Fordern Sie mit eine Richtlinienausnahme an Compliance Workspace

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 7 Minuten Lesedauer

    • Verwenden Sie Compliance Workspace, um Ausnahmen für Richtlinien, Kontrollziele oder Probleme anzufordern, indem Sie den Grund für die Ausnahme in einer bestimmten Liste von Systemen, Anwendungen, Netzwerken oder Entitäten angeben, für die die Ausnahme gilt. Sie müssen auch die Dauer angeben, für die die Ausnahme erforderlich ist.

    Vorbereitungen

    Erforderliche Rolle: sn_grc.business_user, sn_grc.business_user_lite

    Warum und wann dieser Vorgang ausgeführt wird

    Ausnahmen bieten vorübergehende Erleichterung, wenn Sie aufgrund von Ausnahmesituationen die Compliance-Anforderungen nicht erfüllen können. Beispielsweise können Sie eine Kontrolle nicht erfüllen, die vorschreibt, dass alle kritischen Betriebssystemserver innerhalb von 48 Stunden nach der Veröffentlichung von Patches durch den Betriebssystemanbieter gepatcht werden müssen.

    Hinweis:
    Weitere Informationen zu Richtlinienausnahmen finden Sie unter Verwalten Sie Richtlinienausnahmen und -erweiterungen.

    Prozedur

    1. Navigieren zu Alle > Richtlinien und Compliance > Compliance-Arbeitsbereich.
    2. Klicken Sie in der Liste Erstellen auf Richtlinienausnahme.
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Formular „Neue Richtlinienausnahme erstellen“.
      Feld Beschreibung
      Nummer Eindeutige Identifikationsnummer.
      Name Name der Richtlinienausnahme.
      Anforderer Person, die die Richtlinienausnahme anfordert, in der Regel der Besitzer der Steuerung.
      Grund Grund für die Anforderung der Richtlinienausnahme. Die anfordernde Person kann den Grund ändern, bis die Richtlinienausnahme genehmigt wird.
      Kurzbeschreibung Beschreibung für die Anforderung einer Richtlinienausnahme.
      Status Status der Richtlinienausnahme innerhalb des Genehmigungs-Workflows.
      Substatus Genehmigungssubstatus der Richtlinienausnahme innerhalb des Genehmigungsworkflows.
      Priorität Genehmigungspriorität dieser Richtlinienausnahme
      Begründung Nachweis oder Begründung für die Richtlinienausnahme.
      Quelle
      Quelltyp Typ der Richtlinienausnahme, die Sie erstellen möchten. Die Optionen sind:
      • Richtlinie: Erstellen Sie eine Richtlinienausnahme basierend auf einer Richtlinie.
      • Kontrollziel: Standard ist ein einzelnes Kontrollziel, für das die Richtlinienausnahme erstellt wird.

        Wenn Sie ein Kontrollziel auswählen, wird die Registerkarte Betroffene Steuerungen angezeigt, auf der Sie Steuerungen auswählen können, die dem Kontrollziel zugeordnet sind.

      • Steuerungen: Option zum Erstellen einer Richtlinienausnahme für mehrere Steuerungen.

        Wählen Sie Steuerung aus, um mehrere Steuerungen aus verschiedenen Kontrollzielen zuzuordnen. Diese Option unterstützt mehrere Steuerungsziele für Ihre Richtlinienausnahme, anstatt mehrere Richtlinienausnahmen zu erstellen, die auf mehrere Steuerungen angewendet werden können.

      • Problem: Problem, das dieser Richtlinienausnahme zugeordnet ist.
      Richtlinie Richtlinie, für die die Ausnahme erstellt wird.
      Kontrollziel Kontrollziel, das dieser Richtlinienausnahme zugeordnet ist.
      Problem Problem, das dieser Richtlinienausnahme zugeordnet ist.
      Zieldatensatz Zieldatensatztabelle, auf die die Richtlinienausnahme angewendet wird. Auf diese Tabelle wird auch im Feld Zieltabelle der Richtlinienausnahme des Formulars „Integration der Richtlinienausnahme“ verwiesen.
      Zeitplan
      Gültig ab Tag, an dem die Richtlinienausnahme beginnt.
      Gültig bis Tag, an dem die Richtlinienausnahme endet. „Gültig bis“-Datum muss nach „Gültig ab“-Datum liegen und darf kein vergangenes Datum sein.
      Dauer Anzahl der Tage zwischen den Datumsangaben für „ Gültig von“ und „Gültig bis “.
      Genehmigte Verlängerungen Anzahl der Verlängerungen, die bisher angefordert und genehmigt wurden.
      Verbleibende Verlängerungen Anzahl der Male, die Verlängerungen in der Zukunft angefordert werden können. Verbleibende Verlängerungen = Wert in der Eigenschaft Number of extensions allowed for a policy exception – Anzahl der genehmigten Verlängerungen.
      Erstellt Datum, an dem die Richtlinienausnahme angefordert wurde.
      Genehmigungsdatum Datum, an dem die Ausnahme genehmigt wurde.
      Erweiterungsdatum Angefordertes Verlängerungsdatum, das nach dem „Gültig bis“ -Datum liegt.
      Verlängerungsgrund Grund für Verlängerung.
      Original gültig bis Datum, bis zu dem die Richtlinienausnahme ursprünglich angefordert und genehmigt wurde. Das ursprüngliche Datum fürGültig bis wird nur ausgefüllt, wenn die Verlängerung genehmigt wird.
      Zuweisung
      Beobachtungsliste Benutzer, die benachrichtigt werden, wenn die Anforderung aktualisiert wird.
      Freigabegruppe Gruppe mit der Compliance-Manager-Rolle. Wenn die Richtlinienausnahme den Status „Überprüfung“ erreicht, können Sie die Genehmigungsgruppe nicht bearbeiten.

      Wenn Sie keine Genehmigungsgruppe angeben, wird standardmäßig „Compliance Manager“ verwendet. „Compliance-Manager“ ist die Standardrolle, wenn die Richtlinienausnahme von einer vorgelagerten Anwendung ausgelöst wird, die in GRC integriert ist. Beispiel: Sie lösen eine Richtlinienausnahme für ein Problem aus, das mit einem Incident zusammenhängt und dieses Problem mit GRC zusammenhängt.
      Genehmiger Benutzer aus der Genehmigungsgruppe. Wenn die Ausnahmerichtlinie in den Status „ Analysieren “ wechselt, müssen Sie einen Genehmiger auswählen.
      Risikobewertung
      Methode Methode zur Risikobewertung:
      • Risikobewertung auswählen: Wählen Sie die Risikobewertung aus, die dieser Richtlinienausnahme zugeordnet ist.
      • Risikobewertung vornehmen: Nehmen Sie eine Risikobewertung vor, um die Risikobewertung zu berechnen.
        Hinweis:
        Diese Option ist nur verfügbar, wenn das Plugin „GRC: Advanced Risk“ installiert ist.

      Eine Risikobewertung kann ausgelöst werden, indem Sie im Formular auf die Schaltfläche Risiko bewerten klicken. Diese Schaltfläche ist nur verfügbar, wenn Risikobewertung durchführen ausgewählt ist.
      Risikobewertung Risikobewertung, wie durch die für die Richtlinienausnahme durchgeführte Risikobewertung bestimmt.

      Wenn Sie im Feld Methode die Option Risikobewertung auswählen ausgewählt hatten, können Sie einen Wert aus der Liste auswählen. Wenn Sie im Feld Methode die Option Risikobewertung durchführen auswählen, wird dieses Feld automatisch mit der in der Risikobewertung angegebenen Antwort ausgefüllt.
      Überschreiben Option zum Überschreiben der Risikobewertung, die basierend auf den für die Risikobewertung angegebenen Antworten automatisch ausgefüllt wurde. Dieses Feld wird angezeigt, wenn die Option Methode auf Risikobewertung verwenden festgelegt ist.
      Risikobeschreibung Beschreibung des Risikos, wie sie vom Risikomanager während der Risikobewertung durchgeführt wurde.
      Analyse von Risiko und Auswirkung Details zur Wahrscheinlichkeit des Auftretens dieses Risikos und zu den verbleibenden Auswirkungen dieses Risikos auf die Richtlinienausnahme.
      Risikominderungsplan Risikominderungsplan für diese Richtlinienausnahme.
      Kommentare
      Arbeitsnotizen Arbeitsnotizen können von Ausnahmeprüfern und -genehmigern verwendet werden, um Informationen zur Ausnahme freizugeben.
      Zusätzliche Anmerkungen Diese Kommentare werden vom Überprüfer verwendet, um der anfordernden Person zusätzliche Informationen zu übermitteln.
      Vertraulichkeit
      Vertraulich Option zum Aktivieren der Vertraulichkeit des Datensatzes. Nur die zugewiesenen vertraulichen Anwender oder vertraulichen Gruppen von Anwendern können auf den Datensatz zugreifen.

      Weitere Informationen zur Option „Vertraulich“ finden Sie unter Vertraulichkeitskennzeichnung für Audit- und Compliance-Datensätze.
      Hinweis:
      In Versionen vor Version 10.1 hatte die zugehörige Liste Risikobewertung die Bezeichnung Geschäftsauswirkungsanalyse und erforderte die Aktivierung der Anwendung GRC: Risikomanagement. Ab Version 10.1 wurde die Abhängigkeit von Risikomanagement entfernt, und die zugehörigen Feldnamen wurden geändert.

      Die Felder „Genehmigte Verlängerungen“, „Verbleibende Verlängerungen“, „Genehmigungsdatum“, „ Verlängerungsdatum“, „ Verlängerungsgrund“, „ Ursprüngliches Gültig bis “ werden nur angezeigt, wenn Sie eine Verlängerung für die Richtlinienausnahme angefordert haben und diese vom Genehmiger genehmigt wurde.

      Im Hinblick auf die m2m -Zuordnung eines Problems zu Richtlinienausnahmen müssen Sie bestimmte Überlegungen zu den Werten anstellen, die im Feld „Problem“, im Feld „Kontrollziel“ und auf der Registerkarte „Betroffene Steuerung“ eingetragen werden:
      1. Wenn Sie ein Problem im Feld Quelltyp auswählen, werden im Feld Problemreferenz Probleme aufgelistet, denen mindestens eine aktive Steuerung zugeordnet ist. Aktive Steuerungen sind diejenigen im Status „Nachweis“, „Überprüfen“ oder „Überwachen“ und nicht den Status „Entwurf“ oder „Deaktiviert“. Sie können zur Registerkarte Betroffene Steuerungen navigieren, um die mit dem Problem verknüpften Steuerungen anzuzeigen.
      2. Wenn das Problem nur mit einem Kontrollziel verknüpft ist, wird dieses verknüpfte Kontrollziel im Referenzfeld Kontrollziel ausgefüllt. Wenn das Problem mit mehr als einem Kontrollziel verknüpft ist, wird im Feld Kontrollziel kein Wert ausgefüllt. Klicken Sie auf das Referenzfeld Kontrollziel, um ein Kontrollziel auszuwählen.
      3. Wenn Sie im Feld Problem kein Problem ausgewählt haben, im Referenzfeld Kontrollziel jedoch ein Kontrollziel ausgefüllt ist, werden im Referenzfeld Problem nur die Probleme aufgelistet, die mit diesem Kontrollziel verknüpft sind.
      4. Sobald Sie im Feld Problem ein Problem hinzufügen, werden alle mit dem Problem verknüpften Steuerungen auf der Registerkarte Betroffene Steuerungen hinzugefügt. Wenn Sie jedoch ein Kontrollziel im Referenzfeld Kontrollziel auswählen, werden alle auf der Registerkarte Betroffene Kontrollen aufgeführten Steuerungen durch nur die Steuerungen ersetzt, die mit dem ausgewählten Kontrollziel und dem Problem verknüpft sind. Steuerungen können sich in jedem Status befinden, jedoch nicht im Status Entwurf oder Deaktiviert.
      5. Ein betroffenes Steuerelement, das mit einem Problem einer Richtlinienausnahme verknüpft ist, wird nicht aufgeführt, damit Sie es in einer anderen Richtlinienausnahme hinzufügen können, da dieses Steuerelement bereits auf der Registerkarte „Betroffene Steuerung“ der ersten Richtlinienausnahme aufgeführt ist. Wenn Sie dem Problem später weitere Steuerungen hinzufügen und das Problem mit der zweiten Richtlinienausnahme verknüpfen, werden alle neu hinzugefügten Steuerungen als betroffene Steuerungen hinzugefügt, nicht jedoch das, das bereits als betroffene Steuerung der ersten Richtlinie hinzugefügt wurde Ausnahme.
    4. Speichern Sie die Richtlinienausnahme.
      Die Richtlinienausnahme weist den Status Neu auf.
    5. Klicken Sie auf die Schaltfläche Genehmigung anfordern.
      Wenn Verifizierungsregeln konfiguriert sind, werden Verifizierungsgenehmigungen ausgelöst. Nachdem die Verifizierungsgenehmigungen genehmigt wurden, wird die Richtlinienausnahme in den Status „Analysieren“ verschoben.

      Nachdem die Richtlinienausnahme genehmigt wurde und das Datum Gültig bis erreicht ist, wird der Status in Geschlossen und der Substatus in Abgelaufengeändert.

      Sie können die Richtlinienausnahme auch jederzeit direkt aus dem Status Neu zurückziehen, bevor die Richtlinienausnahme genehmigt wird, wenn sie nicht mehr erforderlich ist.

    6. Um die Richtlinienausnahme zurückzunehmen, klicken Sie auf die Schaltfläche Anforderung abbrechen.
      Der Status wird in Geschlossen und der Substatus in Abgebrochengeändert.

    Nächste Maßnahme

    Als anfordernde Person können Sie Verlängerungen für eine Richtlinienausnahme anfordern, die sich mehr als einmal im Status „Genehmigt“ befindet. Konfigurieren Sie die Eigenschaft Number of extensions allowed for a policy exception, um die Richtlinienerweiterung mehrmals anzufordern.

    Informationen zum Einrichten der Eigenschaft finden Sie unter Anzahl der für Richtlinienausnahmen zulässigen Verlängerungen konfigurieren.

    Um eine Verlängerung anzufordern, klicken Sie auf die Schaltfläche „Verlängerung anfordern “ und geben Sie im Popup-Fenster „Verlängerung anfordern“ die Details ein.

    Klicken Sie auf Anforderung. Sie können die Details zur Richtlinienverlängerung auf der Registerkarte Zeitplan des Formulars „Richtlinienausnahme“ anzeigen, nachdem die anfordernde Person eine Verlängerung angefordert hat und die Richtlinienerweiterung vom Genehmiger genehmigt wurde.