Demander une exception de politique

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 5 minutes de lecture

    • Les utilisateurs peuvent demander des exceptions pour des politiques, des objectifs de contrôle ou des problèmes en spécifiant le motif de l’exception sur une liste particulière de systèmes, d’applications, de réseaux ou d’entités auxquels l’exception s’appliquera. L’utilisateur doit également spécifier la durée pendant laquelle l’exception est requise.

    Avant de commencer

    Rôle requis : sn_grc.business_user, sn_grc.business_user_lite

    Pourquoi et quand exécuter cette tâche

    Les exceptions offrent un soulagement temporaire aux utilisateurs qui ne sont pas en mesure de répondre aux exigences de conformité en raison de situations extraordinaires. Par exemple, si l’utilisateur n’est pas en mesure de répondre à un contrôle qui stipule que tous les serveurs de système d’exploitation critiques doivent être corrigés dans les 48 heures suivant la publication des correctifs par le fournisseur du système d’exploitation.

    Procédure

    1. Accédez à la Tous > Politique et Conformité > Mes exceptions de politique.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 1. Formulaire d’exception de politique
      Champ Description
      Numéro Numéro d’identification unique.
      Demandeur Personne demandant l’exception de politique, généralement le propriétaire du contrôle.
      Groupe d'approbation Groupe disposant du rôle de gestionnaire de conformité. Vous ne pouvez pas modifier le groupe d’approbation si l’exception de politique atteint l’état Réviser.

      Si vous ne fournissez pas de groupe d’approbation, le champ est défini par défaut sur Gestionnaire de conformité. Le rôle de gestionnaire de conformité est le rôle par défaut si l’exception de politique est levée à partir d’une application en amont intégrée à GRC. Par exemple, si vous émettez une exception de politique pour un problème lié à un incident et que ce problème est lié à GRC.
      Approbateur Utilisateur du groupe d’approbation. Si la politique d’exception passe à l’état Analyser , vous devez sélectionner un approbateur.
      État État de l’exception de politique dans le workflow d’approbation.
      Sous-état Sous-état d’approbation de l’exception de politique dans le workflow d’approbation.
      Priorité Priorité d’approbation de cette exception de politique
      Liste de surveillance Utilisateurs notifiés lorsque la demande est mise à jour.
      Nom Nom unique de l’exception de politique.
      Motif Motif de la demande d’exception de politique. Le demandeur peut modifier le motif jusqu’à ce que l’exception de politique soit approuvée.
      Justification Énoncé des explications de l’exception de politique. La justification est également affichée dans le champ Commentaires supplémentaires de l’onglet Commentaires .
      Source
      Type de source Type d’exception de politique que vous souhaitez créer. Les options sont les suivantes :
      • Politique : créez une exception de politique basée sur une politique.
      • Objectif de contrôle : par défaut, il s’agit d’un objectif de contrôle unique sur lequel l’exception de politique est créée.

        Lorsque vous sélectionnez un objectif de contrôle, l’ongletContrôles impactés s’affiche, dans lequel vous pouvez sélectionner les contrôles associés à l’objectif de contrôle.

      • Contrôles : option permettant de créer une exception de politique sur plusieurs contrôles.

        Sélectionnez Contrôle pour associer plusieurs contrôles à partir d’objectifs de contrôle différents. Cette option prend en charge plusieurs objectifs de contrôle pour votre exception de politique, au lieu de créer plusieurs exceptions de politique qui pourraient être appliquées à plusieurs contrôles.

      • Problème : problème associé à cette exception de politique.
      Objectif du contrôle Objectif du contrôle associé à cette exception de politique.
      Problème Problème associé à cette exception de politique.
      Enregistrement cible Table d’enregistrement cible à laquelle l’exception de politique est appliquée. Cette table est également référencée dans le champ Table cible des exceptions de politique du formulaire Registre d’intégration des exceptions de politique.
      Évaluation des risques
      Cote de risque Sélectionnez la cote de risque telle que déterminée par l’évaluation des risques effectuée sur l’exception de politique.
      Description du risque Description du risque telle qu’exécutée par le gestionnaire des risques au cours de l’évaluation des risques.
      Analyse du risque et de l'impact Détails sur la probabilité de survenue de ce risque et les impacts résiduels de ce risque sur l’exception de politique.
      Plan d'atténuation des risques Plan d’atténuation des risques pour cette exception de politique.
      Programmation
      Date de début de validité Jour de début de l’exception de politique.
      Date de fin de validité Jour de fin de l’exception de politique.

      La date de fin de validité doit être postérieure à la date de début de validité et ne peut pas être une date antérieure.
      Durée Nombre de jours entre les dates de début et defin de validité .
      Extensions approuvées Nombre de fois où des extensions ont été demandées jusqu’à présent et ont été approuvées.
      Extensions restantes Nombre de fois où des extensions pourront être demandées à l’avenir.

      Extensions restantes = Valeur de la Number of extensions allowed for a policy exception propriété – Nombre d’extensions approuvées.
      Créé Date à laquelle l’exception de politique a été demandée.
      Dates d'approbation Date à laquelle la demande a été approuvée.
      Date de report Date d’extension demandée, qui est postérieure à la date de fin de validité .
      Motif de l'extension Motif de la prolongation.
      Date de fin de validité d'origine Date jusqu’à laquelle l’exception de politique a été initialement demandée et approuvée. La date de fin de validité d’origine n’est renseignée que lorsque l’extension est approuvée.
      Commentaires
      Notes de travail Les notes de travail peuvent être utilisées par les réviseurs et les approbateurs d’exceptions pour partager des informations sur l’exception.
      Commentaires supplémentaires Ces commentaires sont utilisés par le réviseur pour communiquer des informations supplémentaires au demandeur d’exception.
      Confidentialité
      Confidentiel Option permettant d’activer la confidentialité de l’enregistrement. Seuls les utilisateurs confidentiels affectés ou les groupes d’utilisateurs confidentiels peuvent accéder à l’enregistrement.

      Pour plus d’informations sur l’option Confidentiel, consultez Marqueur de confidentialité pour les enregistrements d’audit et de conformité.
      Remarque :
      Dans les versions antérieures à la version 10.1, l’onglet Évaluation des risques s’appelait Business Impact Analysis et nécessitait l’activation de l’application GRC. Gestion des risques À partir de la version 10.1, la dépendance à a Gestion des risques été supprimée et les noms de champs associés ont changé.

      Les champs Extensions approuvées, Extensions restantes, Date d’approbation, Date de prolongation, Motif de l’extension et Datede fin de validité d’origine s’affichent uniquement lorsque vous avez demandé une extension sur l’exception de politique et qu’elle a été approuvée par l’approbateur.

    4. Enregistrez l’exception de politique.
    5. Cliquez sur l’un des onglets pour afficher les différents types d’informations de l’exception de politique
    6. Cliquez sur Mettre à jour.