Demander une exception à la politique

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 4 minutes de lecture

    • Les utilisateurs peuvent demander des exceptions pour des politiques, des objectifs de contrôle ou des problèmes en spécifiant le motif de l’exception sur une liste particulière de systèmes, d’applications, de réseaux ou d’entités pour lesquels l’exception s’appliquera. L’utilisateur doit également spécifier la durée pendant laquelle l’exception est requise.

    Avant de commencer

    Rôle requis : sn_grc.business_user, sn_grc.business_user_lite

    Pourquoi et quand exécuter cette tâche

    Les exceptions fournissent un soulagement temporaire aux utilisateurs incapables de satisfaire aux exigences de conformité en raison de situations extraordinaires. Par exemple, si l’utilisateur n’est pas en mesure de respecter un contrôle qui stipule que tous les serveurs de système d’exploitation critiques doivent être corrigés dans les 48 heures suivant la publication des correctifs par le fournisseur de système d’exploitation.

    Procédure

    1. Accédez à la Tout > Politique et Conformité > Mes exceptions de politique.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 1. Formulaire d’exception de politique
      Champ Description
      Numéro Numéro d’identification unique.
      Demandeur Personne demandant l’exception à la politique, généralement le propriétaire du contrôle.
      Groupe d'approbation Groupe disposant du rôle de gestionnaire de conformité. Vous ne pouvez pas modifier le groupe d’approbation si l’exception de politique atteint l’état Réviser.

      Si vous ne fournissez pas de groupe d’approbation, le champ est défini par défaut sur gestionnaire de conformité. Le rôle est le rôle par défaut si l’exception de politique est déclenchée à partir d’une application en amont intégrée à GRC. Par exemple, si vous soulevez une exception de politique pour un problème lié à un incident et que ce problème est lié à GRC.
      Approbateur Utilisateur du groupe d’approbation. Si la politique d’exception passe à l’état Analyser , vous devez sélectionner un approbateur.
      État État de l’exception de politique dans le workflow d’approbation.
      Sous-état Sous-état d’approbation de l’exception de politique dans le workflow d’approbation.
      Priorité Priorité d’approbation de cette exception de politique
      Liste de surveillance Utilisateurs avertis lorsque la demande est mise à jour.
      Nom Nom unique de l’exception de politique.
      Motif Motif de la demande d’exception de politique. Le demandeur peut changer le motif jusqu’à ce que l’exception de politique soit approuvée.
      Justification Énoncé d’explication de l’exception de politique. La justification est également affichée dans le champ Commentaires supplémentaires de l’onglet Commentaires .
      Source
      Type de source Type d’exception de politique que vous souhaitez créer. Les options sont les suivantes :
      • Politique : créer une exception de politique basée sur une politique.
      • Objectif du contrôle : la valeur par défaut est un objectif de contrôle unique sur lequel l’exception de politique est créée.

        Lorsque vous sélectionnez un objectif de contrôle, l’ongletContrôles impactés s’affiche, dans lequel vous pouvez sélectionner les contrôles associés à l’objectif de contrôle.

      • Contrôles : option permettant de créer une exception de politique sur plusieurs contrôles.

        Sélectionnez Contrôle pour associer plusieurs contrôles provenant de différents objectifs de contrôle. Cette option prend en charge plusieurs objectifs de contrôle pour votre exception de politique, au lieu de créer plusieurs exceptions de politique qui pourraient être appliquées à plusieurs contrôles.

      • Problème : problème associé à cette exception de politique.
      Objectif du contrôle Objectif du contrôle associé à cette exception de politique.
      Problème Problème associé à cette exception de politique.
      Enregistrement cible Table d’enregistrement cible sur laquelle l’exception de politique est appliquée. Cette table est également référencée dans le champ Table cible des exceptions de politique du formulaire Registre d’intégration des exceptions de politique.
      Cote de risque
      Cote de risque Sélectionnez la cote de risque telle que déterminée par l’évaluation des risques effectuée sur l’exception de politique.
      Description du risque Description du risque telle qu’elle a été effectuée par le gestionnaire des risques au cours de l’évaluation des risques.
      Analyse du risque et de l'impact Détails sur la probabilité d’occurrence de ce risque et les impacts résiduels de ce risque sur l’exception de politique.
      Plan d'atténuation des risques Plan d’atténuation des risques pour cette exception de politique.
      Calendrier
      Début de validité Jour de début de l’exception de politique.
      Date de fin de validité Jour auquel l’exception de politique prend fin.

      La date de fin de validité doit être postérieure àla date de début de validité et ne peut pas être une date passée.
      Durée Nombre de jours entre les dates de début et de fin de validité .
      Extensions approuvées Nombre de fois où des prolongations ont été demandées jusqu’à présent et ont été approuvées.
      Extensions restantes Nombre de fois où des prolongations pourront être demandées à l’avenir.

      Extensions restantes = Valeur dans la Number of extensions allowed for a policy exception propriété – Nombre d’extensions approuvées.
      Créées Date à laquelle l’exception de politique a été demandée.
      Dates d'approbation Date d’approbation de la demande.
      Date de report Date de prolongation demandée, postérieure à la date de fin de validité.
      Motif de l'extension Motif de l’extension.
      Date de fin de validité d'origine Date jusqu’à laquelle l’exception de politique a été initialement demandée et approuvée. La date de fin de validité d’origine n’est renseignée que lorsque l’extension est approuvée.
      Commentaires
      Notes de travail Les notes de travail peuvent être utilisées par les réviseurs et les approbateurs d’exceptions pour partager des informations sur l’exception.
      Commentaires supplémentaires Ces commentaires sont utilisés par le réviseur pour communiquer des informations supplémentaires au demandeur d’exception.
      Confidentialité
      Confidentiel Option permettant d’activer la confidentialité de l’enregistrement. Seuls les utilisateurs confidentiels affectés ou les groupes d’utilisateurs confidentiels peuvent accéder à l’enregistrement.

      Pour plus d’informations sur l’option confidentielle, consultez Marqueur de confidentialité pour les enregistrements d’audit et de conformité.
      Remarque :
      Dans les versions antérieures à la version 10.1, l’onglet d’évaluation des risques était appelé Analyse d’impact sur l’entreprise et nécessitait l’activation de l’application GRC : Gestion des risques . À partir de la version 10.1, la dépendance a Gestion des risques été supprimée et les noms de champs associés ont changé.

      Extensions approuvées, Extensions restantes, Date d’approbation, Date de prolongation, Motif de l’extension, Les champs Valide jusqu’à d’origine s’affichent uniquement lorsque vous avez demandé une extension de l’exception de politique et qu’elle a été approuvée par l’approbateur.

    4. Enregistrez l’exception de politique.
    5. Cliquez sur l’un des onglets pour afficher les différents types d’informations relatives à l’exception de politique
    6. Cliquez sur Mettre à jour.