Demander une exception de politique à l’aide du Conformité de l'espace de travail

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 8 minutes de lecture

    • Utilisez pour Conformité de l'espace de travail demander des exceptions pour des politiques, des objectifs de contrôle ou des problèmes en spécifiant le motif de l’exception sur une liste particulière de systèmes, d’applications, de réseaux ou d’entités pour lesquels l’exception s’applique. Vous devez également spécifier la durée pendant laquelle l’exception est requise.

    Avant de commencer

    Rôle requis : sn_grc.business_user, sn_grc.business_user_lite

    Pourquoi et quand exécuter cette tâche

    Les exceptions offrent une aide temporaire lorsque vous n’êtes pas en mesure de satisfaire aux exigences de conformité en raison de situations extraordinaires. Par exemple, vous n’êtes pas en mesure de respecter un contrôle qui stipule que tous les serveurs de système d’exploitation critiques doivent être corrigés dans les 48 heures suivant la publication des correctifs par le fournisseur du système d’exploitation.

    Remarque :
    Pour plus d’informations sur les exceptions de politique, reportez-vous à .Gérer les exceptions et les extensions de la politique

    Procédure

    1. Accédez à la Tous > Politique et Conformité > Espace de travail Conformité .
    2. Cliquez sur Exception de politique dans la liste Créer .
    3. Remplissez les champs du formulaire.
      Tableau 1. Formulaire Créer une nouvelle exception de politique
      Champ Description
      Numéro Numéro d’identification unique.
      Nom Nom de l’exception de politique.
      Demandeur Personne demandant l’exception de politique, généralement le propriétaire du contrôle.
      Motif Motif de la demande d’exception de politique. Le demandeur peut changer le motif jusqu’à ce que l’exception de politique soit approuvée.
      Description brève Description de la demande d’exception de politique.
      État État de l’exception de politique dans le workflow d’approbation.
      Sous-état Sous-état d’approbation de l’exception de politique dans le workflow d’approbation.
      Priorité Priorité d’approbation de cette exception de politique
      Justification Preuve ou justification de l’exception de politique.
      Source
      Type de source Type d’exception de politique que vous souhaitez créer. Les options sont les suivantes :
      • Politique : créez une exception de politique basée sur une politique.
      • Objectif du contrôle : la valeur par défaut est un objectif de contrôle unique sur lequel l’exception de politique est créée.

        Lorsque vous sélectionnez un objectif de contrôle, l’onglet Contrôles impactés s’affiche, dans lequel vous pouvez sélectionner les contrôles associés à l’objectif de contrôle.

      • Contrôles : option permettant de créer une exception de politique sur plusieurs contrôles.

        Sélectionnez Contrôle pour associer plusieurs contrôles provenant d’objectifs de contrôle différents. Cette option prend en charge plusieurs objectifs de contrôle pour votre exception de politique, au lieu de créer plusieurs exceptions de politique qui pourraient être appliquées à plusieurs contrôles.

      • Problème : problème associé à cette exception de politique.
      Politique Politique pour laquelle l’exception est créée.
      Objectif du contrôle Objectif du contrôle associé à cette exception de politique.
      Problème Problème associé à cette exception de politique.
      Enregistrement cible Table d’enregistrement cible sur laquelle l’exception de politique est appliquée. Cette table est également référencée dans le champ Table cible des exceptions de politique du formulaire Registre d’intégration des exceptions de politique.
      Calendrier
      Début de validité Jour auquel l’exception de politique commence.
      Date de fin de validité Jour auquel l’exception de politique prend fin. La date de fin de validité doit être postérieure à la date de début de validité et ne peut pas être antérieure.
      Durée Nombre de jours entre les dates de début et de fin de validité .
      Extensions approuvées Nombre de fois où des prolongations ont été demandées jusqu’à présent et ont été approuvées.
      Extensions restantes Nombre de fois où des extensions pourront être demandées à l’avenir. Extensions restantes = Valeur dans la Number of extensions allowed for a policy exception propriété : nombre d’extensions approuvées.
      Date de création Date à laquelle l’exception de politique a été demandée.
      Dates d'approbation Date à laquelle l’exception a été approuvée.
      Date de report Date d’extension demandée, postérieure à la date de fin de validité .
      Motif de l'extension Motif de l’extension.
      Date de fin de validité d'origine Date jusqu’à laquelle l’exception de politique a été initialement demandée et approuvée. La date devalidité d’origine n’est renseignée que lorsque l’extension est approuvée.
      Affectation
      Liste de surveillance Utilisateurs avertis lorsque la demande est mise à jour.
      Groupe d'approbation Groupe disposant du rôle de gestionnaire de conformité. Si l’exception de politique atteint l’état Révision, vous ne pouvez pas modifier le groupe d’approbation.

      Si vous ne fournissez pas de groupe d’approbation, le champ est défini par défaut sur Gestionnaire de conformité. Le rôle de gestionnaire de conformité est le rôle par défaut si l’exception de politique est déclenchée à partir d’une application en amont intégrée à GRC. Par exemple, si vous déclenchez une exception de politique pour un problème lié à un incident et que ce problème est lié à GRC.
      Approbateur Utilisateur du groupe d’approbation. Si la politique d’exception passe à l’état Analyser , vous devez sélectionner un approbateur.
      Cote de risque
      Méthode Méthode d’évaluation des risques :
      • Sélectionner la cote de risque : sélectionnez la cote de risque associée à cette exception de politique.
      • Effectuer une évaluation des risques : effectuez une évaluation des risques pour calculer la cote de risque.
        Remarque :
        Cette option n’est disponible que si le module d’extension GRC : Advanced Risk est installé.

      L’évaluation des risques peut être déclenchée en cliquant sur le bouton Évaluer les risques du formulaire. Ce bouton n’est disponible que lorsque l’option Évaluer les risques est sélectionnée.
      Cote de risque Cote de risque telle que déterminée par l’évaluation des risques effectuée sur l’exception de politique.

      Si vous aviez sélectionné l’option Sélectionner l’évaluation des risques dans le champ Méthode , vous pouvez sélectionner une valeur dans la liste. Si vous sélectionnez l’option Effectuer une évaluation des risques dans le champ Méthode , ce champ est automatiquement rempli avec la réponse fournie dans l’évaluation des risques.
      Remplacer Option permettant de remplacer la cote de risque qui a été renseignée automatiquement en fonction des réponses fournies pour l’évaluation des risques. Ce champ s’affiche si la méthode est l’option Effectuer une évaluation des risques .
      Description du risque Description du risque telle qu’effectuée par le gestionnaire des risques au cours de l’évaluation des risques.
      Analyse du risque et de l'impact Détails sur la probabilité de survenue de ce risque et ses impacts résiduels sur l’exception de politique.
      Plan d'atténuation des risques Plan d’atténuation des risques pour cette exception de politique.
      Commentaires
      Notes de travail Les notes de travail peuvent être utilisées par les réviseurs et les approbateurs d’exceptions pour partager des informations sur l’exception.
      Commentaires supplémentaires Ces commentaires sont utilisés par le réviseur pour communiquer des informations supplémentaires au demandeur d’exception.
      Confidentialité
      Confidentiel Option permettant d’activer la confidentialité de l’enregistrement. Seuls les utilisateurs confidentiels ou les groupes d’utilisateurs confidentiels affectés peuvent accéder à l’enregistrement.

      Pour plus d’informations sur l’option confidentielle, consultez Marqueur de confidentialité pour les enregistrements d’audit et de conformité.
      Remarque :
      Dans les versions antérieures à la version 10.1, la liste connexe d’évaluation des risques était appelée Business Impact Analysis et nécessitait l’activation de l’application GRC. Gestion des risques Depuis la version 10.1, la dépendance Gestion des risques a été supprimée et les noms de champs associés ont changé.

      Extensions approuvées, Extensions restantes, Date d’approbation, Date d’extension, Motif de l’extension, Les champs Date de fin de validité d’origine s’affichent uniquement lorsque vous avez demandé une extension de l’exception de politique et qu’elle a été approuvée par l’approbateur.

      En ce qui concerne l’association m2m d’un problème avec des exceptions de politique, vous devez connaître certaines considérations concernant les valeurs renseignées dans le champ Problème , le champ Objectif du contrôle et dans l’onglet Contrôle impacté :
      1. Si vous sélectionnez un problème dans le champ Type de source , le champ de référence Problème répertorie les problèmes auxquels un ou plusieurs contrôles actifs sont associés. Les contrôles actifs sont ceux qui sont à l’état Tester, Examiner ou Surveiller et non ceux qui ont l’état Brouillon ou Mis hors service. Vous pouvez accéder à l’onglet Contrôles impactés pour afficher les contrôles associés au problème.
      2. Si le problème est lié à un seul objectif de contrôle, cet objectif de contrôle lié est renseigné dans le champ de référence Objectif de contrôle . Si le problème est lié à plusieurs objectifs de contrôle, aucune valeur n’est renseignée dans le champ Objectif du contrôle . Cliquez sur le champ de référence Objectif de contrôle pour sélectionner un objectif de contrôle.
      3. Si vous n’avez pas sélectionné de problème dans le champ Problème , mais qu’un objectif de contrôle est renseigné dans le champ de référence Objectif de contrôle , le champ de référence Problème répertorie uniquement les problèmes liés à cet objectif de contrôle.
      4. Dès que vous ajoutez un problème dans le champ Problème , tous les contrôles liés au problème sont ajoutés dans l’onglet Contrôles impactés. Toutefois, lorsque vous sélectionnez un objectif de contrôle dans le champ de référence Objectif de contrôle , tous les contrôles répertoriés dans l’onglet Contrôles impactés sont remplacés uniquement par les contrôles liés à l’objectif de contrôle sélectionné et au problème. Les contrôles peuvent être dans n’importe quel état, mais pas dans l’état Brouillon ou Mis hors service.
      5. Un contrôle impacté lié à un problème d’une exception de politique ne sera pas répertorié pour que vous puissiez ajouter une autre exception de politique, car ce contrôle est déjà répertorié dans l’onglet Contrôle impacté de la première exception de politique. Si vous ajoutez d’autres contrôles au problème ultérieurement, et lorsque vous liez le problème à la deuxième exception de politique, tous les contrôles nouvellement ajoutés seront ajoutés en tant que contrôles impactés, mais pas celui qui a déjà été ajouté en tant que contrôle impacté de la première exception de politique.
    4. Enregistrez l’exception de politique.
      L’exception de politique est dans l’état Nouveau .
    5. Cliquez sur le bouton Demander l’approbation .
      Si des règles de vérification sont configurées, des approbations de vérification sont déclenchées. Une fois les approbations de vérification approuvées, l’exception de politique passe à l’état Analyse.

      Une fois l’exception de politique approuvée et si la date de validité est atteinte, l’état passe à Fermé et le sous-état passe à Expiré.

      Vous pouvez également retirer l’exception de politique à tout moment avant qu’elle ne soit approuvée, si elle n’est plus nécessaire, directement à partir de l’état Nouveau .

    6. Pour retirer l’exception de politique, cliquez sur le bouton Annuler la demande .
      L’état passe à Fermé et le sous-état à Annulé.

    Que faire ensuite

    En tant que demandeur, vous pouvez demander plusieurs fois l’extension d’une exception de politique qui est à l’état Approuvé. Configurez la propriété pour demander plusieurs fois l’extension de la Number of extensions allowed for a policy exception politique.

    Pour configurer la propriété, consultez Configurer le nombre d’extensions autorisées pour une exception de politique.

    Pour demander une extension, cliquez sur le bouton Demande d’extension et entrez les détails dans la fenêtre contextuelle Demande d’extension.

    Cliquez sur Demander. Vous pouvez voir les détails de l’extension de politique dans l’onglet Calendrier du formulaire d’exception de politique après que le demandeur a demandé une extension et que l’extension de police a été approuvée par l’approbateur.