위험 관리의 도메인 분리

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 4분

    • 위험 관리에서는 도메인 분리가 지원됩니다. 도메인 분리를 사용하여 데이터, 프로세스 및 관리 작업을 도메인이라는 논리적 그룹으로 분할할 수 있습니다. 어떤 사용자가 데이터를 보고 액세스할 수 있는지를 포함하여 이러한 분리의 여러 측면을 제어할 수 있습니다.

    지원 수준: 기본

    • 비즈니스 논리: 데이터가 애플리케이션의 서비스 제공자 사용 사례에 적합한 도메인으로 들어가도록 보장합니다.
    • 애플리케이션은 런타임에서 도메인 분리를 지원합니다. 도메인 분리에는 사용자 인터페이스, 캐시 키, 보고서, 롤업, 집계 등에서의 분리가 포함됩니다.
    • 인스턴스 소유자는 여러 테넌트에서 작동하도록 애플리케이션을 설정해야 합니다.

    샘플 사용 사례: 서비스 제공자(SP)가 채팅을 사용하여 테넌트 고객의 메시지에 응답할 때 고객이 SP의 응답을 볼 수 있어야 합니다.

    지원 수준에 대한 자세한 내용은 도메인 분리를 위한 애플리케이션 지원을 참조하십시오.

    도메인 분리 개요

    도메인 분리는 다음과 같은 고객에게 가장 적합합니다.
    • 비즈니스 엔터티 간에 절대 데이터 분리(데이터 분리)를 적용해야 합니다.
    • 각 도메인에 대한 비즈니스 프로세스 정의 및 사용자 인터페이스를 사용자 지정하는 경우(위임된 관리).
    • 단일 인스턴스에서 일부 전역 프로세스와 전역 보고를 유지하는 경우.
    이러한 사용자는 도메인 범위를 확장하거나 축소하여 다른 도메인의 데이터를 표시하거나 숨길 수 있습니다.
    주:
    사용자는 도메인 가시성에 의해 명시적으로 부여된 도메인의 데이터에 항상 액세스할 수 있습니다.

    GRC에서 도메인 분리가 작동하는 방식

    • GRC는 데이터 분리를 지원하지만 논리와 프로세스의 분리는 완전히 지원되지는 않습니다.

    • GRC에 있는 많은 유형의 기록은 사용자 프로세스를 통해 자동으로 생성됩니다. 엔터티, 통제, 위험, 표시기 및 통제 테스트는 모두 자동으로 생성할 수 있는 필드입니다. 자동으로 생성되는 레코드의 경우 레코드의 도메인은 작업에 대해 구성된 도메인 반복기에 의해 결정됩니다. 그렇지 않으면 기본 도메인(정의된 경우) 또는 전역 도메인이 기본값으로 설정됩니다. 수동으로 생성된 기록의 경우 도메인은 기록을 생성하는 사용자의 도메인에서 파생됩니다.

      도메인으로 분리된 GRC 구현에서 작업할 때는 자동 생성을 염두에 두어야 합니다. 사용자는 올바른 사용자 집합이 볼 수 있도록 올바른 도메인 수준에서 기록을 만들거나 생성하고 있는지 확인해야 합니다.

      예를 들어 다음과 같은 도메인이 있다고 가정해 보겠습니다.
      • 전역
      • TOP
        • 도메인 A
        • 도메인 B
    • 도메인 A와 B의 사용자가 평가하도록 하려는 위험 또는 통제가 있는 경우 전역 수준에서 위험 또는 통제를 생성하거나 수동으로 만들어야 합니다. 도메인 B에서 위험 또는 통제가 생성된 경우 인덱싱으로 인해 도메인 A에서 위험 또는 통제를 다시 만들 수 없습니다.
    • TOP 및 도메인 A의 사용자가 평가하려는 위험 또는 통제가 있는 경우 도메인 A에 위험 또는 통제를 생성할 수 있습니다.

    위험 및 통제가 전역 도메인에 있지 않은 경우 사용자는 상위 도메인의 위험 또는 통제를 하위 도메인의 사용자에게 할당해서는 안 됩니다. 위의 예제에서 TOP 도메인에 컨트롤이 있는 경우 도메인 A 또는 B의 사용자는 컨트롤에 액세스할 수 없으므로 해당 사용자에 대한 증명을 위해 할당해서는 안 됩니다. 따라서 증명 또는 평가 질문서가 생성되지 않습니다.

    마찬가지로 사용자는 상위 도메인의 통제 목표와 위험 설명을 하위 도메인의 증명 및 평가에 할당해서는 안 됩니다. 그렇지 않으면 증명 또는 평가 질문서가 생성되지 않습니다.

    사용 케이스

    IT용 GRC 데이터는 다른 부서의 GRC 데이터와 분리할 수 있습니다. GRC 애플리케이션을 사용하는 각 비즈니스 영역에는 다른 부서와 공유할 수 없는 별도의 데이터가 있을 수 있습니다. 따라서 각 부서에는 자체 엔터티, 정책, 통제, 위험 등이 있을 수 있습니다.

    IT 도메인의 컨트롤을 볼 때 사용자는 도메인 범위를 확장하여 Finance 도메인의 값을 표시하거나 도메인 범위를 축소하여 IT 도메인과 일치하는 컨트롤만 표시하도록 선택할 수 있습니다.

    기본적으로 도메인 분리는 작업 [task] 및 구성 항목 [cmdb_ci] 테이블과 해당 확장에 도메인 필드를 추가합니다.

    테이블의 딕셔너리 정의에 sys_domainsys_domain_path 필드를 추가하여 도메인 분리를 새 테이블로 확장할 수 있습니다. 기본적으로 시스템 전용 도메인은 플랫폼 및 베이스라인 애플리케이션 테이블을 적절하게 분리합니다.

    경고:
    ServiceNow는 도메인 분리 플랫폼 테이블(딕셔너리 항목 [sys_dictionary] 및 딕셔너리 항목 무효화 [sys_dictionary_override] 테이블과 같이 sys_ 프리픽스가 있는 테이블)은 예기치 않은 결과를 초래할 수 있으므로 권장하지 않습니다.

    이 사용 사례에서는 클라이언트 스크립트, 비즈니스 규칙, 워크플로우, 프로세스 등을 도메인 분리할 수 있습니다.

    도메인 분리와 함께 제공되는 동작은 다중 테넌시 지원을 제공하지만 다중 테넌시는 여전히 단일 인스턴스 내에 포함되어 있습니다. 이는 일부 전역 속성, 일부 전역 데이터 및 일부 전역 프로세스는 모든 도메인에서 공유됨을 의미합니다. 예를 들어, 로그인 페이지에서 시스템의 "메일 주소 저장" 옵션은 전역 옵션이며 도메인별로 지정할 수 없습니다.

    모든 시스템 속성을 완전히 분리해야 하고 전역 보고나 전역 프로세스가 필요하지 않은 경우에는 개별적인 인스턴스를 구성하는 것이 가장 좋습니다.

    GRC 객체에 도메인 값을 할당하는 방법

    자동으로 생성되는 기록, 기록의 도메인은 작업에 대해 구성된 도메인 반복기에 의해 결정됩니다. 다음 표에서는 도메인 값이 여러 GRC 객체에 할당되는 방법을 보여줍니다.

    GRC 객체 도메인 소스
    위험 엔터티에서 도메인 값을 가져옵니다.
    위험 평가 위험에서 도메인 값을 가져옵니다.
    객체 평가 객체에서 도메인 값을 가져옵니다.
    위험 평가 응답 위험 평가 인스턴스에서 도메인 값을 가져옵니다.
    위험 식별 엔터티에서 도메인 값을 가져옵니다.
    집계된 위험 엔터티 및 위험 설명에서 도메인 값을 가져옵니다.
    Basel 보고서 위험 이벤트에서 도메인 값을 가져옵니다.
    통제에 대한 위험 위험에서 도메인 값을 가져옵니다.
    주:
    도메인 소스가 전역이거나 nil이면 해당 개체의 도메인이 기본값으로 설정됩니다.