Fordern Sie eine Richtlinienausnahme mit an Compliance Workspace

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 7 Minuten Lesedauer

    • Verwenden Sie Compliance Workspace, um Ausnahmen für Richtlinien, Kontrollziele oder Probleme anzufordern, indem Sie den Ausnahmegrund in einer bestimmten Liste der Systeme, Anwendungen, Netzwerke oder Entitäten angeben, für die die Ausnahme gilt. Sie müssen auch die Dauer angeben, für die die Ausnahme erforderlich ist.

    Vorbereitungen

    Erforderliche Rolle: sn_grc.business_user, sn_grc.business_user_lite

    Warum und wann dieser Vorgang ausgeführt wird

    Ausnahmen bieten vorübergehende Erleichterung, wenn Sie die Compliance-Anforderungen aufgrund von Ausnahmesituationen nicht erfüllen können. Beispielsweise können Sie eine Kontrolle nicht erfüllen, die vorschreibt, dass alle kritischen Betriebssystemserver innerhalb von 48 Stunden nach der Veröffentlichung von Patches durch den Betriebssystemhersteller gepatcht werden müssen.

    Prozedur

    1. Navigieren zu Alle > Richtlinien und Compliance > Compliance-Arbeitsbereich.
    2. Klicken Sie in der Liste Erstellen auf Richtlinienausnahme.
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Formular „Neue Richtlinienausnahme erstellen“
      Feld Beschreibung
      Nummer Eindeutige Identifikationsnummer.
      Name Name der Richtlinienausnahme.
      Anforderer Person, die die Richtlinienausnahme anfordert, in der Regel der Kontrollbesitzer.
      Grund Grund für die Anforderung der Richtlinienausnahme. Die anfordernde Person kann den Grund ändern, bis die Richtlinienausnahme genehmigt wird.
      Kurzbeschreibung Beschreibung für die Richtlinienausnahmeanforderung.
      Status Status der Richtlinienausnahme innerhalb des Genehmigungs-Workflows.
      Substatus Genehmigungssubstatus der Richtlinienausnahme im Genehmigungs-Workflow.
      Priorität Genehmigungspriorität dieser Richtlinienausnahme
      Begründung Nachweis oder Begründung für die Richtlinienausnahme.
      Quelle
      Quelltyp Typ der Richtlinienausnahme, die Sie erstellen möchten. Die Optionen sind:
      • Richtlinie: Erstellen Sie eine Richtlinienausnahme basierend auf einer Richtlinie.
      • Kontrollziel: Standard ist ein einzelnes Kontrollziel, für das die Richtlinienausnahme erstellt wird.

        Wenn Sie ein Kontrollziel auswählen, wird die Registerkarte Betroffene Kontrollen angezeigt, auf der Sie Kontrollen auswählen können, die dem Kontrollziel zugeordnet sind.

      • Kontrollen: Option zum Erstellen einer Richtlinienausnahme für mehrere Kontrollen.

        Wählen Sie Steuerung aus, um mehrere Steuerungen aus verschiedenen Steuerungszielen zuzuordnen. Diese Option unterstützt mehrere Steuerungsziele für Ihre Richtlinienausnahme, anstatt mehrere Richtlinienausnahmen zu erstellen, die auf mehrere Steuerungen angewendet werden können.

      • Problem: Problem, das dieser Richtlinienausnahme zugeordnet ist.
      Richtlinie Richtlinie, für die die Ausnahme erstellt wird.
      Kontrollziel Kontrollziel, das dieser Richtlinienausnahme zugeordnet ist.
      Problem Problem, das dieser Richtlinienausnahme zugeordnet ist.
      Zieldatensatz Zieldatensatztabelle, auf die die Richtlinienausnahme angewendet wird. Auf diese Tabelle wird auch im Feld Richtlinienausnahme Zieltabelle des Formulars „Integration von Richtlinienausnahmen“ verwiesen.
      Zeitplan
      Gültig ab Tag, an dem die Richtlinienausnahme beginnt.
      Gültig bis Tag, an dem die Richtlinienausnahme endet. „Gültig bis“-Datum muss nach dem „Gültig ab“-Datum liegen und darf kein vergangenes Datum sein.
      Dauer Anzahl der Tage zwischen den Daten Gültig ab und Gültig bis.
      Genehmigte Verlängerungen Anzahl der bisher angeforderten und genehmigten Verlängerungen.
      Verbleibende Verlängerungen Anzahl der Male, die in Zukunft Verlängerungen angefordert werden können. Verbleibende Verlängerungen = Wert in der Eigenschaft Number of extensions allowed for a policy exception  – Anzahl der genehmigten Verlängerungen.
      Erstellt Datum, an dem die Richtlinienausnahme angefordert wurde.
      Genehmigungsdatum Datum, an dem die Ausnahme genehmigt wurde.
      Erweiterungsdatum Angefordertes Verlängerungsdatum, das nach dem Gültig-bis- Datum liegt.
      Verlängerungsgrund Grund für Verlängerung.
      Original gültig bis Datum, bis zu dem die Richtlinienausnahme ursprünglich angefordert und genehmigt wurde. Das ursprüngliche DatumGültig bis wird nur ausgefüllt, wenn die Verlängerung genehmigt wird.
      Zuweisung
      Beobachtungsliste Benutzer, die benachrichtigt werden, wenn die Anforderung aktualisiert wird.
      Genehmigungsgruppe Gruppe mit der Compliance-Manager-Rolle. Wenn die Richtlinienausnahme den Status Überprüfen erreicht, können Sie die Genehmigungsgruppe nicht bearbeiten.

      Wenn Sie keine Genehmigungsgruppe angeben, wird das Feld standardmäßig auf „Compliance Manager“ gesetzt. Compliance-Manager ist die Standardrolle, wenn die Richtlinienausnahme von einer vorgelagerten Anwendung ausgelöst wird, die in GRC integriert ist. Zum Beispiel, wenn Sie eine Richtlinienausnahme für ein Problem auslösen, das mit einem Incident zusammenhängt und dieses Problem mit GRC zusammenhängt.
      Genehmigende Person Benutzer aus der Genehmigungsgruppe. Wenn die Ausnahmerichtlinie in den Status Analysieren verschoben wird, müssen Sie einen Genehmiger auswählen.
      Risikobewertung
      Methode Methode zur Risikobewertung:
      • Risikobewertung auswählen: Wählen Sie die Risikobewertung aus, die dieser Richtlinienausnahme zugeordnet ist.
      • Risikobewertung durchführen: Nehmen Sie eine Risikobewertung vor, um die Risikobewertung zu berechnen.
        Hinweis:
        Diese Option ist nur verfügbar, wenn das Plugin „GRC: Advanced Risk“ installiert ist.

      Die Risikobewertung kann ausgelöst werden, indem Sie im Formular auf die Schaltfläche Risiko bewerten klicken. Diese Schaltfläche ist nur verfügbar, wenn Risikobewertung durchführen ausgewählt ist.
      Risikobewertung Risikobewertung, wie durch die für die Richtlinienausnahme durchgeführte Risikobewertung bestimmt.

      Wenn Sie im Feld Methode die Option Risikoeinstufung auswählen ausgewählt haben, können Sie einen Wert aus der Liste auswählen. Wenn Sie im Feld Methode die Option Risikobewertung durchführen auswählen, wird dieses Feld automatisch mit der in der Risikobewertung angegebenen Antwort ausgefüllt.
      Überschreiben Option zum Überschreiben der Risikobewertung, die basierend auf den für die Risikobewertung bereitgestellten Antworten automatisch ausgefüllt wurde. Dieses Feld wird angezeigt, wenn die MethodeRisikobewertung durchführen lautet.
      Risikobeschreibung Beschreibung des Risikos, wie vom Risikomanager während der Risikobewertung durchgeführt.
      Analyse von Risiko und Auswirkung Details zur Wahrscheinlichkeit des Eintretens dieses Risikos und zu den Restauswirkungen dieses Risikos auf die Richtlinienausnahme.
      Risikominderungsplan Risikominderungsplan für diese Richtlinienausnahme.
      Kommentare
      Arbeitsnotizen Arbeitsnotizen können von Ausnahmeprüfern und -genehmigern verwendet werden, um Informationen zur Ausnahme freizugeben.
      Zusätzliche Kommentare Diese Kommentare werden vom Prüfer verwendet, um dem Ausnahmeanforderer zusätzliche Informationen mitzuteilen.
      Vertraulichkeit
      Vertraulich Option zum Aktivieren der Vertraulichkeit des Datensatzes. Nur die zugewiesenen vertraulichen Benutzer oder vertraulichen Benutzergruppen können auf den Datensatz zugreifen.

      Weitere Informationen zur Option „Vertraulich“ finden Sie unter Vertraulichkeitskennzeichnung für Audit- und Compliance-Datensätze.
      Hinweis:
      In Versionen vor Version 10.1 wurde die zugehörige Liste RisikobewertungBusiness-Impact-Analyse genannt und erforderte die Aktivierung der Anwendung GRC: Risikomanagement. Ab Version 10.1 wurde die Abhängigkeit von Risikomanagement entfernt, und die zugehörigen Feldnamen haben sich geändert.

      Die Felder „Genehmigte Verlängerungen“, „Verbleibende Verlängerungen“, „Genehmigungsdatum“, „ Erweiterungsdatum“, „ Erweiterungsgrund“ und „ Ursprünglich gültig bis “ werden nur angezeigt, wenn Sie eine Verlängerung für die Richtlinienausnahme angefordert haben und diese vom Genehmiger genehmigt wurde.

      In Bezug auf die m2m -Zuordnung eines Problems zu Richtlinienausnahmen müssen Sie bestimmte Aspekte der Werte kennen, die im Feld Problem, im Feld Kontrollziel und auf der Registerkarte Betroffene Steuerung ausgefüllt werden:
      1. Wenn Sie ein Problem im Feld Quelltyp auswählen, werden im Referenzfeld Problem Probleme aufgelistet, denen eine oder mehrere aktive Kontrollen zugeordnet sind. Aktive Steuerungen befinden sich im Status „Nachweisen“, „Überprüfen“ oder „Überwachen“ und nicht im Status „Entwurf“ oder „Deaktiviert“. Sie können zur Registerkarte Betroffene Kontrollen navigieren, um die mit dem Problem verknüpften Kontrollen anzuzeigen.
      2. Wenn das Problem nur mit einem Kontrollziel verknüpft ist, wird dieses verknüpfte Kontrollziel im Referenzfeld Kontrollziel ausgefüllt. Wenn das Problem mit mehr als einem Kontrollziel verknüpft ist, wird im Feld Kontrollziel kein Wert ausgefüllt. Klicken Sie auf das Referenzfeld Kontrollziel, um ein Kontrollziel auszuwählen.
      3. Wenn Sie im Feld Problem kein Problem ausgewählt haben, aber ein Kontrollziel im Referenzfeld Kontrollziel ausgefüllt ist, werden im Referenzfeld Problem nur die Probleme aufgelistet, die mit diesem Kontrollziel verknüpft sind.
      4. Sobald Sie ein Problem im Feld Problem hinzufügen, werden alle mit dem Problem verknüpften Kontrollen auf der Registerkarte Betroffene Kontrollen hinzugefügt. Wenn Sie jedoch ein Kontrollziel im Referenzfeld Kontrollziel auswählen, werden alle auf der Registerkarte Betroffene Kontrollen aufgeführten Kontrollen nur durch die Kontrollen ersetzt, die mit dem ausgewählten Kontrollziel und dem Problem verknüpft sind. Steuerungen können sich in einem beliebigen Status befinden, jedoch nicht im Status „Entwurf“ oder „Deaktiviert“.
      5. Eine betroffene Steuerung, die mit einem Problem einer Richtlinienausnahme verknüpft ist, wird nicht aufgelistet, damit Sie sie einer anderen Richtlinienausnahme hinzufügen können, da diese Steuerung bereits auf der Registerkarte Betroffene Steuerung der ersten Richtlinienausnahme aufgeführt ist. Wenn Sie dem Problem später weitere Kontrollen hinzufügen und das Problem mit der zweiten Richtlinienausnahme verknüpfen, werden alle neu hinzugefügten Kontrollen als betroffene Kontrollen hinzugefügt, aber nicht die, die bereits als betroffene Kontrolle der ersten Richtlinie hinzugefügt wurde Ausnahme.
    4. Speichern Sie die Richtlinienausnahme.
      Die Richtlinienausnahme befindet sich im Status „ Neu “.
    5. Klicken Sie auf die Schaltfläche Genehmigung anfordern.
      Wenn Überprüfungsregeln konfiguriert sind, werden Überprüfungsgenehmigungen ausgelöst. Nachdem die Verifizierungsgenehmigungen genehmigt wurden, wird die Richtlinienausnahme in den Status Analysieren verschoben.

      Nachdem die Richtlinienausnahme genehmigt wurde und das Gültig-bis -Datum erreicht ist, wird der Status in Geschlossen und der Substatus in Abgelaufenverschoben.

      Sie können die Richtlinienausnahme auch jederzeit zurückziehen, bevor die Richtlinienausnahme genehmigt wird, wenn sie nicht mehr erforderlich ist, und zwar direkt aus dem Status Neu.

    6. Um die Richtlinienausnahme zurückzuziehen, klicken Sie auf die Schaltfläche Anforderung abbrechen.
      Der Status wird in „ Geschlossen “ und der Substatus in „ Abgebrochen“ verschoben.

    Nächste Maßnahme

    Als anfordernde Person können Sie Erweiterungen für eine Richtlinienausnahme anfordern, die sich mehrmals im Status „Genehmigt“ befindet. Konfigurieren Sie die Eigenschaft Number of extensions allowed for a policy exception, um eine Richtlinienerweiterung mehrmals anzufordern.

    Informationen zum Einrichten der Eigenschaft finden Sie unter Anzahl der für eine Richtlinienausnahme zulässigen Verlängerungen konfigurieren.

    Um eine Verlängerung anzufordern, klicken Sie auf die Schaltfläche Verlängerung anfordern und geben die Details im Popup „Verlängerung anfordern“ ein.

    Klicken Sie auf Anforderung. Sie können die Richtlinienerweiterungsdetails auf der Registerkarte Zeitplan des Formulars „Richtlinienausnahme“ anzeigen, nachdem die anfordernde Person eine Verlängerung angefordert hat und die Richtlinienerweiterung vom Genehmiger genehmigt wurde.