Fordern Sie eine Richtlinienausnahme an

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Benutzer können Ausnahmen für Richtlinien, Kontrollziele oder Probleme anfordern, indem sie den Ausnahmegrund in einer bestimmten Liste der Systeme, Anwendungen, Netzwerke oder Entitäten angeben, für die die Ausnahme gilt. Der Benutzer muss auch die Dauer angeben, für die die Ausnahme erforderlich ist.

    Vorbereitungen

    Erforderliche Rolle: sn_grc.business_user, sn_grc.business_user_lite

    Warum und wann dieser Vorgang ausgeführt wird

    Ausnahmen bieten vorübergehende Erleichterung für Benutzer, die aufgrund von Ausnahmesituationen die Compliance-Anforderungen nicht erfüllen können. Zum Beispiel, wenn der Benutzer nicht in der Lage ist, eine Kontrolle zu erfüllen, die vorschreibt, dass alle kritischen Betriebssystemserver innerhalb von 48 Stunden nach der Veröffentlichung von Patches durch den Betriebssystemhersteller gepatcht werden müssen.

    Prozedur

    1. Navigieren zu Alle > Richtlinien und Compliance > Meine Richtlinienausnahmen.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Formular „Richtlinienausnahme“
      Feld Beschreibung
      Nummer Eindeutige Identifikationsnummer.
      Anforderer Person, die die Richtlinienausnahme anfordert, in der Regel der Kontrollbesitzer.
      Genehmigungsgruppe Gruppe mit der Compliance-Manager-Rolle. Sie können die Genehmigungsgruppe nicht bearbeiten, wenn die Richtlinienausnahme den Überprüfungsstatus erreicht.

      Wenn Sie keine Genehmigungsgruppe angeben, wird in das Feld standardmäßig Compliance-Manager übernommen. Compliance-Manager ist die Standardrolle, wenn die Richtlinienausnahme von einer vorgelagerten Anwendung ausgelöst wird, die in GRC integriert ist. Zum Beispiel, wenn Sie eine Richtlinienausnahme für ein Problem auslösen, das mit einem Incident zusammenhängt und dieses Problem mit GRC zusammenhängt.
      Genehmigende Person Benutzer aus der Genehmigungsgruppe. Wenn die Ausnahmerichtlinie in den Status Analysieren verschoben wird, müssen Sie einen Genehmiger auswählen.
      Status Status der Richtlinienausnahme innerhalb des Genehmigungs-Workflows.
      Substatus Genehmigungssubstatus der Richtlinienausnahme im Genehmigungs-Workflow.
      Priorität Genehmigungspriorität dieser Richtlinienausnahme
      Beobachtungsliste Benutzer, die benachrichtigt werden, wenn die Anforderung aktualisiert wird.
      Name Eindeutiger Name der Richtlinienausnahme.
      Grund Grund für die Anforderung der Richtlinienausnahme. Die anfordernde Person kann den Grund ändern, bis die Richtlinienausnahme genehmigt wird.
      Begründung Erklärung zur Erklärung der Richtlinienausnahme. Die Begründung wird auch im Feld Zusätzliche Kommentareder Registerkarte Kommentare angezeigt.
      Quelle
      Quelltyp Typ der Richtlinienausnahme, die Sie erstellen möchten. Die Optionen sind:
      • Richtlinie: Erstellen Sie eine Richtlinienausnahme basierend auf einer Richtlinie.
      • Kontrollziel: Standard ist ein einzelnes Kontrollziel, für das die Richtlinienausnahme erstellt wird.

        Wenn Sie ein Kontrollziel auswählen, wird die RegisterkarteBetroffene Kontrollen angezeigt, auf der Sie Kontrollen auswählen können, die dem Kontrollziel zugeordnet sind.

      • Kontrollen: Option zum Erstellen einer Richtlinienausnahme für mehrere Kontrollen.

        Wählen Sie Steuerung aus, um mehrere Steuerungen aus verschiedenen Steuerungszielen zuzuordnen. Diese Option unterstützt mehrere Steuerungsziele für Ihre Richtlinienausnahme, anstatt mehrere Richtlinienausnahmen zu erstellen, die auf mehrere Steuerungen angewendet werden können.

      • Problem: Problem, das dieser Richtlinienausnahme zugeordnet ist.
      Kontrollziel Kontrollziel, das dieser Richtlinienausnahme zugeordnet ist.
      Problem Problem, das dieser Richtlinienausnahme zugeordnet ist.
      Zieldatensatz Zieldatensatztabelle, auf die die Richtlinienausnahme angewendet wird. Auf diese Tabelle wird auch im Feld Richtlinienausnahme Zieltabelle des Formulars „Integration von Richtlinienausnahmen“ verwiesen.
      Risikobewertung
      Risikobewertung Wählen Sie die Risikobewertung aus, die durch die für die Richtlinienausnahme durchgeführte Risikobewertung bestimmt wird.
      Risikobeschreibung Beschreibung des Risikos, wie vom Risikomanager während der Risikobewertung durchgeführt.
      Analyse von Risiko und Auswirkung Details zur Wahrscheinlichkeit des Eintretens dieses Risikos und zu den Restauswirkungen dieses Risikos auf die Richtlinienausnahme.
      Risikominderungsplan Der Risikominderungsplan für diese Richtlinienausnahme.
      Zeitplan
      Gültig ab Tag, an dem die Richtlinienausnahme beginnt.
      Gültig bis Tag, an dem die Richtlinienausnahme endet.

      Gültig bis “-Datum muss nach dem „ Gültig ab “-Datum liegen und darf kein vergangenes Datum sein.
      Dauer Anzahl der Tage zwischen den Daten Gültig ab und Gültig bis.
      Genehmigte Verlängerungen Anzahl der bisher angeforderten und genehmigten Verlängerungen.
      Verbleibende Verlängerungen Anzahl der Male, die in Zukunft Verlängerungen angefordert werden können.

      Verbleibende Verlängerungen = Wert in der Eigenschaft Number of extensions allowed for a policy exception  – Anzahl der genehmigten Verlängerungen.
      Erstellt Datum, an dem die Richtlinienausnahme angefordert wurde.
      Genehmigungsdatum Datum, an dem die Anforderung genehmigt wurde.
      Erweiterungsdatum Angefordertes Verlängerungsdatum, das nach dem Gültig-bis- Datum liegt.
      Verlängerungsgrund Grund für Verlängerung.
      Original gültig bis Datum, bis zu dem die Richtlinienausnahme ursprünglich angefordert und genehmigt wurde. Das ursprüngliche Datum Gültig bis wird nur ausgefüllt, wenn die Verlängerung genehmigt wird.
      Kommentare
      Arbeitsnotizen Arbeitsnotizen können von Ausnahmeprüfern und -genehmigern verwendet werden, um Informationen zur Ausnahme freizugeben.
      Zusätzliche Kommentare Diese Kommentare werden vom Prüfer verwendet, um dem Ausnahmeanforderer zusätzliche Informationen mitzuteilen.
      Vertraulichkeit
      Vertraulich Option zum Aktivieren der Vertraulichkeit des Datensatzes. Nur die zugewiesenen vertraulichen Benutzer oder vertraulichen Benutzergruppen können auf den Datensatz zugreifen.

      Weitere Informationen zur Option „Vertraulich“ finden Sie unter Vertraulichkeitskennzeichnung für Audit- und Compliance-Datensätze.
      Hinweis:
      In Versionen vor Version 10.1 hieß die Registerkarte RisikobewertungBusiness-Impact-Analyse und erforderte die Aktivierung der Anwendung GRC: Risikomanagement. Ab Version 10.1 wurde die Abhängigkeit von Risikomanagement entfernt, und die zugehörigen Feldnamen haben sich geändert.

      Die Felder „Genehmigte Verlängerungen“, „Verbleibende Verlängerungen“, „Genehmigtes Datum“, „ Erweiterungsdatum“, „ Erweiterungsgrund“ und „ Ursprünglich gültig bis “ werden nur angezeigt, wenn Sie eine Verlängerung für die Richtlinienausnahme angefordert haben und diese vom Genehmiger genehmigt wurde.

    4. Speichern Sie die Richtlinienausnahme.
    5. Klicken Sie auf eine der Registerkarten, um die verschiedenen Arten von Informationen für die Richtlinienausnahme anzuzeigen
    6. Klicken Sie auf Aktualisieren.