Demander une exception de politique à l’aide d' Compliance Workspace

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 8 minutes de lecture

    • Utilisez le Compliance Workspace pour demander des exceptions pour des politiques, des objectifs de contrôle ou des problèmes en spécifiant le motif de l’exception sur une liste particulière de systèmes, d’applications, de réseaux ou d’entités auxquels l’exception s’applique. Vous devez également spécifier la durée pour laquelle l’exception est requise.

    Avant de commencer

    Rôle requis : sn_grc.business_user, sn_grc.business_user_lite

    Pourquoi et quand exécuter cette tâche

    Les exceptions offrent un soulagement temporaire lorsque vous n’êtes pas en mesure de répondre aux exigences de conformité en raison de situations extraordinaires. Par exemple, vous ne pouvez pas répondre à un contrôle qui stipule que tous les serveurs de système d’exploitation critiques doivent être corrigés dans les 48 heures suivant la publication des correctifs par le fournisseur de système d’exploitation.

    Procédure

    1. Accédez à la Tous > Politique et Conformité > Espace de travail Compliance.
    2. Cliquez sur Exception de politique dans la liste Créer .
    3. Renseignez les champs du formulaire.
      Tableau 1. Formulaire Créer une exception de politique
      Champ Description
      Numéro Numéro d’identification unique.
      Nom Nom de l’exception de politique.
      Demandeur Personne demandant l’exception de politique, généralement le propriétaire du contrôle.
      Motif Motif de la demande d’exception de politique. Le demandeur peut modifier le motif jusqu’à ce que l’exception de politique soit approuvée.
      Description courte Description de la demande d’exception de politique.
      État État de l’exception de politique dans le workflow d’approbation.
      Sous-état Sous-état d’approbation de l’exception de politique dans le workflow d’approbation.
      Priorité Priorité d’approbation de cette exception de politique
      Justification Preuve ou justification de l’exception de politique.
      Source
      Type de source Type d’exception de politique que vous souhaitez créer. Les options sont les suivantes :
      • Politique : créez une exception de politique basée sur une politique.
      • Objectif de contrôle : par défaut, il s’agit d’un objectif de contrôle unique sur lequel l’exception de politique est créée.

        Lorsque vous sélectionnez un objectif de contrôle, l’onglet Contrôles impactés s’affiche, dans lequel vous pouvez sélectionner les contrôles associés à l’objectif de contrôle.

      • Contrôles : option permettant de créer une exception de politique sur plusieurs contrôles.

        Sélectionnez Contrôle pour associer plusieurs contrôles à partir d’objectifs de contrôle différents. Cette option prend en charge plusieurs objectifs de contrôle pour votre exception de politique, au lieu de créer plusieurs exceptions de politique qui pourraient être appliquées à plusieurs contrôles.

      • Problème : problème associé à cette exception de politique.
      Stratégie Politique pour laquelle l’exception est créée.
      Objectif du contrôle Objectif du contrôle associé à cette exception de politique.
      Problème Problème associé à cette exception de politique.
      Enregistrement cible Table d’enregistrement cible à laquelle l’exception de politique est appliquée. Cette table est également référencée dans le champ Table cible des exceptions de politique du formulaire Registre d’intégration des exceptions de politique.
      Programmation
      Date de début de validité Jour de début de l’exception de politique.
      Date de fin de validité Jour de fin de l’exception de politique. La date de fin de validité doit être postérieure à la date de début de validité et ne peut pas être une date antérieure.
      Durée Nombre de jours entre les dates de début et defin de validité .
      Extensions approuvées Nombre de fois où des extensions ont été demandées jusqu’à présent et ont été approuvées.
      Extensions restantes Nombre de fois où des extensions pourront être demandées à l’avenir. Extensions restantes = Valeur de la Number of extensions allowed for a policy exception propriété – Nombre d’extensions approuvées.
      Créé Date à laquelle l’exception de politique a été demandée.
      Dates d'approbation Date à laquelle l’exception a été approuvée.
      Date de report Date d’extension demandée, qui est postérieure à la date de fin de validité .
      Motif de l'extension Motif de la prolongation.
      Date de fin de validité d'origine Date jusqu’à laquelle l’exception de politique a été initialement demandée et approuvée. La datede fin de validité d’origine n’est renseignée que lorsque l’extension est approuvée.
      Affectation
      Liste de surveillance Utilisateurs notifiés lorsque la demande est mise à jour.
      Groupe d'approbation Groupe disposant du rôle de gestionnaire de conformité. Si l’exception de politique atteint l’état Révision, vous ne pouvez pas modifier le groupe d’approbation.

      Si vous ne fournissez pas de groupe d’approbation, le champ est défini par défaut sur Gestionnaire de conformité. Le rôle de gestionnaire de conformité est le rôle par défaut si l’exception de politique est levée à partir d’une application en amont intégrée à GRC. Par exemple, si vous émettez une exception de politique pour un problème lié à un incident et que ce problème est lié à GRC.
      Approbateur Utilisateur du groupe d’approbation. Si la politique d’exception passe à l’état Analyser , vous devez sélectionner un approbateur.
      Évaluation des risques
      Méthode Méthode d’évaluation des risques :
      • Sélectionner la cote de risque : sélectionnez la cote de risque associée à cette exception de politique.
      • Effectuer une évaluation des risques : effectuez une évaluation des risques pour calculer l’évaluation des risques.
        Remarque :
        Cette option n’est disponible que lorsque le module d’extension GRC : Advanced Risk est installé.

      L’évaluation des risques peut être déclenchée en cliquant sur le bouton Évaluer les risques sur le formulaire. Ce bouton n’est disponible que lorsque vous sélectionnez Effectuer une évaluation des risques .
      Cote de risque Cote de risque telle que déterminée par l’évaluation des risques effectuée sur l’exception de politique.

      Si vous aviez sélectionné l’option Sélectionner la cote de risque dans le champ Méthode , vous pouvez sélectionner une valeur dans la liste. Si vous sélectionnez l’option Prendre une évaluation des risques dans le champ Méthode , ce champ est renseigné automatiquement avec la réponse fournie dans l’évaluation des risques.
      Remplacement Option pour remplacer la cote de risque qui a été remplie automatiquement en fonction des réponses fournies pour l’évaluation des risques. Ce champ s’affiche si l’option Méthode est Évaluer les risques .
      Description du risque Description du risque telle qu’exécutée par le gestionnaire des risques au cours de l’évaluation des risques.
      Analyse du risque et de l'impact Détails sur la probabilité de survenue de ce risque et les impacts résiduels de ce risque sur l’exception de politique.
      Plan d'atténuation des risques Plan d’atténuation des risques pour cette exception de politique.
      Commentaires
      Notes de travail Les notes de travail peuvent être utilisées par les réviseurs et les approbateurs d’exceptions pour partager des informations sur l’exception.
      Commentaires supplémentaires Ces commentaires sont utilisés par le réviseur pour communiquer des informations supplémentaires au demandeur d’exception.
      Confidentialité
      Confidentiel Option permettant d’activer la confidentialité de l’enregistrement. Seuls les utilisateurs confidentiels affectés ou les groupes d’utilisateurs confidentiels peuvent accéder à l’enregistrement.

      Pour plus d’informations sur l’option Confidentiel, consultez Marqueur de confidentialité pour les enregistrements d’audit et de conformité.
      Remarque :
      Dans les versions antérieures à la version 10.1, la liste connexe d’évaluation des risques était appelée Business Impact Analysis et nécessitait l’activation de l’application GRC. Gestion des risques À partir de la version 10.1, la dépendance à a Gestion des risques été supprimée et les noms de champs associés ont changé.

      Les champs Extensions approuvées, Extensions restantes, Date d’approbation, Date d’extension, Motif de l’extension et Date de fin de validité d’origine s’affichent uniquement lorsque vous avez demandé une extension sur l’exception de politique et qu’elle a été approuvée par l’approbateur.

      En ce qui concerne l’association m2m d’un problème avec des exceptions de politique, vous devez connaître certaines considérations concernant les valeurs renseignées dans le champ Problème , le champ Objectif du contrôle et l’onglet Contrôle impacté :
      1. Si vous sélectionnez un problème dans le champ Type de source , le champ de référence du problème répertorie les problèmes associés à un ou plusieurs contrôles actifs. Les contrôles actifs sont ceux dont l’état est Attester, Examiner ou Surveiller et non l’état Brouillon ou Mis hors service. Vous pouvez accéder à l’onglet Contrôles impactés pour afficher les contrôles associés au problème.
      2. Si le problème est lié à un seul objectif de contrôle, cet objectif de contrôle lié est renseigné dans le champ de référence Objectif de contrôle . Si le problème est lié à plusieurs objectifs de contrôle, aucune valeur n’est renseignée dans le champ Objectif du contrôle . Cliquez sur le champ de référence Objectif du contrôle pour sélectionner un objectif du contrôle.
      3. Si vous n’avez pas sélectionné de problème dans le champ Problème, mais qu’un objectif de contrôle est renseigné dans le champ de référence Objectif de contrôle , le champ de référence du problème répertorie uniquement les problèmes liés à cet objectif de contrôle.
      4. Dès que vous ajoutez un problème dans le champ Problème , tous les contrôles liés au problème sont ajoutés dans l’onglet Contrôles impactés. Toutefois, lorsque vous sélectionnez un objectif de contrôle dans le champ de référence Objectif de contrôle , tous les contrôles répertoriés dans l’onglet Contrôles impactés sont remplacés uniquement par les contrôles liés à l’objectif de contrôle sélectionné et au problème. Les contrôles peuvent être dans n’importe quel état, mais pas dans l’état Brouillon ou Mis hors service.
      5. Un contrôle impacté lié à un problème d’une exception de politique ne sera pas répertorié pour que vous puissiez l’ajouter à une autre exception de politique, car ce contrôle est déjà répertorié dans l’onglet Contrôle impacté de la première exception de politique. Si vous ajoutez d’autres contrôles au problème ultérieurement et que vous liez le problème à la deuxième exception de politique, tous les contrôles nouvellement ajoutés seront ajoutés en tant que contrôles impactés, mais pas celui qui a déjà été ajouté en tant que contrôle impacté de la première exception de politique.
    4. Enregistrez l’exception de politique.
      L’exception de politique est à l’état Nouveau .
    5. Cliquez sur le bouton Demander l’approbation .
      Si des règles de vérification sont configurées, les approbations de vérification sont déclenchées. Une fois les approbations de vérification approuvées, l’exception de politique passe à l’état Analyse.

      Une fois l’exception de politique approuvée et si la date de fin de validité est atteinte, l’état passe à Fermé et le sous-état passe à Expiré.

      Vous pouvez également retirer l’exception de politique à tout moment avant que l’exception de politique ne soit approuvée, si elle n’est plus requise, directement à partir de l’état Nouveau .

    6. Pour retirer l’exception de politique, cliquez sur le bouton Annuler la demande .
      L’état passe à Fermé et le sous-état à Annulé.

    Que faire ensuite

    En tant que demandeur, vous pouvez demander plusieurs fois des extensions à une exception de politique qui est à l’état Approuvé. Configurez la propriété pour demander l’extension de la Number of extensions allowed for a policy exception politique plusieurs fois.

    Pour configurer la propriété, consultez Configurer le nombre d’extensions autorisées pour une exception de politique.

    Pour demander une extension, cliquez sur le bouton Demander une extension et saisissez les détails dans la fenêtre contextuelle Demander une extension.

    Cliquez sur Demander. Vous pouvez afficher les détails de l’extension de politique dans l’onglet Calendrier du formulaire d’exception de politique une fois que le demandeur a demandé une extension et que l’extension de politique a été approuvée par l’approbateur.