Integração de exceção de política com Resposta a vulnerabilidades

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 5 min. de leitura

    • A partir da versão 10,1, você pode solicitar exceções de política usando GRC capacidade de gestão de exceções de política inerente ao Gestão de políticas e conformidade aplicação na versão 10,3 do Resposta a vulnerabilidades aplicação.

    Benefícios de usar a integração de exceção de política

    Solicitando exceções usando a integração de exceção à política com Gestão de políticas e conformidade fornece os seguintes benefícios:
    • Execute avaliações para coletar informações adicionais sobre as solicitações.
    • Solicitar exceções com base em uma política ou objetivo de controle específico. Esta ação mostra os efeitos na conformidade quando uma exceção é aprovada.
    • Configure aprovações a serem acionadas automaticamente com base na classificação de risco, na política ou no objetivo de controle associado à exceção de política.

    Como a integração de exceção à política funciona

    O cenário descrito aqui pressupõe que uma vulnerabilidade foi identificada em seu sistema e o responsável pela correção determinou que um patch de software é necessário. O patch não foi totalmente testado e o proprietário está solicitando uma exceção de política para adiar a implantação do patch até que o teste seja concluído.
    O diagrama a seguir ilustra as etapas executadas pelo gerente de conformidade e pelo responsável pela correção em cada uma das aplicações.
    Figura 1. Integração de exceção à política
    Fluxo de trabalho de integração de exceção à política
    Nota:
    O usuário de negócios de GRC (sn_grc.business_user) ou usuário de negócios – lite (sn_grc.business_user_lite) é a função mínima necessária para gerar uma exceção de política de uma aplicação ascendente.
    1. Quando o. Resposta a vulnerabilidades A aplicação foi instalada, dois registros de integração de exceção de política são criados automaticamente e adicionados ao Registro de integração, um para um grupo de vulnerabilidades e outro para um item vulnerável.
      Figura 2. Registro de integração de exceção à política
      Registro de integração de exceção à política.
      Para configurar o registro de item vulnerável, o gerente de conformidade executa as etapas a seguir.
      1. Identifica o mapeamento de tabelas usadas para integrar as duas aplicações .
      2. Define os motivos para solicitar exceções .
      3. (opcionalmente) Define categorias de política para filtrar políticas
      4. (opcionalmente) Cria um ou mais questionários a ser enviado ao solicitante para coletar informações adicionais sobre a solicitação de exceção à política.
    2. O gerente de conformidade também define opcional regras de verificação e. regras de aprovação para automatizar o processo de obter aprovações para a exceção de política.
    3. Em Resposta a vulnerabilidades, o responsável pela correção Solicite uma exceção usando Gestão de políticas e conformidade para GRC .
    4. Se uma regra de verificação foi definida para a aplicação, os aprovadores designados serão notificados de que sua aprovação é necessária. Se algum campo na solicitação de exceção à política não tiver sido preenchido pelo solicitante (por exemplo, o objetivo da política ou do controle), esses campos se tornarão obrigatórios para os aprovadores. Quando os aprovadores revisam, concluem e aprovam a solicitação, ela muda para o estado Analisar e é atribuída ao gerente de conformidade para análise e aprovação adicionais.
    5. Em Gestão de políticas e conformidade, o gerente de conformidade recebe a solicitação aprovada e atribui uma classificação de risco à solicitação de exceção de política no Avaliação de risco .
      Figura 3. Solicitação de exceção à política na guia Avaliação de risco
      Avaliação de riscos

      Quando o registro de exceção à política é salvo, as informações no Origem , incluindo a aplicação de origem e o registro de origem, bem como informações no Itens vulneráveis a lista relacionada é preenchida automaticamente. O gerente de conformidade agora tem acesso a todos os dados necessários para revisar e aprovar a exceção de política.

    6. Em Gestão de políticas e conformidade, o gerente de conformidade executa a avaliação de exceção, se as avaliações foram configuradas . Quando a avaliação é concluída, o gerente de conformidade retorna ao Avaliação de risco e atualiza o. Classificação de risco com base nas descobertas da avaliação, se necessário. O gerente de conformidade também preenche os seguintes campos com informações coletadas durante a avaliação.
      Tabela 1. Guia Avaliação de risco
      Campo Descrição
      Descrição do risco Forneça detalhes sobre o risco associado a esta exceção de política.
      Análise de risco e impacto Forneça detalhes sobre sua análise do risco e impacto na exceção de política.
      Plano de mitigação de risco Forneça detalhes sobre o plano de mitigação associado a esta exceção de política.
    7. Se a exceção à política não tiver informações, o gerente de conformidade poderá clicar em Solicitar mais informações e adicione comentários para identificar o tipo de dados necessários. O solicitante é notificado e fornece as informações solicitadas.
    8. Como opção, o gerente de conformidade pode enviar a exceção de política para uma revisão interna adicional antes de aprová-la clicando em Solicitar revisão .
      Nota:
      Antes de solicitar uma revisão, certifique-se de que a lista relacionada Controles afetados contenha os controles afetados pela exceção à política. Basta abrir a lista relacionada e clicar em Adicionar e selecione os controles.
    9. Se a exceção à política for de um risco particularmente alto e o gerente de conformidade acreditar que a aprovação deve vir de alguém superior na organização (por exemplo, o CIO), o gerente de conformidade poderá clicar em Aprovação da solicitação .
      Caso contrário, a aprovação será realizada nos seguintes cenários.
      Regra de aprovação definida Efeito na aprovação
      Se uma regra de aprovação não foi definida para Resposta a vulnerabilidades Selecionando Aprovado faz com que a exceção à política seja aprovada.
      Se uma regra de aprovação foi definida , mas o. Acionamento automático a caixa de seleção não foi marcada Você pode clicar em Aprovação da solicitação para enviar a exceção à política para os usuários ou grupos definidos na regra. Por exemplo, uma regra de aprovação pode indicar que, quando a exceção à política é baseada em uma política específica, um determinado conjunto de usuários ou grupos é notificado de que precisam fornecer aprovação para a exceção à política. Ou, uma regra de aprovação pode ser definida para que qualquer exceção de política com uma classificação de risco Crítica seja enviada automaticamente para um determinado conjunto de aprovadores.

      O número de aprovadores necessários para aprovar a exceção à política depende da configuração no Aprovação necessária campo na regra.

      Você também pode clicar em Aprovar para aprovar você mesmo a exceção à política.
      Se uma regra de aprovação foi definida, e o. Acionamento automático a caixa de seleção foi marcada Clicando em Aprovar o botão faz com que a regra de aprovação seja executada e a exceção à política seja enviada automaticamente para os usuários ou grupos definidos pela regra para aprovação. O gatilho automático faz com que esta etapa seja obrigatória. Quando as aprovações são recebidas, a exceção à política entra em vigor.
    10. Em Resposta a vulnerabilidades, depois que as aprovações são recebidas, a exceção à política se torna ativa e a atividade de patch no item vulnerável é adiada até que a exceção à política expire. Quando o. Válido até A data é atingida, a exceção à política expira e o estado do item vulnerável muda de Adiado para Aberto.