시하거나 도메인 범위를 축소하여 IT 도메인과 일치하는 통제만 표시하도록 선택할 수 있습니다.

    기본적으로 도메인 분리는 작업 [task] 및 구성 항목 [cmdb_ci] 테이블과 해당 확장에 도메인 필드를 추가합니다.

    테이블의 딕셔너리 정의에 sys_domain 필드를 추가하여 생성하는 새 테이블로 도메인 분리를 확장할 수 있습니다. 기본적으로 시스템은 적절한 경우에만 플랫폼 및 기준선 애플리케이션 테이블을 도메인으로 분리합니다.

    경고:
    예기치 않은 결과가 발생할 수 있으므로 ServiceNow에서는 도메인 분리 플랫폼 테이블(딕셔너리 항목 [sys_dictionary] 및 딕셔너리 항목 무효화 [ sys_dictionary_override] 테이블과 같이 sys_ 프리픽스가 있는 모든 테이블)를 권장하지 않습니다.

    이 사용 사례에서는 클라이언트 스크립트, 비즈니스 규칙, 워크플로우, 프로세스 등을 도메인으로 구분할 수 있습니다.

    도메인 분리에서 제공되는 동작은 다중 테넌시 지원을 제공하지만 다중 테넌시는 여전히 단일 인스턴스 내에 포함되어 있습니다. 즉, 일부 전역 속성, 일부 전역 데이터 및 일부 전역 프로세스가 모든 도메인에서 공유됩니다. 예를 들어 로그인 페이지에 대한 시스템의 "메일 주소 저장" 옵션은 전역적이며 도메인마다 지정할 수 없습니다.

    모든 시스템 속성을 완전하고 완전히 분리해야 하고 전역 보고 또는 전역 프로세스가 필요하지 않은 경우 별도의 인스턴스가 가장 좋습니다.

    도메인 값을 GRC 객체에 할당하는 방법

    자동으로 생성되는 레코드의 도메인은 작업에 대해 구성된 도메인 반복기에 의해 결정됩니다. 다음 표에서는 도메인 값이 여러 GRC 객체에 할당되는 방식을 보여줍니다.

    GRC 객체 도메인 소스
    엔터티 Applies_to에서 도메인 값을 가져옵니다.
    엔터티 유형에 대한 엔터티 엔터티 유형에서 도메인 값을 가져옵니다.
    항목 평가 항목에서 도메인 값을 가져옵니다(위험 또는 통제).
    문제 항목에서 도메인 값을 가져옵니다(위험 또는 통제).
    정보 객체에 대한 엔터티 엔터티에서 도메인 값을 가져옵니다.
    표시기 통제 또는 위험에서 도메인 값을 가져옵니다.
    표시기 작업 표시기에서 도메인 값을 가져옵니다.
    지원 데이터 표시기에서 도메인 값을 가져옵니다.
    표시기 결과 표시기에서 도메인 값을 가져옵니다.
    주:
    도메인 소스가 전역이거나 nil이면 해당 객체의 도메인이 기본값으로 설정됩니다.