정책 예외 요청

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기4분

    • 사용자는 예외가 적용될 시스템, 애플리케이션, 네트워크 또는 엔터티의 특정 목록에 예외 사유를 지정하여 정책, 통제 목표 또는 문제에 대한 예외를 요청할 수 있습니다. 또한 예외가 필요한 기간도 지정해야 합니다.

    시작하기 전에

    필요한 역할: sn_grc.business_user, sn_grc.business_user_lite

    이 태스크 정보

    예외는 특수한 상황으로 인해 규정 준수 요구 사항을 충족할 수 없는 사용자에게 일시적인 구제를 제공합니다. 예를 들어 OS 공급업체가 패치를 릴리스한 후 48시간 이내에 모든 중요한 OS 서버에 패치를 적용해야 한다고 규정하는 컨트롤을 사용자가 충족할 수 없는 경우입니다.

    프로시저

    1. 다음으로 이동 모두 > 정책 및 규정 준수 > 사용자 정책 예외레이블이 표시됩니다.
    2. 새로 만들기를 클릭합니다.
    3. 양식의 필드에 내용을 입력합니다.
      표 1. 정책 예외 양식
      필드 설명
      번호 고유 식별 번호입니다.
      요청자 정책 예외를 요청하는 사람입니다(일반적으로 통제 소유자).
      승인 그룹 준수 관리자 역할이 있는 그룹입니다. 정책 예외가 검토 상태에 도달하면 승인 그룹을 편집할 수 없습니다.

      승인 그룹을 제공하지 않으면 필드는 기본적으로 준수 관리자로 설정됩니다. 준수 관리자는 GRC와 통합된 업스트림 애플리케이션에서 정책 예외가 발생하는 경우 기본 역할입니다. 예를 들어 인시던트와 관련된 문제에 대해 정책 예외를 발생시키고 해당 문제가 GRC와 관련된 경우입니다.
      승인자 승인 그룹의 사용자입니다. 예외 정책이 분석 상태로 이동하면 승인자를 선택해야 합니다.
      상태 승인 워크플로우 내의 정책 예외 상태입니다.
      하위 상태 승인 워크플로우 내 정책 예외의 승인 하위 상태입니다.
      우선순위 이 정책 예외의 승인 우선순위
      감시 목록 요청이 업데이트될 때 알림을 받는 사용자입니다.
      이름 정책 예외의 고유한 이름입니다.
      이유 정책 예외를 요청하는 이유입니다. 요청자는 정책 예외가 승인될 때까지 이유를 변경할 수 있습니다.
      근거 정책 예외에 대한 설명입니다. 근거는 의견 탭의 추가 의견 필드에도 표시됩니다.
      소스
      소스 유형 만들려는 정책 예외의 유형입니다. 옵션은 다음과 같습니다.
      • 정책: 정책에 따라 정책 예외를 만듭니다.
      • 통제 목표: 기본값은 정책 예외가 생성되는 단일 통제 목표입니다.

        통제 목표를 선택하면 통제 목표와 연결된 통제를 선택할 수 있는영향을 받는 통제 탭이 나타납니다.

      • 통제: 여러 통제에 대한 정책 예외를 생성하는 옵션입니다.

        통제를 선택하여 서로 다른 통제 목표의 여러 통제를 연결합니다. 이 옵션은 여러 통제에 적용할 수 있는 여러 정책 예외를 만드는 대신 정책 예외에 대한 여러 통제 목표를 지원합니다.

      • 문제: 이 정책 예외와 관련된 문제입니다.
      컨트롤 목적 이 정책 예외와 연관된 통제 목표.
      문제 이 정책 예외와 관련된 문제입니다.
      대상 기록 정책 예외가 적용되는 대상 기록 테이블입니다. 이 테이블은 정책 예외 통합 레지스트리 양식의 정책 예외 대상 테이블 필드에서도 참조됩니다.
      위험 평가
      위험 등급 정책 예외에 대해 수행된 위험 평가에 따라 결정된 위험 등급을 선택합니다.
      위험 설명 위험 평가 중 위험 관리자가 수행한 위험에 대한 설명입니다.
      위험 및 영향 분석 이 위험이 발생할 가능성과 정책 예외에 대한 이 위험의 잔여 영향에 대한 상세 정보입니다.
      위험 완화 계획 이 정책 예외에 대한 위험 완화 계획입니다.
      일정
      유효 기간(시작) 정책 예외가 시작되는 날입니다.
      유효 기간(종료) 정책 예외가 종료되는 날입니다.

      유효 기간(종료) 날짜는 유효 기간(시작) 날짜보다 이후여야 하며 이전 날짜일 수 없습니다.
      지속 시간 유효 기간(시작)과 유효 기간(종료) 날짜 사이의 일 수입니다.
      승인된 연장 지금까지 요청되어 연장이 승인된 횟수입니다.
      나머지 연장 앞으로 연장을 요청할 수 있는 횟수입니다.

      남은 연장 = 속성의 Number of extensions allowed for a policy exception 값 – 승인된 연장 수입니다.
      작성됨 정책 예외를 요청한 날짜입니다.
      승인된 날짜 요청이 승인된 날짜입니다.
      연장 날짜 요청된 연장 날짜로, 유효 기간(종료 ) 날짜 이후입니다.
      연장 이유 연장 이유입니다.
      원본 유효 기간(끝) 정책 예외가 처음에 요청되고 승인된 종료 날짜입니다. 원래 유효 기간(종료 ) 날짜는 연장이 승인된 경우에만 채워집니다.
      설명
      작업 메모 예외 검토자와 승인자는 예외에 대한 정보를 공유하기 위해 작업 메모를 사용할 수 있습니다.
      추가 설명 이러한 의견은 검토자가 예외 요청자에게 추가 정보를 전달하는 데 사용됩니다.
      기밀성
      기밀 기록의 기밀성을 활성화하는 옵션입니다. 할당된 기밀 사용자 또는 기밀 사용자 그룹만 기록에 액세스할 수 있습니다.

      기밀 옵션에 대한 자세한 내용은 감사 및 규정 준수 기록에 대한 기밀성 플래그를 참조하세요.
      주:
      버전 10.1 이전 버전에서는 위험 평가 탭을 Business Impact Analysis 라고 하며 GRC: 위험 관리 애플리케이션을 활성화해야 했습니다. 버전 10.1부터 에 대한 종속성이 위험 관리 제거되고 연관된 필드 이름이 변경되었습니다.

      승인된 연장,나머지 연장, 승인된 날짜, 연장 날짜, 연장 이유, 원래 유효 기간 필드 는 정책 예외에 대한 연장을 요청하고 승인자의 승인을 받은 경우에만 나타납니다.

    4. 정책 예외를 저장합니다.
    5. 정책 예외에 대한 다양한 유형의 정보를 보려면 탭을 클릭하십시오
    6. 업데이트를 클릭합니다.