Defina regras de aprovação de exceção à política

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • As regras de aprovação definem os critérios (classificação de risco, política ou objetivo de controle) usados para enviar solicitações de aprovação para uma exceção. As regras podem ser configuradas para uma aplicação e você pode identificar vários níveis de aprovadores, conforme necessário.

    Antes de Iniciar

    Função necessária: sn_compliance.manager

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode configurar aprovações para serem enviadas automática ou manualmente após a revisão.
    Nota:
    Quando exceções à política são criadas a partir de aplicações ascendentes (de Resposta a vulnerabilidadespor exemplo), a exceção à política deve ter controles afetados presentes antes que você possa solicitar aprovação.

    Para exceções de política criadas usando Gestão de políticas e conformidade, exceções podem ser solicitadas para uma política sem a presença de controles afetados, mesmo que as políticas e os objetivos de controle sejam adicionados ao formulário de exceção. No entanto, para exceções de política criadas somente para objetivos de controle, os controles afetados devem estar presentes antes que você possa solicitar aprovação.

    Procedimento

    1. Navegar até Tudo > Políticas e conformidade > Exceções às políticas > Regra de aprovação.
    2. Clique em Novo.
      Regras de aprovação
    3. No formulário, preencha os campos.
      Tabela 1. Formulário de configuração de aprovação
      Campo Descrição
      Tipo Padrão para Regra de aprovação.
      Nome Insira um nome para esta configuração de aprovação.
      Descrição resumida Forneça uma breve descrição da finalidade da configuração.
      Aplicação de origem Selecione a aplicação para que se aplica a esta regra de aprovação. Somente as aplicações que foram adicionadas anteriormente ao Registro de integração são listadas.
      Ativo Se esta opção for selecionada, esta regra de aprovação estará ativa.
      Classificação de risco A classificação de risco é determinada executando uma avaliação de risco na exceção de política.
      Política Selecione a política em relação à qual esta exceção de política está sendo aplicada.
      Objetivo do controle Selecione o objetivo de controle que faz referência à política selecionada.
      Aprovações de gatilho automático Marque esta caixa de seleção para acionar automaticamente todas as aprovações após a conclusão da revisão. Se você não selecioná-lo, o gerente de conformidade poderá acionar manualmente as aprovações definidas por esta regra.
      Ordem A ordem define a precedência de acionar esta regra em comparação com outra regra aplicável à exceção e definida com critérios semelhantes.
    4. Clique em Atualizar.

      A lista relacionada Níveis de aprovador é exibida. Esta lista relacionada permite definir vários níveis de aprovador para uma regra. Um ou mais usuários ou um grupo de usuários podem ser selecionados como aprovadores para cada nível. Os aprovadores devem ter a função survey_reader atribuída. Você pode tornar obrigatório que todos os usuários selecionados aprovem a exceção ou, opcionalmente, permitir que um único usuário aprove em nome de todos os aprovadores.

      Níveis de aprovador
    5. Clique em Novo.
      Novo nível de aprovação
    6. No formulário, preencha os campos.
      Tabela 2. Formulário de nível do aprovador
      Campo Descrição
      Nome Insira um nome para este nível de aprovação.
      Descrição Forneça uma breve descrição do nível de aprovação.
      Aprovação obrigatória Selecione Uma aprovação necessária para permitir que um único usuário aprove em nome de todos os aprovadores.

      Selecione Todos os usuários devem aprovar para tornar obrigatório que todos os usuários designados aprovem a seleção.
      Usuários Selecione um ou mais usuários para atuar como aprovadores de exceção à política.
      Grupos Selecione um ou mais grupos para atuar como aprovadores de exceção à política.
      Nota:
      Os usuários que pertencem ao grupo devem ter a função de usuário comercial de GRC (sn_grc.business_user).
      Ordem Selecione a ordem para determinar a sequência de níveis usados em relação a outros níveis (ou seja, a ordem 1 é exibida primeiro).
    7. Clique em Enviar.
      Se você selecionou Aprovações de gatilho automático , os aprovadores designados são notificados de que suas aprovações são necessárias. Como alternativa, os aprovadores são notificados quando o gerente de conformidade clica em Enviar para aprovação botão.