Demander une exception de politique à l’aide de Conformité de l'espace de travail

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 9 minutes de lecture

    • Utilisez le Conformité de l'espace de travail pour demander des exceptions pour les politiques, les objectifs de contrôle ou les problèmes en spécifiant le motif de l’exception sur une liste particulière de systèmes, d’applications, de réseaux ou d’entités auxquels l’exception s’applique. Vous devez également spécifier la durée pendant laquelle l’exception est requise.

    Avant de commencer

    Rôle requis : sn_grc.business_user, sn_grc.business_user_lite

    Pourquoi et quand exécuter cette tâche

    Les exceptions offrent un soulagement temporaire lorsque vous n’êtes pas en mesure de satisfaire aux exigences de conformité en raison de situations extraordinaires. Par exemple, vous n’êtes pas en mesure de respecter un contrôle qui stipule que tous les serveurs de système d’exploitation critiques doivent être corrigés dans les 48 heures suivant la publication des correctifs par le fournisseur du système d’exploitation.

    Remarque :
    Pour en savoir plus sur les exceptions de politique, reportez-vous à Gérer les exceptions et extensions de politique.

    Procédure

    1. Accédez à la Tout > Politique et Conformité > Espace de travail Compliance.
    2. Cliquez sur Exception de politique dans la liste Créer .
    3. Renseignez les champs du formulaire.
      Tableau 1. Créer un nouveau formulaire d’exception de politique
      Champ Description
      Numéro Numéro d’identification unique.
      Nom Nom de l’exception de politique.
      Demandeur Personne demandant l’exception de politique, généralement le propriétaire du contrôle.
      Motif Motif de la demande d’exception de politique. Le demandeur peut modifier le motif jusqu’à ce que l’exception de politique soit approuvée.
      Description brève Description de la demande d’exception de politique.
      État État de l’exception de politique dans le workflow d’approbation.
      Sous-état Sous-état d’approbation de l’exception de politique dans le workflow d’approbation.
      Priorité Priorité d’approbation de cette exception de politique
      Justification Preuve ou justification de l’exception de principe.
      Source
      Type de source Type d’exception de politique que vous souhaitez créer. Les options sont les suivantes :
      • Politique : créez une exception de politique basée sur une politique.
      • Objectif de contrôle : par défaut est un objectif de contrôle unique sur lequel l’exception de politique est créée.

        Lorsque vous sélectionnez un objectif de contrôle, l’onglet Contrôles concernés s’affiche, dans lequel vous pouvez sélectionner les contrôles associés à l’objectif de contrôle.

      • Contrôles : option permettant de créer une exception de politique sur plusieurs contrôles.

        Sélectionnez Contrôle pour associer plusieurs contrôles à partir de différents objectifs de contrôle. Cette option prend en charge plusieurs objectifs de contrôle pour votre exception de politique, au lieu de créer plusieurs exceptions de politique qui pourraient être appliquées à plusieurs contrôles.

      • Problème : problème associé à cette exception de politique.
      Politique Politique pour laquelle l’exception est créée.
      Objectif du contrôle Objectif du contrôle associé à cette exception de politique.
      Problème Problème associé à cette exception de politique.
      Enregistrement cible Table d’enregistrement cible sur laquelle l’exception de politique est appliquée. Cette table est également référencée dans le champ Table cible des exceptions de politique du formulaire Registre d’intégration des exceptions de politique.
      Calendrier
      Début de validité Jour de début de l’exception de politique.
      Date de fin de validité Jour de fin de l’exception de politique. La date de fin de validité doit être postérieure à la date de début de validité et ne peut pas être une date antérieure.
      Durée Nombre de jours entre les dates de début de validité et de fin de validité .
      Extensions approuvées Nombre de fois où des prolongations ont été demandées jusqu’à présent et ont été approuvées.
      Extensions restantes Nombre de fois que des extensions peuvent être demandées à l’avenir. Extensions restantes = Valeur dans la Number of extensions allowed for a policy exception propriété – Nombre d’extensions approuvées.
      Créé Date à laquelle l’exception de politique a été demandée.
      Dates d'approbation Date à laquelle l’exception a été approuvée.
      Date de report Date d’extension demandée, qui est postérieure à la date de fin de validité .
      Motif de l'extension Motif de la prolongation.
      Date de fin de validité d'origine Date jusqu’à laquelle l’exception de politique a été initialement demandée et approuvée. La datede fin de validité d’origine n’est renseignée que lorsque l’extension est approuvée.
      Affectation
      Liste de surveillance Utilisateurs notifiés lorsque la demande est mise à jour.
      Groupe d'approbation Groupe ayant le rôle de gestionnaire de conformité. Si l’exception de politique atteint l’état Révision, vous ne pouvez pas modifier le groupe d’approbation.

      Si vous ne fournissez pas de groupe d’approbation, le champ par défaut est défini sur Gestionnaire de conformité. Gestionnaire de conformité est le rôle par défaut si l’exception de politique est déclenchée à partir d’une application en amont intégrée à GRC. Par exemple, si vous émettez une exception de politique pour un problème lié à un incident et que ce problème est lié à GRC.
      Approbateur Utilisateur du groupe d’approbation. Si la politique d’exception passe à l’état Analyser , vous devez sélectionner un approbateur.
      Cote de risque
      Méthode Méthode d’évaluation des risques :
      • Sélectionner la cote de risque : sélectionnez la cote de risque associée à cette exception de politique.
      • Effectuer une évaluation des risques : effectuez une évaluation des risques pour calculer la cote de risque.
        Remarque :
        Cette option n’est disponible que lorsque le module d’extension GRC : Advanced Risk est installé.

      L’évaluation des risques peut être déclenchée en cliquant sur le bouton Évaluer les risques du formulaire. Ce bouton n’est disponible que lorsque l’option Effectuer une évaluation des risques est sélectionnée.
      Cote de risque Cote de risque telle que déterminée par l’évaluation des risques effectuée sur l’exception de politique.

      Si vous avez sélectionné l’option Sélectionner l’évaluation des risques dans le champ Méthode , vous pouvez sélectionner une valeur dans la liste. Si vous sélectionnez l’option Prendre une évaluation des risques dans le champ Méthode , ce champ est rempli automatiquement avec la réponse fournie dans l’évaluation des risques.
      Remplacement Option de remplacement de l’évaluation des risques qui a été remplie automatiquement en fonction des réponses fournies pour l’évaluation des risques. Ce champ s’affiche si la méthode est l’option Effectuer une évaluation des risques .
      Description du risque Description du risque effectuée par le gestionnaire des risques au cours de l’évaluation des risques.
      Analyse du risque et de l'impact Détails sur la probabilité de survenance de ce risque et les impacts résiduels de ce risque sur l’exception de politique.
      Plan d'atténuation des risques Plan d’atténuation des risques pour cette exception de politique.
      Commentaires
      Notes de travail Les notes de travail peuvent être utilisées par les réviseurs et les approbateurs d’exceptions pour partager des informations relatives à l’exception.
      Commentaires supplémentaires Ces commentaires sont utilisés par le réviseur pour communiquer des informations supplémentaires au demandeur d’exception.
      Confidentialité
      Confidentiel Option permettant d’activer la confidentialité de l’enregistrement. Seuls les utilisateurs confidentiels affectés ou les groupes d’utilisateurs confidentiels peuvent accéder à l’enregistrement.

      Pour plus d’informations sur l’option Confidentiel, consultez Marqueur de confidentialité pour les enregistrements d’audit et de conformité.
      Remarque :
      Dans les versions antérieures à la version 10.1, la liste connexe de l’évaluation des risques était appelée Business Impact Analysis et nécessitait l’activation de l’application GRC : Gestion des risques . À partir de la version 10.1, la dépendance a Gestion des risques été supprimée et les noms de champs associés ont changé.

      Les champs Extensions approuvées, Extensions restantes, Date d’approbation, Date d’extension, Motif de l’extension, Date de fin de validité d’origine s’affichent uniquement lorsque vous avez demandé une extension de l’exception de politique et que celle-ci a été approuvée par l’approbateur.

      En ce qui concerne l’association m2m d’un problème avec des exceptions de politique, vous devez connaître certaines considérations concernant les valeurs renseignées dans le champ Problème , le champ Objectif du contrôle et dans l’onglet Contrôle impacté :
      1. Si vous sélectionnez un problème dans le champ Type de source , le champ de référence du problème répertorie les problèmes auxquels un ou plusieurs contrôles actifs sont associés. Les contrôles actifs sont ceux qui sont dans l’état Attester, Examiner ou Surveiller et non dans l’état Brouillon ou Mis hors service. Vous pouvez naviguer vers l’onglet Contrôles concernés pour afficher les contrôles associés au problème.
      2. Si le problème est lié à un seul objectif de contrôle, cet objectif de contrôle lié est renseigné dans le champ de référence Objectif de contrôle . Si le problème est lié à plusieurs objectifs de contrôle, aucune valeur n’est renseignée dans le champ Objectif de contrôle . Cliquez sur le champ de référence Objectif de contrôle pour sélectionner un objectif de contrôle.
      3. Si vous n’avez pas sélectionné de problème dans le champ Problème , mais qu’un objectif de contrôle est renseigné dans le champ de référence de l’objectif de contrôle , le champ de référence du problème répertorie uniquement les problèmes liés à cet objectif de contrôle.
      4. Dès que vous ajoutez un problème dans le champ Problème , tous les contrôles liés au problème sont ajoutés dans l’onglet Contrôles concernés. Toutefois, lorsque vous sélectionnez un objectif de contrôle dans le champ de référence Objectif de contrôle , tous les contrôles répertoriés dans l’onglet Contrôles concernés sont remplacés uniquement par les contrôles liés à l’objectif de contrôle sélectionné et au problème. Les contrôles peuvent être dans n’importe quel état, mais pas dans l’état Brouillon ou Mis hors service.
      5. Un contrôle impacté lié à un problème d’exception de politique ne sera pas répertorié pour que vous puissiez l’ajouter dans une autre exception de politique, car ce contrôle est déjà répertorié dans l’onglet Contrôle impacté de la première exception de politique. Si vous ajoutez d’autres contrôles au problème ultérieurement, et lorsque vous liez le problème à la deuxième exception de politique, tous les contrôles nouvellement ajoutés sont ajoutés en tant que contrôles impactés, mais pas celui qui a déjà été ajouté en tant que contrôle impacté de la première exception de politique.
    4. Enregistrez l’exception de politique.
      L’exception de politique est dans l’état Nouveau .
    5. Cliquez sur le bouton Demander l’approbation .
      Si des règles de vérification sont configurées, les approbations de vérification sont déclenchées. Une fois les approbations de vérification approuvées, l’exception de politique passe à l’état Analyse.

      Une fois l’exception de politique approuvée et si la date de fin de validité est atteinte, l’état passe à Fermé et le sous-état à Expiré.

      Vous pouvez également retirer l’exception de politique à tout moment avant l’approbation de l’exception de politique, si elle n’est plus nécessaire, directement à partir du nouvel état.

    6. Pour retirer l’exception de politique, cliquez sur le bouton Annuler la demande .
      L’état passe à Fermé et le sous-état à Annulé.

    Que faire ensuite

    En tant que demandeur, vous pouvez demander plusieurs fois des extensions à une exception de politique qui se trouve dans l’état Approuvé. Configurez la propriété pour demander l’extension de la Number of extensions allowed for a policy exception politique plusieurs fois.

    Pour configurer la propriété, consultez Configurer le nombre d’extensions autorisées pour une exception de politique.

    Pour demander une extension, cliquez sur le bouton Demande d’extension et saisissez les détails dans la fenêtre contextuelle Demande d’extension.

    Cliquez sur Demander. Vous pouvez voir les détails de l’extension de la politique dans l’onglet Calendrier du formulaire d’exception de politique une fois que le demandeur a demandé une extension et que l’extension de la politique a été approuvée par l’approbateur.