정책 예외 요청

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기3분

    • 사용자는 예외가 적용될 시스템, 애플리케이션, 네트워크 또는 엔터티의 특정 목록에 예외 이유를 지정하여 정책, 제어 목표 또는 문제에 대한 예외를 요청할 수 있습니다. 또한 사용자는 예외가 필요한 기간을 지정해야 합니다.

    시작하기 전에

    필요한 역할: sn_grc.business_user, sn_grc.business_user_lite

    이 태스크 정보

    예외는 특수한 상황으로 인해 규정 준수 요구 사항을 충족할 수 없는 사용자에게 일시적인 구제책을 제공합니다. 예를 들어 사용자가 OS 벤더가 패치를 릴리스한 후 48시간 이내에 모든 중요한 OS 서버에 패치를 적용해야 한다고 규정하는 컨트롤을 충족할 수 없는 경우입니다.

    프로시저

    1. 다음으로 이동 모두 > 정책 및 준수 > 내 정책 예외.
    2. 새로 만들기를 클릭합니다.
    3. 양식의 필드에 내용을 입력합니다.
      표 1. 정책 예외 양식
      필드 설명
      번호 고유 식별 번호입니다.
      요청자 정책 예외를 요청하는 사람(일반적으로 통제 소유자)입니다.
      승인 그룹 규정 준수 관리자 역할을 가진 그룹입니다. 정책 예외가 검토 상태에 도달하면 승인 그룹을 편집할 수 없습니다.

      승인 그룹을 제공하지 않으면 필드가 기본적으로 준수 관리자로 설정됩니다. GRC와 통합된 업스트림 애플리케이션에서 정책 예외가 발생하는 경우 준수 관리자가 기본 역할입니다. 예를 들어 인시던트와 관련이 있고 해당 문제가 GRC와 관련된 문제에 대해 정책 예외를 제기하는 경우입니다.
      승인자 승인 그룹의 사용자입니다. 예외 정책이 분석 상태로 이동하면 승인자를 선택해야 합니다.
      상태 승인 워크플로우 내 정책 예외의 상태입니다.
      하위 상태 승인 워크플로우 내에서 정책 예외의 승인 하위 상태입니다.
      우선순위 이 정책 예외의 승인 우선순위
      감시 목록 요청이 업데이트될 때 알림을 받는 사용자입니다.
      이름 정책 예외의 고유한 이름입니다.
      이유 정책 예외를 요청하는 이유입니다. 요청자는 정책 예외가 승인될 때까지 이유를 변경할 수 있습니다.
      근거 정책 예외에 대한 설명입니다. 근거는 의견 탭의 추가 의견 필드에도 표시됩니다.
      소스
      소스 유형 생성하려는 정책 예외의 유형입니다. 옵션은 다음과 같습니다.
      • 정책: 정책을 기반으로 정책 예외를 만듭니다.
      • 통제 목표: 기본값은 정책 예외가 생성되는 단일 통제 목표입니다.

        통제 목표를 선택하면영향을 받는 통제 탭이 나타나며, 여기서 통제 목표와 연관된 통제를 선택할 수 있습니다.

      • 통제: 여러 통제에서 정책 예외를 생성하는 옵션입니다.

        서로 다른 통제 목표에서 여러 통제를 연결하려면 통제 를 선택합니다. 이 옵션은 여러 통제에 적용할 수 있는 여러 정책 예외를 만드는 대신 정책 예외에 대한 여러 통제 목표를 지원합니다.

      • 문제: 이 정책 예외와 관련된 문제입니다.
      컨트롤 목적 이 정책 예외와 연관된 통제 목표입니다.
      문제 이 정책 예외와 관련된 문제입니다.
      대상 기록 정책 예외가 적용되는 대상 기록 테이블입니다. 이 테이블은 정책 예외 통합 레지스트리 양식의 정책 예외 대상 테이블 필드에서도 참조됩니다.
      위험 평가
      위험 등급 정책 예외에 대해 수행된 위험 평가에 의해 결정된 위험 등급을 선택합니다.
      위험 설명 위험 평가 중 위험 관리자가 수행한 위험에 대한 설명입니다.
      위험 및 영향 분석 이 위험의 발생 가능성과 이 위험이 정책 예외에 미치는 잔여 영향에 대한 상세 정보입니다.
      위험 완화 계획 이 정책 예외에 대한 위험 완화 계획입니다.
      일정
      유효 기간(시작) 정책 예외가 시작되는 날짜입니다.
      유효 기간(종료) 정책 예외가 종료되는 날짜입니다.

      유효 기간(종료 ) 날짜는 유효 기간(시작 ) 날짜 이후여야 하며 이전 날짜일 수 없습니다.
      지속 시간 유효한 시작 날짜와 유효한 끝 날짜 사이의 일 수입니다.
      승인된 연장 지금까지 연장을 요청하고 승인한 횟수입니다.
      나머지 연장 앞으로 연장을 요청할 수 있는 횟수입니다.

      남은 연장 = 속성의 값 Number of extensions allowed for a policy exception – 승인된 연장 수입니다.
      작성됨 정책 예외를 요청한 날짜입니다.
      승인된 날짜 요청이 승인된 날짜입니다.
      연장 날짜 유효 기간 날짜 이후인 요청된 연장 날짜입니다.
      연장 이유 연장 이유입니다.
      원본 유효 기간(끝) 정책 예외가 원래 요청되고 승인된 날짜입니다. 원래 유효 기간(종료 ) 날짜는 연장이 승인될 때만 채워집니다.
      설명
      작업 메모 작업 메모는 예외 검토자와 승인자가 예외에 대한 정보를 공유하는 데 사용할 수 있습니다.
      추가 의견 검토자는 이러한 의견을 사용하여 추가 정보를 예외 요청자에게 전달합니다.
      기밀성
      기밀 기록의 기밀성을 활성화하는 옵션입니다. 할당된 기밀 사용자 또는 기밀 사용자 그룹만 기록에 액세스할 수 있습니다.

      기밀 옵션에 대한 자세한 내용은 감사 및 규정 준수 기록에 대한 기밀성 플래그를 참조하십시오.
      주:
      버전 10.1 이전 버전에서는 위험 평가 탭을 Business Impact Analysis 라고 했으며 GRC: 위험 관리 애플리케이션을 활성화해야 했습니다. 버전 10.1부터 종속성 위험 관리 이 제거되고 연관된 필드 이름이 변경되었습니다.

      승인된 연장, 남은 연장, 승인된 날짜, 연장 날짜, 연장 사유, 원래 유효 기간 필드는 정책 예외에 대한 연장을 요청하고 승인자가 승인한 경우에만 나타납니다.

    4. 정책 예외를 저장합니다.
    5. 탭을 클릭하면 정책 예외에 대한 다양한 유형의 정보를 볼 수 있습니다
    6. 업데이트를 클릭합니다.