GRC: ポリシーとコンプライアンス管理を使用してテスト結果グループの例外を要求する

リリースバージョン: Washingtondc

更新日 2024年02月01日

読む3読むのに数分

コンフィグレーションコンプライアンス内のポリシーとコンプライアンス管理アプリケーションの GRC ポリシー例外管理機能を使用して、ポリシー例外を要求します。

始める前に

ポリシー例外統合を使用してポリシー例外を要求する前に、ServiceNow Store から GRC: ポリシーとコンプライアンス管理アプリケーションをダウンロードする必要があります。

必要なロール：sn_vulc.remediation_owner

クラシック UI で例外を要求することもできます。

脆弱性対応のバージョン 19.0 以降では、IT 修復ワークスペースでテスト結果グループ (TRG) のポリシー例外を要求できます。詳細については、「IT 修復ワークスペースでの GRC: ポリシーとコンプライアンス管理を使用した例外の要求」を参照してください。

注:

コンフィグレーションコンプライアンスの v14.9 以降では、次の用語が変更されました。

移動先すべて > Application Vulnerability Response > アプリケーション脆弱性一致アイテム (または修復タスク)>[すべて]]に移動し、例外を要求するアイテムまたはグループを開きます。
選択するアイテムまたはグループは、[オープン]、[調査中]、または [実装待ち] ステータスである必要があります。
選択したフォームで、[例外の要求] をクリックします。

[例外管理] 画面で GRC: ポリシーとコンプライアンス管理が選択されている場合は、次の操作を行います。

フォームのフィールドに入力します。

表 : 2. [例外の要求] フォーム
フィールド	説明
ポリシー	例外を要求している脆弱性管理ポリシー。
コントロール目標	選択したポリシーに関連付けられているコントロール目標。ポリシーが選択されていない場合は、すべてのコントロール目標が一覧表示されます。
有効開始日	例外が開始される日付。デフォルト値は現在の日付です。過去の日付にすることはできません。
有効期限	ポリシー例外が期限切れになり、脆弱性一致アイテムまたはグループのステータスが [保留] から [オープン] に変更される日付。注: ポリシー例外が有効である日数を、Policy and Compliance でポリシーに設定した [最大例外期間 (日数)] を超える日数に設定することはできません。詳細については、「ポリシーの作成」を参照してください。
理由	例外を要求する理由。
理由	この要求が行われている理由に関連する詳細情報。このフィールドは修復オーナーが入力する必要があります。

[承認要求] をクリックして例外要求を送信します。
テスト結果グループのステータスが [レビュー中] に変わり、ポリシー例外が作成されます。[ステータス変更承認] タブを使用して、例外要求のステータスを追跡します。
[ポリシー例外] 関連リストをクリックして、作成したポリシー例外を確認します。
ポリシー例外番号をクリックします。
[承認者] フィールドで、承認者の名前を選択します。
[ソース] タブをクリックし、[コントロール目標] フィールドからコントロール目標を選択します。
[リスクアセスメント] タブをクリックし、[リスク評価] フィールドからリスク評価を選択します。
フォームを保存します。
[影響を受けるコントロール] タブをクリックします。
[追加] をクリックしてコントロールを追加します。
フォームを保存します。

注:
[コンプライアンスレビューを要求] をクリックすると、コンプライアンスレビューを作成できます。

承認フォームが承認者に送信されます。

承認者は [承認] をクリックして要求を承認するか、[追加の承認を要求] をクリックして追加の承認を要求します。

レコードのステータスが [保留] に変わります。表示されている理由は、例外要求を出したときに選択したものです。[保留] タブにはレコードに関する追加のメモが表示されます。

注:

要求が却下された場合、レコードは前のステータスに移行します。

[Submit] をクリックします。
ポリシー例外統合および修復オーナーとコンプライアンスマネージャー間の引き渡しの詳細については、「Policy and Compliance Management optional setup (Policy and Compliance Management オプションのセットアップ)」を参照してください。