준수 작업 공간를 사용하여 정책 예외 요청

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 6분

    • 예외가 적용되는 시스템, 애플리케이션, 네트워크 또는 엔터티의 특정 목록에 예외 사유를 지정하여 정책, 제어 목표 또는 문제에 대한 예외를 요청하려면 를 준수 작업 공간 사용합니다. 예외가 필요한 기간도 지정해야 합니다.

    시작하기 전에

    필요한 역할: sn_grc.business_user, sn_grc.business_user_lite

    이 태스크 정보

    예외는 특별한 상황으로 인해 규정 준수 요구 사항을 충족할 수 없는 경우 일시적인 구제를 제공합니다. 예를 들어, OS 벤더가 패치를 릴리스한 후 48시간 이내에 모든 중요한 OS 서버에 패치를 적용해야 한다고 규정하는 통제를 충족할 수 없습니다.

    주:
    정책 예외에 대한 자세한 내용은 다음 문서를 참조하십시오 정책 예외 및 확장 관리.

    프로시저

    1. 다음으로 이동 모두 > 정책 및 준수 > 준수 작업 공간.
    2. 생성 목록에서 정책 예외를 클릭합니다.
    3. 양식에서 필드를 채웁니다.
      표 1. 새 정책 예외 양식 생성
      필드 설명
      번호 고유 식별 번호입니다.
      이름 정책 예외의 이름입니다.
      요청자 정책 예외를 요청하는 사람(일반적으로 통제 소유자)입니다.
      사유 정책 예외를 요청하는 이유입니다. 요청자는 정책 예외가 승인될 때까지 이유를 변경할 수 있습니다.
      간단한 설명 정책 예외 요청에 대한 설명입니다.
      상태 승인 워크플로우 내의 정책 예외 상태입니다.
      하위 상태 승인 워크플로우 내 정책 예외의 승인 하위 상태입니다.
      우선순위 이 정책 예외의 승인 우선순위
      근거 정책 예외에 대한 증거 또는 근거입니다.
      소스
      소스 유형 생성하려는 정책 예외의 유형입니다. 옵션은 다음과 같습니다.
      • 정책: 정책에 따라 정책 예외를 만듭니다.
      • 통제 목표: 기본값은 정책 예외가 생성되는 단일 통제 목표입니다.

        통제 목표를 선택하면 통제 목표와 연결된 통제를 선택할 수 있는 영향을 받는 통제 탭이 나타납니다.

      • 통제: 여러 통제에 대한 정책 예외를 생성하는 옵션입니다.

        통제를 선택하여 서로 다른 통제 목표의 여러 통제를 연결합니다. 이 옵션은 여러 통제에 적용할 수 있는 여러 정책 예외를 생성하는 대신 정책 예외에 대한 여러 통제 목표를 지원합니다.

      • 문제: 이 정책 예외와 관련된 문제입니다.
      정책 예외가 생성되는 정책입니다.
      컨트롤 목적 이 정책 예외와 연관된 통제 목표입니다.
      문제 이 정책 예외와 관련된 문제입니다.
      대상 기록 정책 예외가 적용되는 대상 기록 테이블입니다. 이 테이블은 정책 예외 통합 레지스트리 양식의 정책 예외 대상 테이블 필드에서도 참조됩니다.
      일정
      유효 기간(시작) 정책 예외가 시작되는 날입니다.
      유효 기간(종료) 정책 예외가 종료되는 날짜입니다. 유효 기간(종료) 날짜는 유효 기간(시작) 날짜 이후여야 하며 과거 날짜일 수 없습니다.
      지속 시간 유효 기간(시작)과 유효 기간(종료) 날짜 사이의 일 수입니다.
      승인된 연장 지금까지 연장이 요청되어 승인된 횟수입니다.
      나머지 연장 향후에 연장을 요청할 수 있는 횟수입니다. 나머지 확장 = 속성의 Number of extensions allowed for a policy exception 값 – 승인된 확장 수입니다.
      작성됨 정책 예외가 요청된 날짜입니다.
      승인된 날짜 예외가 승인된 날짜입니다.
      연장 날짜 요청된 연장 날짜로, 유효 기간(종료 ) 날짜 이후입니다.
      연장 이유 연장 이유입니다.
      원본 유효 기간(끝) 정책 예외가 처음 요청되고 승인된 종료 날짜입니다. 원래유효 기간(종료 ) 날짜는 확장이 승인된 경우에만 채워집니다.
      할당
      관찰 목록 요청이 업데이트될 때 알림을 받는 사용자입니다.
      승인 그룹 준수 관리자 역할이 있는 그룹입니다. 정책 예외가 검토 상태에 도달하면 승인 그룹을 편집할 수 없습니다.

      승인 그룹을 제공하지 않으면 필드가 기본적으로 준수 관리자로 설정됩니다. GRC와 통합된 업스트림 애플리케이션에서 정책 예외가 발생하는 경우 준수 관리자가 기본 역할입니다. 예를 들어 인시던트와 관련된 문제에 대해 정책 예외를 제기하고 해당 문제는 GRC와 관련이 있는 경우입니다.
      승인자 승인 그룹의 사용자입니다. 예외 정책이 분석 상태로 이동하면 승인자를 선택해야 합니다.
      위험 평가
      방법 위험 평가 방법:
      • 위험 등급 선택: 이 정책 예외와 연관된 위험 등급을 선택합니다.
      • 위험 평가 수행: 위험 평가를 수행하여 위험 등급을 계산합니다.
        주:
        이 옵션은 GRC: 고급 위험 플러그인이 설치된 경우에만 사용할 수 있습니다.

      양식에서 위험 평가 버튼을 클릭하여 위험 평가를 트리거할 수 있습니다. 이 버튼은 위험 평가 수행 을 선택한 경우에만 사용할 수 있습니다.
      위험 등급 정책 예외에 대해 수행된 위험 평가에 의해 결정된 위험 등급입니다.

      방법 필드에서 위험 등급 선택 옵션을 선택한 경우 목록에서 값을 선택할 수 있습니다. 방법 필드에서 위험 평가 수행 옵션을 선택하면 이 필드에 위험 평가에서 제공된 응답이 자동으로 채워집니다.
      재정의 위험 평가에 제공된 응답을 기반으로 자동으로 채워진 위험 등급 을 무효화하는 옵션입니다. 이 필드는 방법이 위험평가 옵션을 수행하는 경우에 나타납니다.
      위험 설명 위험 평가 중에 위험 관리자가 수행하는 위험에 대한 설명입니다.
      위험 및 영향 분석 이 위험이 발생할 가능성과 이 위험이 정책 예외에 미치는 잔여 영향에 대한 상세 정보입니다.
      위험 완화 계획 이 정책 예외에 대한 위험 완화 계획입니다.
      설명
      작업 메모 예외 검토자와 승인자는 예외에 대한 정보를 공유하기 위해 작업 메모를 사용할 수 있습니다.
      추가 의견 이러한 의견은 검토자가 예외 요청자에게 추가 정보를 전달하는 데 사용됩니다.
      기밀성
      기밀 기록의 기밀성을 활성화하는 옵션입니다. 할당된 기밀 사용자 또는 기밀 사용자 그룹만 기록에 액세스할 수 있습니다.

      기밀 옵션에 대한 자세한 내용은 감사 및 규정 준수 기록에 대한 기밀성 플래그를 참조하십시오.
      주:
      버전 10.1 이전 버전에서는 위험 평가 관련 목록을 비즈니스 영향 분석 이라고 하며 GRC: 위험 관리 애플리케이션을 활성화해야 했습니다. 버전 10.1부터 종속성 위험 관리 이 제거되고 연결된 필드 이름이 변경되었습니다.

      승인된 연장, 나머지 연장,승인된 날짜, 연장 날짜, 연장 이유, 원래 유효 기간(종료 ) 필드는 정책 예외에 대한 연장을 요청하고 승인자의 승인을 받은 경우에만 표시됩니다.

      문제와 정책 예외의 m2m 연결과 관련하여 문제 필드, 통제 목표 필드 및 영향을 받는 통제 탭에 채워지는 값에 대해 알아야 하는 몇 가지 고려 사항이 있습니다.
      1. 소스 유형 필드에서 문제를 선택하면 문제 참조 필드에 하나 이상의 활성 통제가 연결된 문제가 나열됩니다. 활성 통제는 초안 또는 폐기됨 상태가 아닌 증명, 검토 또는 모니터링 상태입니다. 영향을 받는 통제 탭으로 이동하여 문제와 관련된 통제를 볼 수 있습니다.
      2. 문제가 하나의 통제 목표에만 연결된 경우 연결된 통제 목표가 통제 목표 참조 필드에 채워집니다. 문제가 둘 이상의 통제 목표에 연결되어 있으면 통제 목표 필드에 값이 채워지지 않습니다. 통제 목표 참조 필드를 클릭하여 통제 목표를 선택합니다.
      3. 문제 필드에서 문제를 선택하지 않았지만 통제 목표 참조 필드에 통제 목표가 채워진 경우 문제 참조 필드에는 이 통제 목표에 연결된 문제만 나열됩니다.
      4. 문제 필드에 문제를 추가하는 즉시 해당 문제에 연결된 모든 통제가 영향을 받는 통제 탭에 추가됩니다. 그러나 통제 목표 참조 필드에서 통제 목표를 선택하면 영향을 받는 통제 탭에 나열된 모든 통제가 선택한 통제 목표 및 문제에 연결된 통제로만 대체됩니다. 통제는 어떤 상태도 될 수 있지만 초안 또는 폐기됨 상태는 아닙니다.
      5. 해당 통제가 첫 번째 정책 예외의 영향을 받는 통제 탭에 이미 나열되어 있기 때문에 정책 예외의 한 문제에 연결된 영향을 받는 통제는 다른 정책 예외에 추가할 수 있도록 나열되지 않습니다. 나중에 문제에 더 많은 통제를 추가하고 문제를 두 번째 정책 예외에 연결하면 새로 추가된 모든 통제가 영향을 받는 통제로 추가되지만 첫 번째 정책 예외의 영향을 받는 통제로 이미 추가된 통제는 추가되지 않습니다.
    4. 정책 예외를 저장합니다.
      정책 예외가 신규 상태입니다.
    5. 승인 요청 버튼을 클릭합니다.
      검증 규칙이 구성되면 검증 승인이 트리거됩니다. 검증 승인이 승인되면 정책 예외가 분석 상태로 이동합니다.

      정책 예외가 승인되고 유효 기간 날짜에 도달하면 상태가 종결 로 바뀌고 하위 상태가 만료됨으로 바뀝니다.

      정책 예외가 더 이상 필요하지 않은 경우 승인되기 전에는 언제든지 상태에서 바로 정책 예외를 철회할 수도 있습니다.

    6. 정책 예외를 철회하려면 요청 취소 버튼을 클릭하십시오.
      상태가 종결로 이동하고 하위 상태가 취소됨으로 전환됩니다.

    다음에 수행할 작업

    요청자는 승인됨 상태에 있는 정책 예외에 대한 연장을 두 번 이상 요청할 수 있습니다. 정책 확장을 여러 번 요청하도록 속성을 구성 Number of extensions allowed for a policy exception 합니다.

    속성을 설정하려면 정책 예외에 허용되는 확장 수 구성을 참조하십시오.

    연장을 요청하려면 연장 요청 버튼을 클릭하고 연장 요청 팝업에 상세 정보를 입력합니다.

    요청을 클릭합니다. 요청자가 연장을 요청하고 승인자가 정책 확장을 승인한 후 정책 예외 양식의 일정 탭 에서 정책 확장 상세 정보를 볼 수 있습니다.