Integration von Richtlinienausnahmen mit Vulnerability Response

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 4 Minuten Lesedauer

    • Ab Version 10.1 können Sie Richtlinienausnahmen mit anfordern GRC Fähigkeit zur Verwaltung von Richtlinienausnahmen, die in inhärent ist Richtlinien- und Compliance-Management Anwendung aus Version 10,3 von Vulnerability Response Anwendung.

    Vorteile der Verwendung der Richtlinienausnahmeintegration

    Ausnahmen werden mithilfe der Richtlinienausnahmeintegration mit angefordert Richtlinien- und Compliance-Management Bietet die folgenden Vorteile:
    • Führen Sie Bewertungen durch, um zusätzliche Informationen zu den Anforderungen zu sammeln.
    • Fordern Sie Ausnahmen basierend auf einer bestimmten Richtlinie oder einem bestimmten Kontrollziel an. Diese Aktion zeigt die Auswirkungen auf die Compliance an, wenn eine Ausnahme genehmigt wird.
    • Konfigurieren Sie Genehmigungen, die automatisch basierend auf der Risikobewertung, der Richtlinie oder dem Kontrollziel ausgelöst werden, die der Richtlinienausnahme zugeordnet sind.

    Funktionsweise der Richtlinienausnahmeintegration

    Das hier beschriebene Szenario setzt voraus, dass eine Schwachstelle in Ihrem System identifiziert wurde und Ihr Korrekturbesitzer festgestellt hat, dass ein Software-Patch erforderlich ist. Der Patch wurde nicht vollständig getestet, und der Besitzer fordert eine Richtlinienausnahme an, um die Bereitstellung des Patches zu verschieben, bis der Test abgeschlossen ist.
    Das folgende Diagramm veranschaulicht die Schritte, die vom Compliance-Manager und dem Korrekturbesitzer in jeder der Anwendungen ausgeführt werden.
    Abbildung : 1. Integration von Richtlinienausnahmen
    Workflow für die Integration von Richtlinienausnahmen
    Hinweis:
    Der GRC-Geschäftsanwender (sn_grc.Business_user) oder Geschäftsanwender – Lite (sn_grc.business_user_lite) ist die mindestens erforderliche Rolle, um eine Richtlinienausnahme aus einer vorgelagerten Anwendung auszulösen.
    1. Wenn Vulnerability Response Die Anwendung wurde installiert, zwei Integrationsdatensätze für Richtlinienausnahmen werden automatisch erstellt und der Integrationsregistrierung hinzugefügt, einer für eine Schwachstellengruppe und einer für ein angreifbares Element.
      Abbildung : 2. Integrationsregister für Richtlinienausnahme
      Register für Integration von Richtlinienausnahmen.
      Um den Datensatz für angreifbare Elemente zu konfigurieren, führt der Compliance-Manager die folgenden Schritte aus.
      1. Gibt die Zuordnung von Tabellen an, die zur Integration der beiden Anwendungen verwendet werden .
      2. Definiert Gründe für die Anforderung von Ausnahmen .
      3. (Optional) Definiert Richtlinienkategorien Zum Filtern von Richtlinien
      4. (Optional) Erstellt einen oder mehrere Fragebogen Wird an die anfordernde Person gesendet, um zusätzliche Informationen zur Anforderung einer Richtlinienausnahme zu sammeln.
    2. Der Compliance-Manager definiert auch optional Verifizierungsregeln Und Genehmigungsregeln Dient zur Automatisierung des Prozesses zum Abrufen von Genehmigungen für die Richtlinienausnahme.
    3. In Vulnerability Response, Der Korrekturbesitzer Fordern Sie eine Ausnahme mit an GRC: Richtlinien- und Compliance-Management .
    4. Wenn für die Anwendung eine Verifizierungsregel definiert wurde, werden die festgelegten Genehmiger benachrichtigt, dass ihre Genehmigung erforderlich ist. Wenn Felder in der Anforderung für Richtlinienausnahme von der anfordernden Person nicht ausgefüllt wurden (z. B. Richtlinie oder Kontrollziel), werden diese Felder für die Genehmiger obligatorisch. Wenn die Genehmiger die Anforderung überprüft, abgeschlossen und genehmigt haben, wechselt sie in den Status „Analysieren“ und wird dem Compliance-Manager zur weiteren Analyse und Genehmigung zugewiesen.
    5. In Richtlinien- und Compliance-Management, Der Compliance-Manager erhält die genehmigte Anforderung und weist der Richtlinienausnahmeanforderung auf eine Risikobewertung zu Risikobewertung Registerkarte.
      Abbildung : 3. Richtlinienausnahmeanforderung auf der Registerkarte „Risikobewertung“
      Risikobewertung

      Wenn der Richtlinienausnahmedatensatz gespeichert wird, Informationen in Quelle Registerkarte, einschließlich der Quellanwendung und des Quelldatensatzes sowie Informationen in Angreifbare Elemente Zugehörige Liste wird automatisch ausgefüllt. Der Compliance-Manager hat jetzt Zugriff auf alle Daten, die zum Überprüfen und Genehmigen der Richtlinienausnahme erforderlich sind.

    6. In Richtlinien- und Compliance-Management, Der Compliance-Manager führt die Ausnahmebewertung durch, Ob Bewertungen konfiguriert wurden . Wenn die Bewertung abgeschlossen ist, kehrt der Compliance-Manager zu zurück Risikobewertung Und aktualisiert Risikobewertung Basierend auf den Ergebnissen der Bewertung, falls erforderlich. Der Compliance-Manager füllt auch die folgenden Felder mit Informationen aus, die während der Bewertung erfasst wurden.
      Tabelle : 1. Registerkarte „Risikobewertung“
      Feld Beschreibung
      Risikobeschreibung Geben Sie Details zum Risiko an, das dieser Richtlinienausnahme zugeordnet ist.
      Analyse von Risiko und Auswirkung Geben Sie Details zu Ihrer Analyse des Risikos und der Auswirkungen auf die Richtlinienausnahme an.
      Risikominderungsplan Geben Sie Details zum Minderungsplan an, der dieser Richtlinienausnahme zugeordnet ist.
    7. Wenn in der Richtlinienausnahme Informationen fehlen, kann der Compliance-Manager auf klicken Fordern Sie Weitere Informationen An Und fügen Sie Kommentare hinzu, um den Typ der erforderlichen Daten zu identifizieren. Die anfordernde Person wird benachrichtigt und stellt die angeforderten Informationen bereit.
    8. Optional kann der Compliance-Manager die Richtlinienausnahme zur zusätzlichen internen Überprüfung senden, bevor er sie durch Klicken genehmigt Überprüfung Anfordern .
      Hinweis:
      Bevor Sie eine Überprüfung anfordern, stellen Sie sicher, dass die zugehörige Liste „Betroffene Steuerungen“ die Steuerungen enthält, die von der Richtlinienausnahme betroffen sind. Öffnen Sie einfach die zugehörige Liste, und klicken Sie auf Hinzufügen , Und wählen Sie die Steuerungen aus.
    9. Wenn die Richtlinienausnahme ein besonders hohes Risiko darstellt und der Compliance-Manager der Meinung ist, dass die Genehmigung von einer höheren Person in der Organisation (z. B. dem CIO) erfolgen sollte, kann der Compliance-Manager klicken Genehmigung Anfordern .
      Andernfalls wird die Genehmigung in den folgenden Szenarien durchgeführt.
      Genehmigungsregel definiert Auswirkung auf Genehmigung
      Wenn für keine Genehmigungsregel definiert wurde Vulnerability Response Auswahl Genehmigt Verursacht die Genehmigung der Richtlinienausnahme.
      Ob eine Genehmigungsregel definiert wurde , Aber Automatischer Auslöser Kontrollkästchen wurde nicht aktiviert Sie können auf klicken Genehmigung Anfordern Zum Senden der Richtlinienausnahme an die in der Regel definierten Anwender oder Gruppen. Eine Genehmigungsregel kann beispielsweise angeben, dass eine bestimmte Gruppe von Anwendern oder Gruppen benachrichtigt wird, wenn die Richtlinienausnahme auf einer bestimmten Richtlinie basiert. Oder es kann eine Genehmigungsregel definiert werden, damit jede Richtlinienausnahme mit einer Risikobewertung von „Kritisch“ automatisch an eine bestimmte Gruppe von Genehmigern gesendet wird.

      Die Anzahl der Genehmiger, die zum Genehmigen der Richtlinienausnahme erforderlich sind, hängt von der Einstellung in ab Erforderliche Genehmigung Feld in der Regel.

      Sie können auch auf klicken Genehmigen Um die Richtlinienausnahme selbst zu genehmigen.
      Wenn eine Genehmigungsregel definiert wurde, und Automatischer Auslöser Kontrollkästchen wurde aktiviert Klicken Sie auf Genehmigen Durch die Schaltfläche wird die Genehmigungsregel ausgeführt, und die Richtlinienausnahme wird automatisch an die von der Regel definierten Anwender oder Gruppen zur Genehmigung gesendet. Durch den automatischen Auslöser ist dieser Schritt obligatorisch. Wenn Genehmigungen empfangen werden, tritt die Richtlinienausnahme in Kraft.
    10. In Vulnerability Response, Nachdem die Genehmigungen empfangen wurden, wird die Richtlinienausnahme aktiv, und die Patchaktivität für das angreifbare Element wird zurückgestellt, bis die Richtlinienausnahme abläuft. Wenn Gültig bis Das Datum ist erreicht, die Richtlinienausnahme läuft ab, und der Status des angreifbaren Elements ändert sich von zurückgestellt in Offen.