Integração de exceção de política com Resposta a vulnerabilidades

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 5 min. de leitura

    • A partir da versão 10,1, você pode solicitar exceções de política usando GRC capacidade de gestão de exceções de política inerente ao Gestão de políticas e conformidade aplicação na versão 10,3 do Resposta a vulnerabilidades aplicação.

    Benefícios de usar a Integração de exceção de política

    Solicitando exceções usando a integração de exceção de política com Gestão de políticas e conformidade fornece os seguintes benefícios:
    • Execute avaliações para coletar informações adicionais sobre as solicitações.
    • Solicitar exceções com base em uma política ou objetivo de controle específico. Esta ação mostra os efeitos na conformidade quando uma exceção é aprovada.
    • Configure aprovações a serem acionadas automaticamente com base na classificação de risco, na política ou no objetivo de controle associado à exceção de política.

    Como a Integração de exceção de política funciona

    O cenário descrito aqui pressupõe que uma vulnerabilidade foi identificada em seu sistema e o responsável pela correção determinou que um patch de software é necessário. O patch não foi totalmente testado e o proprietário está solicitando uma exceção de política para adiar a implantação do patch até que o teste seja concluído.
    O diagrama a seguir ilustra as etapas executadas pelo gerente de conformidade e pelo responsável pela correção em cada uma das aplicações.
    Figura 1. Integração de exceção de política
    Fluxo de trabalho de integração de exceção de política
    Nota:
    O usuário de negócios do GRC (sn_grc.business_user) ou usuário de negócios – lite (sn_grc.business_user_lite) é a função mínima necessária para gerar uma exceção de política de uma aplicação ascendente.
    1. . Resposta a vulnerabilidades A aplicação foi instalada, dois registros de integração de exceção de política são criados automaticamente e adicionados ao Registro de integração, um para um grupo de vulnerabilidades e um para um item vulnerável.
      Figura 2. Registro de integração de exceção de política
      Registro de integração de exceção de política.
      Para configurar o registro de item vulnerável, o gerente de conformidade executa as etapas a seguir.
      1. Identifica o mapeamento de tabelas usadas para integrar as duas aplicações .
      2. Define os motivos para solicitar exceções .
      3. (opcionalmente) Define categorias de política para políticas de filtragem
      4. (opcionalmente) Cria um ou mais questionários a ser enviado ao solicitante para coletar informações adicionais sobre a solicitação de exceção de política.
    2. O gerente de conformidade também define opcional regras de verificação e. regras de aprovação automatizar o processo de obter aprovações para a exceção de política.
    3. Em Resposta a vulnerabilidades o responsável pela correção Solicite uma exceção usando GRC: Gestão de políticas e conformidade .
    4. Se uma regra de verificação foi definida para a aplicação, os aprovadores designados serão notificados de que sua aprovação é necessária. Se algum campo na solicitação de exceção de política não tiver sido preenchido pelo solicitante (por exemplo, a política ou o objetivo de controle), esses campos se tornarão obrigatórios para os aprovadores. Quando os aprovadores revisam, concluem e aprovam a solicitação, ela muda para o estado Analisar e é atribuída ao gerente de conformidade para análise e aprovação adicionais.
    5. Em Gestão de políticas e conformidade, o gerente de conformidade recebe a solicitação aprovada e atribui uma classificação de risco à solicitação de exceção de política no Avaliação de risco guia.
      Figura 3. Solicitação de exceção de política na guia Avaliação de risco
      Avaliação de riscos

      Quando o registro de exceção de política é salvo, as informações no Origem , incluindo a aplicação de origem e o registro de origem, bem como informações no Itens vulneráveis as listas relacionadas são preenchidas automaticamente. Agora, o gerente de conformidade tem acesso a todos os dados necessários para revisar e aprovar a exceção de política.

    6. Em Gestão de políticas e conformidade, o gerente de conformidade executa a avaliação de exceção, se as avaliações foram configuradas . Quando a avaliação é concluída, o gerente de conformidade retorna ao Avaliação de risco e atualiza o. Classificação de risco com base nas descobertas da avaliação, se necessário. O gerente de conformidade também preenche os seguintes campos com informações coletadas durante a avaliação.
      Tabela 1. Guia Avaliação de risco
      Campo Descrição
      Descrição do risco Forneça detalhes sobre o risco associado a esta exceção de política.
      Análise de risco e impacto Forneça detalhes sobre sua análise do risco e do impacto na exceção de política.
      Plano de mitigação de risco Forneça detalhes sobre o plano de mitigação associado a esta exceção de política.
    7. Se a exceção de política não tiver informações, o gerente de conformidade poderá clicar em Solicitar mais informações e adicione comentários para identificar o tipo de dados necessários. O solicitante é notificado e fornece as informações solicitadas.
    8. Como opção, o gerente de conformidade pode enviar a exceção de política para uma revisão interna adicional antes de aprová-la clicando em Solicitar revisão .
      Nota:
      Antes de solicitar uma revisão, certifique-se de que a lista relacionada Controles afetados contenha os controles afetados pela exceção de política. Basta abrir a lista relacionada e clicar em Adicionar e selecione os controles.
    9. Se a exceção de política for de um risco particularmente alto e o gerente de conformidade acreditar que a aprovação deve vir de alguém superior na organização (por exemplo, o CIO), o gerente de conformidade poderá clicar em Aprovação da solicitação .
      Caso contrário, a aprovação será realizada nos seguintes cenários.
      Regra de aprovação definida Efeito na aprovação
      Se uma regra de aprovação não foi definida para Resposta a vulnerabilidades Selecionando Aprovado faz com que a exceção de política seja aprovada.
      Se uma regra de aprovação foi definida , mas Gatilho automático a caixa de seleção não foi marcada Você pode clicar em Aprovação da solicitação para enviar a exceção de política para os usuários ou grupos definidos na regra. Por exemplo, uma regra de aprovação pode indicar que, quando a exceção de política é baseada em uma política específica, um determinado conjunto de usuários ou grupos é notificado de que precisam fornecer aprovação para a exceção de política. Uma regra de aprovação pode ser definida para que qualquer exceção de política com uma classificação de risco Crítica seja enviada automaticamente para um determinado conjunto de aprovadores.

      O número de aprovadores necessários para aprovar a exceção de política depende da configuração em Aprovação necessária campo na regra.

      Você também pode clicar em Aprovar para aprovar a exceção de política por conta própria.
      Se uma regra de aprovação foi definida, e Gatilho automático a caixa de seleção foi marcada Clicando em Aprovar o botão faz com que a regra de aprovação seja executada e a exceção de política seja enviada automaticamente para os usuários ou grupos definidos pela regra para aprovação. O gatilho automático faz com que esta etapa seja obrigatória. Quando as aprovações são recebidas, a exceção de política entra em vigor.
    10. Em Resposta a vulnerabilidades, depois que as aprovações são recebidas, a exceção de política se torna ativa e a atividade de patch no item vulnerável é adiada até que a exceção de política expire. . Válido até A data é atingida, a exceção da política expira e o estado do item vulnerável muda de Adiado para Aberto.