Solicite uma exceção à política usando Espaço de conformidade

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 8 min. de leitura

    • Use o. Espaço de conformidadepara solicitar exceções para políticas, objetivos de controle ou ocorrências especificando o motivo da exceção em uma lista específica de sistemas, aplicações, redes ou entidades às quais a exceção se aplica. Você também deve especificar a duração para a qual a exceção é necessária.

    Antes de Iniciar

    Função necessária: sn_grc.business_user , sn_grc.business_user_lite

    Por Que e Quando Desempenhar Esta Tarefa

    As exceções fornecem alívio temporário quando você não consegue atender aos requisitos de conformidade devido a situações extraordinárias. Por exemplo, você não pode atender a um controle que estipula que todos os servidores de SO críticos devem ser corrigidos em até 48 horas após o fornecedor do SO lançar patches.

    Nota:
    Para obter mais informações sobre exceções à política, consulte Gerencie exceções e extensões de política.

    Procedimento

    1. Navegar até Tudo > Políticas e conformidade > Espaço de conformidade.
    2. Clique em Exceção à política em Criar lista.
    3. No formulário, preencha os campos.
      Tabela 1. Criar novo formulário de exceção à política
      Campo Descrição
      Número Número de identificação exclusivo.
      Nome Nome da exceção à política.
      Solicitante Pessoa que solicita a exceção à política, geralmente o responsável pelo controle.
      Motivo Motivo para solicitar a exceção à política. O solicitante pode mudar o motivo até que a exceção à política seja aprovada.
      Descrição resumida Descrição da solicitação de exceção à política.
      Estado Estado da exceção à política no fluxo de trabalho de aprovação.
      Subestado Subestado de aprovação da exceção de política no fluxo de trabalho de aprovação.
      Prioridade Prioridade de aprovação desta exceção de política
      Justificativa Evidência ou justificativa para a exceção à política.
      Origem
      Tipo de origem Tipo de exceção de política que você deseja criar. As opções são:
      • Política: Crie uma exceção de política com base em uma política.
      • Objetivo de controle: O padrão é um objetivo de controle único no qual a exceção de política é criada.

        Quando você seleciona um objetivo de controle, o. Controles afetados é exibida, onde você pode selecionar controles associados ao objetivo de controle.

      • Controles: Opção para criar uma exceção de política em vários controles.

        Selecione Controle para associar vários controles de diferentes objetivos de controle. Esta opção oferece suporte a vários objetivos de controles para sua exceção de política, em vez de criar várias exceções de política que podem ser aplicadas em vários controles.

      • Problema: Problema associado a esta exceção de política.
      Política Política para a qual a exceção foi criada.
      Objetivo do controle Objetivo de controle associado a esta exceção de política.
      Ocorrência Problema associado a esta exceção de política.
      Registro de destino Tabela de registro de destino na qual a exceção à política é aplicada. Esta tabela também é referenciada em Tabela de destino da exceção à política Campo do formulário Registro de integração de exceção à política.
      Cronograma
      Válido de Dia em que a exceção à política começa.
      Válido até Dia em que a exceção à política termina. A data de Válido Até deve ser posterior à data de Válido De e não pode ser uma data passada.
      Duração Número de dias entre Válido de e. Válido até datas.
      Extensões aprovadas Número de vezes que as extensões foram solicitadas até o momento e foram aprovadas.
      Extensões restantes Número de vezes que extensões podem ser solicitadas no futuro. Extensões restantes: Valor em Number of extensions allowed for a policy exceptionPropriedade - Número de extensões aprovadas .
      Criação em Data em que a exceção à política foi solicitada.
      Data aprovada Data em que a exceção foi aprovada.
      Data da extensão Data de extensão solicitada, que é posterior a. Válido até data.
      Motivo da exceção Motivo da extensão.
      Original válido até Data até a qual a exceção à política foi solicitada e aprovada originalmente. O original Válido até a data é preenchida somente quando a extensão é aprovada.
      Atribuição
      Participantes da lista de observação Usuários que são notificados quando a solicitação é atualizada.
      Grupo de aprovação Grupo que tem a função de gerente de conformidade. Se a exceção à política atingir o estado de Revisão, você não poderá editar o grupo de aprovação.

      Se você não fornecer um grupo de aprovação, o campo será padronizado para gerente de conformidade. O gerenciador de conformidade será a função padrão se a exceção à política for gerada de qualquer aplicação ascendente integrada ao GRC. Por exemplo, se você gerar uma exceção de política para um problema relacionado a um incidente e esse problema estiver relacionado a GRC.
      Aprovador Usuário do grupo de aprovação. Se a política de exceção for movida para Analisar e, em seguida, você deve selecionar um aprovador.
      Avaliação de riscos
      Método Método para avaliar risco:
      • Selecionar classificação de risco: Selecione a classificação de risco associada a esta exceção de política.
      • Fazer avaliação de risco: Faça uma avaliação de risco para calcular a classificação de risco.
        Nota:
        Esta opção está disponível somente quando o plug-in GRC: Risco avançado está instalado.

      A avaliação de risco pode ser acionada clicando em Avalie o risco no formulário. Este botão está disponível somente quando Faça a avaliação de risco está selecionado.
      Classificação de risco Classificação de risco conforme determinado pela avaliação de risco realizada na exceção à política.

      Se você tivesse selecionado Selecione a classificação de risco na Método e, em seguida, você pode selecionar um valor na lista. Se você selecionar Faça a avaliação de risco na Método este campo é preenchido automaticamente com a resposta fornecida na avaliação de risco.
      Substituir Opção a ser substituída Classificação de risco que foi preenchido automaticamente com base nas respostas fornecidas para a avaliação de risco. Este campo será exibido se Método é Faça a avaliação de risco opção.
      Descrição do risco Descrição do risco conforme realizado pelo gerente de risco durante a avaliação de risco.
      Análise de risco e impacto Detalhes sobre a probabilidade de ocorrência desse risco e os impactos residuais desse risco na exceção à política.
      Plano de mitigação de risco Plano de mitigação de riscos para esta exceção de política.
      Comentários
      Anotações de trabalho As anotações de trabalho podem ser usadas por revisores e aprovadores de exceção para compartilhar informações sobre a exceção.
      Comentários adicionais Esses comentários são usados pelo revisor para comunicar informações adicionais ao solicitante da exceção.
      Confidencialidade
      Confidencial Opção para habilitar a confidencialidade do registro. Somente usuários confidenciais atribuídos ou grupos confidenciais de usuários podem acessar o registro.

      Para obter mais informações sobre a opção confidencial, consulte Sinalizador de confidencialidade para registros de auditoria e conformidade .
      Nota:
      Em versões anteriores à versão 10,1, o. Avaliação de risco a lista relacionada foi chamada Análise de impacto nos negócios E exigiam que o GRC: Gestão de riscosa aplicação será ativada. A partir da versão 10,1, a dependência em Gestão de riscosfoi removido e os nomes dos campos associados foram alterados.

      Extensões aprovadas , Extensões restantes , Data de aprovação , Data de extensão , Motivo da extensão , Original válido até os campos aparecem somente quando você solicitou uma extensão na exceção de política e foi aprovado pelo aprovador.

      Em relação à associação m2m de um problema com exceções de política, há certas considerações que você deve saber sobre os valores preenchidos no Problema campo, Objetivo de controle E na guia de controle impactado:
      1. Se você selecionar um problema no Tipo de origem e, em seguida, o. Problema o campo de referência lista problemas que têm um ou mais controles ativos associados a eles. Os controles ativos são aqueles nos estados de atestado, revisão ou monitoramento e não estão nos estados Rascunho ou Descontinuado. Você pode navegar até a guia Controles afetados para exibir os controles associados ao problema.
      2. Se o problema estiver vinculado a apenas um objetivo de controle, esse objetivo de controle vinculado será preenchido no Objetivo de controle campo de referência. Se a ocorrência estiver vinculada a mais de um objetivo de controle, nenhum valor será preenchido em Objetivo de controle campo. Clique em Objetivo de controle campo de referência para selecionar um objetivo de controle.
      3. Se você não selecionou um problema em Problema , mas um objetivo de controle é preenchido no Objetivo de controle Campo de referência, em seguida, o campo de referência do problema listará somente as ocorrências vinculadas a este objetivo de controle.
      4. Assim que você adicionar um problema no Problema E, em seguida, todos os controles vinculados ao problema são adicionados na guia Controles afetados. No entanto, quando você seleciona um objetivo de controle no Objetivo de controle E, em seguida, todos os controles listados na guia Controles impactados serão substituídos somente pelos controles vinculados ao objetivo de controle selecionado e ao problema. Os controles podem estar em qualquer estado, mas não no estado Rascunho ou Descontinuado.
      5. Um controle afetado vinculado a um problema de uma exceção de política não será listado para você adicionar outra exceção de política porque esse controle já está listado na guia Controle afetado da primeira exceção de política. Se você adicionar mais controles ao problema posteriormente e quando vincular o problema à segunda exceção de política, todos os controles recém-adicionados serão adicionados como controles afetados, mas não o que já foi adicionado como controle afetado da primeira exceção de política.
    4. Salve a exceção à política.
      A exceção à política está em Novo estado.
    5. Clique em Aprovação da solicitação botão.
      Se as regras de verificação estiverem configuradas, as aprovações de verificação serão acionadas. Depois que as aprovações de verificação são aprovadas, a exceção à política passa para o estado Analisar.

      Após a exceção à política ser aprovada e se o. Válido até a data for atingida e o estado será movido para Encerrado e o subestado se move para Expirado .

      Você também pode retirar a exceção à política a qualquer momento antes que a exceção à política seja aprovada, se não for mais necessária, diretamente do Novo estado.

    6. Para retirar a exceção à política, clique em Solicitação de cancelamento botão.
      O estado é movido para Encerrado e o subestado para Cancelado .

    O que Fazer Depois

    Como solicitante, você pode solicitar extensões para uma exceção de política que esteja no estado Aprovado mais de uma vez. Configure o. Number of extensions allowed for a policy exceptionpropriedade para solicitar a extensão da política várias vezes.

    Para configurar a propriedade, consulte Configure o número de extensões permitidas para uma exceção de política .

    Para solicitar extensão, clique em Solicitar extensão e Insira os detalhes no pop-up Solicitar extensão .

    Clique em Solicitar. Você pode ver os detalhes da extensão da política em Guia Programação do formulário Exceção à política depois que o solicitante solicitou uma extensão e a extensão da política foi aprovada pelo aprovador.