애플리케이션에 대해 검증 규칙이 정의된 경우 지정된 승인자에게 승인이 필요하다는 알림이 전송됩니다. 요청자가 정책 예외 요청의 필드(예: 정책 또는 통제 목표)를 채우지 않은 경우 이러한 필드는 승인자에게 필수가 됩니다. 승인자가 요청을 검토, 완료 및 승인하면 분석 상태로 전환되고 추가 분석 및 승인을 위해 준수 관리자에게 할당됩니다.
에서 Policy and Compliance Management준수 관리자는 승인된 요청을 받고 위험 평가 탭에서 정책 예외 요청에 위험 등급을 할당합니다.그림 3. 위험 평가 탭의 정책 예외 요청
정책 예외 기록이 저장되면 취약한 항목 관련 목록의 정보뿐만 아니라 소스 애플리케이션 및 소스 기록을 포함한 소스 탭의 정보가 자동으로 채워집니다. 이제 준수 관리자는 정책 예외를 검토하고 승인하는 데 필요한 모든 데이터에 액세스할 수 있습니다.
Policy and Compliance Management에서 준수 관리자는 평가가 구성된 경우 예외 평가를 수행합니다. 평가가 완료되면 준수 관리자는 위험 평가 탭으로 돌아가서 필요한 경우 평가 결과에 따라 위험 등급 을 업데이트합니다. 또한 준수 관리자는 평가 중에 수집된 정보로 다음 필드를 채웁니다.
표 1. 위험 평가 탭
필드
설명
위험 설명
이 정책 예외와 관련된 위험에 대한 상세 정보를 제공합니다.
위험 및 영향 분석
정책 예외에 대한 위험 및 영향 분석에 대한 상세 정보를 제공합니다.
위험 완화 계획
이 정책 예외와 관련된 완화 계획에 대한 상세 정보를 제공합니다.
정책 예외에 정보가 누락된 경우 준수 관리자는 추가 정보 요청을 클릭하고 주석을 추가하여 필요한 데이터 유형을 식별할 수 있습니다. 요청자에게 알림이 전송되고 요청된 정보를 제공합니다.
필요에 따라 준수 관리자는 검토 요청을 클릭하여 승인하기 전에 추가 사내 검토를 위해 정책 예외를 보낼 수 있습니다.
주:
검토를 요청하기 전에 영향을 받는 통제 관련 목록에 정책 예외의 영향을 받는 통제가 포함되어 있는지 확인하십시오. 관련 목록을 열고 추가를 클릭한 다음 컨트롤을 선택하기만 하면 됩니다.
정책 예외의 위험이 특히 높고 준수 관리자가 조직의 더 높은 사람(예: CIO)으로부터 승인을 받아야 한다고 생각하는 경우 준수 관리자는 승인 요청을 클릭할 수 있습니다.
Request Approval(승인 요청)을 클릭하여 규칙에 정의된 사용자 또는 그룹에 정책 예외를 보낼 수 있습니다. 예를 들어 승인 규칙은 정책 예외가 특정 정책을 기반으로 하는 경우 특정 사용자 또는 그룹 집합에 정책 예외에 대한 승인을 제공해야 한다는 알림을 받도록 나타낼 수 있습니다. 또는 위험 등급이 중요인 정책 예외가 특정 승인자 집합에 자동으로 전송되도록 승인 규칙을 정의할 수 있습니다.
정책 예외를 승인하는 데 필요한 승인자 수는 규칙의 필수 승인 필드 설정에 따라 달라집니다.
Approve(승인)를 클릭하여 정책 예외를 직접 승인할 수도 있습니다.
승인 규칙이 정의되고 자동 트리거 확인란이 선택된 경우
승인 버튼을 클릭하면 승인 규칙이 실행되고 승인 규칙에 따라 정의된 사용자 또는 그룹에 정책 예외가 자동으로 전송됩니다. 자동 트리거를 사용하면 이 단계가 필수가 됩니다. 승인을 받으면 정책 예외가 적용됩니다.
에서 Vulnerability Response승인을 받은 후 정책 예외가 활성화되고 정책 예외가 만료될 때까지 취약한 항목에 대한 패치 적용 작업이 지연됩니다. 유효 기간 (종료 ) 날짜에 도달하면 정책 예외가 만료되고 취약한 항목의 상태가 지연됨에서 미해결됨으로 변경됩니다.
