Fordern Sie eine Richtlinienausnahme mit an Compliance Workspace

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 7 Minuten Lesedauer

    • Verwenden Sie Compliance WorkspaceZum anfordern von Ausnahmen für Richtlinien, Kontrollziele oder Probleme, indem der Grund der Ausnahme in einer bestimmten Liste der Systeme, Anwendungen, Netzwerke oder Entitäten angegeben wird, für die die Ausnahme gilt. Sie müssen auch die Dauer angeben, für die die Ausnahme erforderlich ist.

    Vorbereitungen

    Erforderliche Rolle: sn_grc.Business_user , sn_grc.business_user_lite

    Warum und wann dieser Vorgang ausgeführt wird

    Ausnahmen bieten eine vorübergehende Erleichterung, wenn Sie die Compliance-Anforderungen aufgrund außergewöhnlicher Situationen nicht erfüllen können. Sie können beispielsweise keine Kontrolle erfüllen, die vorschreibt, dass alle kritischen Betriebssystemserver innerhalb von 48 Stunden nach der Veröffentlichung von Patches durch den BS-Lieferanten gepatcht werden müssen.

    Hinweis:
    Weitere Informationen zu Richtlinienausnahmen finden Sie unter Verwalten Sie Richtlinienausnahmen und -Erweiterungen.

    Prozedur

    1. Navigieren zu Alle > Richtlinien und Compliance > Compliance-Arbeitsbereichan.
    2. Klicken Sie Auf Richtlinienausnahme In Erstellen Liste.
    3. Füllen Sie im Formular die Felder aus.
      Tabelle : 1. Formular „neue Richtlinienausnahme“ erstellen
      Feld Beschreibung
      Nummer Eindeutige Identifikationsnummer.
      Name Name der Richtlinienausnahme.
      Anfordernde Person Person, die die Richtlinienausnahme anfordert, normalerweise der Kontrollbesitzer.
      Grund Grund für die Anforderung der Richtlinienausnahme. Die anfordernde Person kann den Grund ändern, bis die Richtlinienausnahme genehmigt wurde.
      Kurzbeschreibung Beschreibung für die Anforderung der Richtlinienausnahme.
      Status Status der Richtlinienausnahme im Genehmigungs-Workflow.
      Substatus Genehmigungssubstatus der Richtlinienausnahme im Genehmigungs-Workflow.
      Priorität Genehmigungspriorität dieser Richtlinienausnahme
      Begründung Nachweis oder Begründung für die Richtlinienausnahme.
      Quelle
      Quelltyp Typ der Richtlinienausnahme, die Sie erstellen möchten. Die Optionen sind:
      • Richtlinie: Erstellen Sie eine Richtlinienausnahme basierend auf einer Richtlinie.
      • Kontrollziel: Standard ist ein einzelnes Kontrollziel, für das die Richtlinienausnahme erstellt wird.

        Wenn Sie ein Kontrollziel auswählen, wird Betroffene Steuerungen Die Registerkarte wird angezeigt, auf der Sie Steuerungen auswählen können, die dem Kontrollziel zugeordnet sind.

      • Steuerungen: Option zum Erstellen einer Richtlinienausnahme für mehrere Steuerungen.

        Wählen Sie Aus Steuerung Dient zum Zuordnen mehrerer Steuerungen aus verschiedenen Kontrollzielen. Diese Option unterstützt mehrere Steuerungsziele für Ihre Richtlinienausnahme, anstatt mehrere Richtlinienausnahmen zu erstellen, die auf mehrere Steuerungen angewendet werden könnten.

      • Problem: Problem, das dieser Richtlinienausnahme zugeordnet ist.
      Richtlinie Richtlinie, für die die Ausnahme erstellt wird.
      Kontrollziel Kontrollziel, das dieser Richtlinienausnahme zugeordnet ist.
      Problem Problem, das dieser Richtlinienausnahme zugeordnet ist.
      Zieldatensatz Zieldatensatztabelle, auf die die Richtlinienausnahme angewendet wird. Auf diese Tabelle wird auch in verwiesen Zieltabelle für Richtlinienausnahme Feld des Registrierungsformulars für die Integration von Richtlinienausnahmen.
      Zeitplan
      Gültig ab Tag, an dem die Richtlinienausnahme beginnt.
      Gültig bis Tag, an dem die Richtlinienausnahme endet. „Gültig bis“-Datum muss nach dem „gültig ab“-Datum liegen und darf nicht in der Vergangenheit liegen.
      Dauer Anzahl der Tage zwischen Gültig ab Und Gültig bis Daten.
      Genehmigte Verlängerungen Anzahl der Verlängerungen, die bisher angefordert und genehmigt wurden.
      Verbleibende Verlängerungen Anzahl der Verlängerungen, die in der Zukunft angefordert werden können. Verbleibende Erweiterungen = Wert in Number of extensions allowed for a policy exceptionEigenschaft: Anzahl der genehmigten Erweiterungen .
      Erstellt Datum, an dem die Richtlinienausnahme angefordert wurde.
      Genehmigungsdatum Datum, an dem die Ausnahme genehmigt wurde.
      Erweiterungsdatum Angefordertes Verlängerungsdatum, das nach liegt Gültig bis Datum.
      Verlängerungsgrund Grund für Verlängerung.
      Original gültig bis Datum, bis zu dem die Richtlinienausnahme ursprünglich angefordert und genehmigt wurde. Das Original Gültig bis Das Datum wird nur ausgefüllt, wenn die Erweiterung genehmigt wird.
      Zuweisung
      Beobachtungsliste Anwender, die benachrichtigt werden, wenn die Anforderung aktualisiert wird.
      Genehmigungsgruppe Gruppe mit der Rolle „Compliance-Manager“. Wenn die Richtlinienausnahme den Status „Überprüfen“ erreicht, können Sie die Genehmigungsgruppe nicht bearbeiten.

      Wenn Sie keine Genehmigungsgruppe angeben, wird das Feld standardmäßig auf Compliance-Manager festgelegt. Compliance-Manager ist die Standardrolle, wenn die Richtlinienausnahme aus einer vorgelagerten Anwendung ausgelöst wird, die in GRC integriert ist. Beispiel: Wenn Sie eine Richtlinienausnahme für ein Problem ausstellen, das sich auf einen Incident bezieht und dieses Problem auf GRC bezieht.
      Genehmigende Person Anwender aus der Genehmigungsgruppe. Wenn die Ausnahmenrichtlinie zu verschoben wird Analysieren status, dann müssen Sie einen Genehmiger auswählen.
      Risikobewertung
      Methode Methode zum Bewerten des Risikos:
      • Risikobewertung auswählen: Wählen Sie die Risikobewertung aus, die dieser Richtlinienausnahme zugeordnet ist.
      • Risikobewertung durchführen: Führen Sie eine Risikobewertung durch, um die Risikobewertung zu berechnen.
        Hinweis:
        Diese Option ist nur verfügbar, wenn das Plugin „GRC: Erweitertes Risiko“ installiert ist.

      Die Risikobewertung kann durch Klicken auf ausgelöst werden Bewerten Sie das Risiko Schaltfläche im Formular. Diese Schaltfläche ist nur verfügbar, wenn Nehmen Sie eine Risikobewertung vor Ist ausgewählt.
      Risikobewertung Risikobewertung, die durch die für die Richtlinienausnahme durchgeführte Risikobewertung bestimmt wird.

      Wenn Sie ausgewählt haben Wählen Sie Risikobewertung aus Option in Methode Dann können Sie einen Wert aus der Liste auswählen. Wenn Sie auswählen Nehmen Sie eine Risikobewertung vor Option in Methode Feld, dann wird dieses Feld automatisch mit der in der Risikobewertung angegebenen Antwort ausgefüllt.
      Überschreiben Option zum Überschreiben Risikobewertung Das basierend auf den für die Risikobewertung bereitgestellten Antworten automatisch ausgefüllt wurde. Dieses Feld wird angezeigt, wenn Methode Ist Nehmen Sie eine Risikobewertung vor Option.
      Risikobeschreibung Beschreibung des Risikos, wie vom Risikomanager während der Risikobewertung ausgeführt.
      Analyse von Risiko und Auswirkung Details zur Wahrscheinlichkeit des Auftretens dieses Risikos und zu den Restrisikoauswirkungen dieses Risikos auf die Richtlinienausnahme.
      Risikominderungsplan Risikominderungsplan für diese Richtlinienausnahme.
      Kommentare
      Arbeitsnotizen Arbeitsnotizen können von Ausnahmeüberprüfern und Genehmigern verwendet werden, um Informationen zur Ausnahme freizugeben.
      Zusätzliche Anmerkungen Diese Kommentare werden vom Überprüfer verwendet, um der anfordernden Person zusätzliche Informationen zu übermitteln.
      Vertraulichkeit
      Vertraulich Option zum Aktivieren der Vertraulichkeit des Datensatzes. Nur die zugewiesenen vertraulichen Anwender oder vertraulichen Anwendergruppen können auf den Datensatz zugreifen.

      Weitere Informationen zur Option „vertraulich“ finden Sie unter Vertraulichkeitskennzeichnung für Audit- und Compliance-Datensätze .
      Hinweis:
      In Versionen vor Version 10.1, die Risikobewertung Zugehörige Liste wurde aufgerufen Geschäftsauswirkungsanalyse Und erfordert, dass die GRC: RisikomanagementAnwendung wird aktiviert. Ab Version 10.1, die Abhängigkeit von RisikomanagementWurde entfernt, und die zugehörigen Feldnamen wurden geändert.

      Genehmigte Verlängerungen , Verbleibende Erweiterungen , Genehmigungsdatum , Verlängerungsdatum , Verlängerungsgrund , Ursprünglich gültig bis Felder werden nur angezeigt, wenn Sie eine Verlängerung für die Richtlinienausnahme angefordert und vom Genehmiger genehmigt wurden.

      In Bezug auf die m2m-Zuordnung eines Problems zu Richtlinienausnahmen müssen Sie bestimmte Überlegungen zu den Werten kennen, die in ausgefüllt werden Problem Feld, Kontrollziel Feld und auf der Registerkarte „Betroffene Steuerung“:
      1. Wenn Sie ein Problem in auswählen Quelltyp Feld, dann Problem Referenzfeld listet Probleme auf, denen mindestens eine aktive Steuerung zugeordnet ist. Aktive Steuerungen sind diejenigen im status „Nachweis“, „Überprüfung“ oder „Überwachen“ und nicht im status „Entwurf“ oder „deaktiviert“. Sie können zur Registerkarte „Betroffene Steuerungen“ navigieren, um die Steuerungen anzuzeigen, die dem Problem zugeordnet sind.
      2. Wenn das Problem nur mit einem Kontrollziel verknüpft ist, wird dieses verknüpfte Kontrollziel in ausgefüllt Kontrollziel Referenzfeld. Wenn das Problem mit mehr als einem Kontrollziel verknüpft ist, wird kein Wert in ausgefüllt Kontrollziel Feld. Klicken Sie auf Kontrollziel Referenzfeld zum Auswählen eines Kontrollziels.
      3. Wenn Sie kein Problem in ausgewählt haben Problem Feld, aber ein Kontrollziel ist in ausgefüllt Kontrollziel Referenzfeld, dann listet das Problemreferenzfeld nur die Probleme auf, die mit diesem Kontrollziel verknüpft sind.
      4. Sobald Sie ein Problem in hinzufügen Problem Feld, dann werden alle mit dem Problem verknüpften Steuerungen auf der Registerkarte „Betroffene Steuerungen“ hinzugefügt. Wenn Sie jedoch ein Kontrollziel in auswählen Kontrollziel Referenzfeld, dann werden alle auf der Registerkarte „Betroffene Steuerungen“ aufgeführten Steuerungen durch nur die Steuerungen ersetzt, die mit dem ausgewählten Kontrollziel und dem Problem verknüpft sind. Steuerungen können sich in einem beliebigen Status befinden, aber nicht im Status „Entwurf“ oder „stillgelegt“.
      5. Ein betroffenes Steuerelement, das mit einem Problem einer Richtlinienausnahme verknüpft ist, wird nicht aufgelistet, damit Sie es in einer anderen Richtlinienausnahme hinzufügen können, da dieses Steuerelement bereits auf der Registerkarte „Betroffene Steuerung“ der ersten Richtlinienausnahme aufgeführt ist. Wenn Sie dem Problem später weitere Steuerungen hinzufügen und das Problem mit der zweiten Richtlinienausnahme verknüpfen, werden alle neu hinzugefügten Steuerungen als betroffene Steuerungen hinzugefügt, nicht jedoch als betroffene Steuerungen der ersten Richtlinienausnahme.
    4. Speichern Sie die Richtlinienausnahme.
      Die Richtlinienausnahme befindet sich in Neu status.
    5. Klicken Sie auf Genehmigung anfordern Schaltfläche.
      Wenn Verifizierungsregeln konfiguriert sind, werden Verifizierungsgenehmigungen ausgelöst. Nachdem die Verifizierungsgenehmigungen genehmigt wurden, wird die Richtlinienausnahme in den Status „Analysieren“ verschoben.

      Nachdem die Richtlinienausnahme genehmigt wurde und wenn Gültig bis Datum erreicht ist, wird der Status zu verschoben Geschlossen Und der Substatus wird zu verschoben Abgelaufen .

      Sie können die Richtlinienausnahme auch jederzeit zurückziehen, bevor die Richtlinienausnahme genehmigt wird, wenn sie nicht mehr erforderlich ist, direkt über Neu status.

    6. Klicken Sie auf, um die Richtlinienausnahme zurückzuziehen Anforderung Abbrechen Schaltfläche.
      Der Status wird in verschoben Geschlossen Und der Substatus zu Abgebrochen .

    Nächste Maßnahme

    Als anfordernde Person können Sie Verlängerungen für eine Richtlinienausnahme anfordern, die sich mehr als einmal im Status „genehmigt“ befindet. Konfigurieren Sie Number of extensions allowed for a policy exceptionEigenschaft zum mehrfachen anfordern einer Richtlinienerweiterung.

    Informationen zum Einrichten der Eigenschaft finden Sie unter Konfigurieren Sie die Anzahl der für eine Richtlinienausnahme zulässigen Erweiterungen .

    Klicken Sie auf , um eine Verlängerung anzufordern Verlängerung anfordern Schaltfläche und Geben Sie die Details im Popup „Verlängerung anfordern“ ein .

    Klicken Sie Auf Anforderung . Sie können die Details zur Richtlinienerweiterung in anzeigen Registerkarte „Zeitplan“ des Formulars „Richtlinienausnahme“ Nachdem die anfordernde Person eine Verlängerung angefordert und die Richtlinienerweiterung vom Genehmiger genehmigt wurde.