Exportação e importação do plano de avaliação OSCAL

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 3 min. de leitura

    • O modelo de plano de avaliação (AP) OSCAL permite importar planos de teste de ferramentas externas e exportar dados de compromisso para auditores e autorizadores.

    Visão geral do modelo do plano de avaliação (AP)

    O modelo de Plano de Avaliação OSCAL (AP), desenvolvido pelo NIST, representa o que precisa ser testado e como os testes serão realizados. O modelo de AP permite que as organizações troquem dados de planejamento de avaliação em um formato padronizado. No CAM, um arquivo JSON do plano de avaliação corresponde a um compromisso. Cada arquivo de AP contém o plano de testes que pode ser distribuído para auditores e equipes de certificação que realizam testes de controle. Quando um pacote tem vários compromissos, a exportação gera vários arquivos de AP, um por compromisso.

    O que é exportado

    A exportação do plano de avaliação OSCAL gera arquivos com dados de compromisso e teste. A exportação inclui:

    • Metadados de compromisso (nome, status, objetivos, porcentagem de andamento, linha do tempo, orçamento)
    • Partes e funções (usuários envolvidos com suas atribuições de função)
    • Atividades que representam testes de controle (descrições de testes, métodos, status, procedimentos de avaliação operacional)
    • Procedimentos de avaliação como etapas dentro das atividades
    • Controles revisados (quais controles e requisitos estão no escopo para testes)
    • Referência ao plano de segurança do sistema primário (SSP)

    As propriedades personalizadas são usadas para campos específicos do CAM não compatíveis nativamente com os padrões OSCAL. Essas propriedades usam o namespace ServiceNow.

    O que é importado

    A importação do plano de avaliação OSCAL cria automaticamente compromissos e suas estruturas de teste associadas no CAM. Para cada arquivo de AP, o sistema gera:

    • Um compromisso com metadados (usuários, funções, linha do tempo, orçamento)
    • Testes de controle mapeados a partir de atividades de AP
    • Procedimentos de avaliação e planos de teste mapeados a partir de tarefas de AP
    • Atribuições de usuário com funções (líder de compromisso, aprovadores, auditores, responsáveis pelo teste de controle)
    • Seleções de objetivo de controle e controle que especificam o que será testado

    O processo de importação cria a estrutura de pacote completa se ela não existir na instância de destino: Limite, pacote, elementos do sistema, controles de linha de base e compromissos. Para pacotes existentes, os objetos importados aparecem na lista de substituições por padrão, permitindo que você ignore ou substitua os dados existentes.

    Validação e estrutura de arquivos no processo de importação de AP

    A importação de AP requer arquivos obrigatórios: Catálogo, Perfil e SSP. Você pode anexar um ou mais arquivos de AP dependendo do número de compromissos. O sistema valida os arquivos carregados em relação aos padrões OSCAL durante a etapa de anexo. Se ocorrerem erros de validação, o sistema exibirá mensagens de erro antes de prosseguir.

    O arquivo de AP deve fazer referência ao UUID SSP incluído na importação. Se o AP fizer referência a um UUID SSP diferente, a validação falhará com uma mensagem de erro. Isso garante que o plano de avaliação seja vinculado corretamente ao pacote que está sendo importado.

    Mapeamento de usuário e função para importação OSCAL

    Durante a importação, o sistema mapeia usuários do arquivo OSCAL para usuários da ServiceNow. Quando os nomes de usuário correspondem, o sistema mapeia-os automaticamente. Se os nomes de usuário não corresponderem ou o usuário não existir na ServiceNow, você deverá selecionar manualmente o usuário ServiceNow correspondente. A etapa de mapeamento de usuário garante que todas as funções necessárias sejam atribuídas (Proprietário do sistema, ISSO, ISSM, Líder de compromisso, Auditores). Se funções obrigatórias estiverem ausentes após o mapeamento automático, você deverá atribuir manualmente os usuários antes de prosseguir.

    Mapeamento de usuário e função para exportação OSCAL

    O CAM exporta dados de compromisso para o formato do plano de avaliação OSCAL usando a seguinte estrutura:

    • Exportação de metadados do compromisso: Nome, estado, objetivos, percentual de andamento, datas da linha do tempo (período de auditoria, datas de trabalho de campo, duração do compromisso) e valores orçamentários para a seção de metadados
    • Usuários e funções: Exportações de informações do usuário (nomes completos, identificadores exclusivos) para a seção de partes; funções (líder de compromisso, aprovadores, auditores, responsável pelo teste de controle) e exportação de atribuições para as seções de funções e partes responsáveis
    • Testes de controle: Mapeie para atividades na seção de definições locais, incluindo título do teste, descrição, estado atual e procedimentos de avaliação operacional
    • Procedimentos de avaliação: Mapeie para etapas dentro de atividades, contendo identificadores de etapa, descrições e rótulos para requisitos de controle
    • Controles revisados: Identifica quais controles e requisitos estão no escopo para testes
    • Referência do SSP: Vincula o plano de avaliação ao seu pacote primário usando o UUID do pacote na seção import-ssp