コンプライアンスワークスペースを使用してポリシー例外を要求

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:9分

    • コンプライアンスワークスペースを使用して、例外が適用されるシステム、アプリケーション、ネットワーク、またはエンティティの特定のリストで例外の理由を指定することで、ポリシー、コントロール目標、または問題の例外を要求します。例外が必要な期間も指定する必要があります。

    始める前に

    必要なロール: sn_grc.business_usersn_grc.business_user_lite

    このタスクについて

    例外は、特別な状況のためにコンプライアンス要件を満たすことができない場合に一時的に保護します。たとえば、OS ベンダーがパッチをリリースしてから 48 時間以内にすべての重要な OS サーバーにパッチを適用する必要があるという規定を満たすことができない場合です。

    注:
    ポリシー例外の詳細については、「ポリシーの例外と延長を管理」を参照してください。

    手順

    1. 移動先 すべて > ポリシーとコンプライアンス > コンプライアンスワークスペース.
    2. [作成] リストで [ポリシー例外] をクリックします。
    3. フォームのフィールドに入力します。
      表 : 1. 新しいポリシー例外を作成フォーム
      フィールド 説明
      番号 一意の識別番号。
      名前 ポリシー例外の名前。
      要求者 ポリシー例外を要求するユーザー (通常はコントロールオーナー)。
      理由 ポリシー例外を要求する理由。要求者は、ポリシーの例外が承認されるまで理由を変更できます。
      簡単な説明 ポリシー例外要求の説明。
      状況 承認ワークフロー内のポリシー例外のステータス。
      サブステート 承認ワークフロー内のポリシー例外の承認サブステート。
      優先度 このポリシー例外の承認優先度
      正当性 ポリシー例外の証拠または根拠。
      ソース
      ソースタイプ 作成するポリシー例外のタイプ。オプションは次のとおりです。
      • ポリシー:ポリシーに基づいてポリシー例外を作成します。
      • コントロール目標:デフォルトは、ポリシー例外が作成される単一のコントロール目標です。

        コントロール目標を選択すると、[影響を受けるコントロール] タブが表示され、コントロール目標に関連付けられたコントロールを選択できます。

      • コントロール:複数のコントロールでポリシー例外を作成するオプション。

        異なるコントロール目標から複数のコントロールを関連付けるには、[コントロール] を選択します。このオプションは、複数のコントロールに適用される複数のポリシー例外を作成するのではなく、ポリシー例外の複数のコントロール目標をサポートします。

      • 問題:このポリシー例外に関連する問題。
      ポリシー 例外が作成されるポリシー。
      コントロール目標 このポリシー例外に関連付けられたコントロール目標。
      問題 このポリシー例外に関連する問題。
      ターゲットレコード ポリシー例外が適用されるターゲットレコードテーブル。このテーブルは、[ポリシー例外統合レジストリ] フォームの [ポリシー例外ターゲットテーブル] フィールドでも参照されます。
      スケジュール
      有効期限開始 ポリシー例外が開始される日。
      有効期限 ポリシー例外が終了する日。[有効期限] の日付は [有効期限開始] よりも後である必要があり、過去の日付にすることはできません。
      期間 [有効期限開始][有効期限] の間の日数。
      承認された延長 これまでに要求され、承認された延長の回数。
      残りの延長 将来的に延長を要求できる回数。残りの延長 = Number of extensions allowed for a policy exception プロパティの値 – 承認された延長の数
      作成済み ポリシー例外が要求された日付。
      承認日 例外が承認された日付。
      延長日 要求された延長日。[有効期限] より後の日付です。
      延長理由 延長の理由。
      元の有効期限 ポリシー例外が最初に要求され、承認された日付。元の [有効期限] の日付は、延長が承認された場合にのみ入力されます。
      アサイン
      ウォッチリスト 要求が更新されたときに通知されるユーザー。
      承認グループ コンプライアンスマネージャーロールを持つグループ。ポリシー例外がレビュー状況に達した場合、承認グループを編集できません。

      承認グループを指定しない場合、フィールドはデフォルトでコンプライアンスマネージャーに設定されます。コンプライアンスマネージャーは、ポリシー例外が GRC と統合されたアップストリームアプリケーションから発生した場合のデフォルトのロールです。たとえば、インシデントに関連する問題に対してポリシー例外を生成し、その問題が GRC に関連しているとします。
      承認者 承認グループのユーザー。例外ポリシーが [分析] ステータスに移行した場合は、承認者を選択する必要があります。
      リスクアセスメント
      方法 (Method) リスクを評価する方法:
      • リスク評価を選択:このポリシー例外に関連付けられたリスク評価を選択します。
      • タスクリスクアセスメント:リスクアセスメントを実施してリスク評価を計算します。
        注:
        このオプションは、GRC:高度なリスクプラグインがインストールされている場合にのみ使用できます。

      リスクアセスメントは、フォームの [リスクを評価] ボタンをクリックしてトリガーできます。このボタンは、[タスクリスクアセスメント] が選択されている場合にのみ使用できます。
      リスク評価 ポリシー例外で実行されるリスクアセスメントで定義されるリスク評価。

      [方法 (Method)] フィールドで [リスク評価を選択] オプションを選択した場合は、リストから値を選択できます。[方法 (Method)] フィールドで [タスクリスクアセスメント] オプションを選択すると、このフィールドにはリスクアセスメントで指定された応答が自動的に入力されます。
      上書き リスクアセスメントに提供された応答に基づいて自動入力された [リスク評価] を上書きするオプション。このフィールドは、[方法 (Method)][タスクリスクアセスメント] オプションの場合に表示されます。
      リスク詳細 リスクアセスメント中にリスクマネージャーによって実行されたリスクの説明。
      リスクと影響度の分析 このリスクが発生する可能性と、このリスクがポリシーの例外に及ぼす残存影響度の詳細。
      リスク軽減計画 このポリシー例外のリスク軽減計画。
      コメント
      作業メモ 例外のレビュー担当者と承認者は、作業メモを使用して例外に関する情報を共有できます。
      追加コメント これらのコメントは、レビュー担当者が例外要求者に追加情報を伝えるために使用します。
      機密性
      機密 レコードの機密性を有効にするオプション。アサインされた機密ユーザーまたはユーザーの機密グループのみがレコードにアクセスできます。

      機密オプションの詳細については、「監査およびコンプライアンスレコードの機密性フラグ」を参照してください。
      注:
      バージョン 10.1 より前のバージョンでは、[リスクアセスメント] 関連リストは [ビジネスインパクトアナリシス] と呼ばれ、GRC: リスク管理 アプリケーションをアクティブ化する必要がありました。バージョン 10.1 以降、リスク管理 への依存関係が削除され、関連するフィールド名が変更されました。

      [承認済みの延長][残りの延長][承認日][延長日][延長の理由][元の有効期限] フィールドは、ポリシー例外の延長を要求し、承認者によって承認された場合にのみ表示されます。

      問題とポリシー例外の m2m 関連付けに関しては、[問題] フィールド、[コントロール目標] フィールド、および [影響を受けるコントロール] タブに入力する値について把握しておく必要のある特定の考慮事項があります。
      1. [ソースタイプ] フィールドで問題を選択すると、1 つ以上のアクティブなコントロールが関連付けられている問題が [問題] 参照フィールドに一覧表示されます。アクティブコントロールは、[証明]、[レビュー]、または [監視] 状況のコントロールであり、[ドラフト] または [廃止] 状況ではありません。[影響を受けるコントロール] タブに移動して、問題に関連するコントロールを表示できます。
      2. 問題が 1 つのコントロール目標にのみリンクされている場合、リンクされているコントロール目標が [コントロール目標] 参照フィールドに入力されます。問題が複数のコントロール目標にリンクされている場合、[コントロール目標] フィールドに入力される値はありません。[コントロール目標] 参照フィールドをクリックして、コントロール目標を選択します。
      3. [問題] フィールドで問題を選択していなくても、[コントロール目標] 参照フィールドにコントロール目標が入力されている場合、[問題参照] フィールドには、このコントロール目標にリンクされている問題のみが一覧表示されます。
      4. [問題] フィールドに問題を追加すると、その問題にリンクされているすべてのコントロールが [影響を受けるコントロール] タブに追加されます。ただし、[コントロール目標] 参照フィールドでコントロール目標を選択すると、[影響を受けるコントロール] タブにリストされているすべてのコントロールは、選択したコントロール目標と問題にリンクされているコントロールのみに置き換えられます。コントロールは任意のステータスにすることができますが、[ドラフト] または [廃止] ステータスにすることはできません。
      5. ポリシー例外の 1 つの問題にリンクされている影響を受けるコントロールは、最初のポリシー例外の [影響を受けるコントロール] タブに既にリストされているため、別のポリシー例外で追加するためにリストされることはありません。後で問題にコントロールを追加し、問題を 2 番目のポリシー例外にリンクすると、新しく追加されたすべてのコントロールが影響を受けるコントロールとして追加されますが、最初のポリシー例外の影響を受けるコントロールとして追加されたコントロールは含まれません。
    4. ポリシー例外を保存します。
      ポリシー例外のステータスは [新規] です。
    5. [承認を要求] ボタンをクリックします。
      検証ルールが設定されている場合は、検証承認がトリガーされます。検証の承認が承認されると、ポリシー例外は [分析] ステータスに移行します。

      ポリシー例外が承認され、[有効期限] の日付に達すると、ステータスは [クローズ済み] に移行し、サブステートは [期限切れ] に移行します。

      ポリシー例外が承認される前であれば、不要になった場合は [新規] ステータスからいつでもポリシー例外を取り消すことができます。

    6. ポリシーの例外を取り消すには、[要求のキャンセル] ボタンをクリックします。
      ステータスは [クローズ済み] に、サブステートは [キャンセル] に移行します。

    次のタスク

    要求者は、承認済みステータスのポリシー例外の延長を複数回要求できます。ポリシーの延長を複数回要求するには、Number of extensions allowed for a policy exception プロパティを設定します。

    プロパティを設定するには、「Configure the number of extensions allowed for a policy exception (ポリシー例外に対して許可されている延長の数を設定する)」を参照してください。

    延長を要求するには、[延長を要求] ボタンをクリックし、[延長を要求] ポップアップに詳細を入力します。

    [要求] をクリックします。要求者が延長を要求し、承認者によってポリシーの延長が承認された後、ポリシー例外フォームの [スケジュール] タブでポリシー延長の詳細を確認できます。