Demander une exception de politique

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • Les utilisateurs peuvent demander des exceptions pour les politiques, les objectifs de contrôle ou les problèmes en spécifiant le motif de l’exception sur une liste particulière de systèmes, d’applications, de réseaux ou d’entités pour lesquels l’exception s’appliquera. L’utilisateur doit également spécifier la durée pendant laquelle l’exception est requise.

    Avant de commencer

    Rôle requis : sn_grc.business_user, sn_grc.business_user_lite

    Pourquoi et quand exécuter cette tâche

    Les exceptions offrent un soulagement temporaire aux utilisateurs qui ne sont pas en mesure de satisfaire aux exigences de conformité en raison de situations extraordinaires. Par exemple, si l’utilisateur n’est pas en mesure de répondre à un contrôle qui stipule que tous les serveurs de système d’exploitation critiques doivent être corrigés dans les 48 heures suivant la publication des correctifs par le fournisseur du système d’exploitation.

    Procédure

    1. Accédez à la Tout > Politique et Conformité > Mes exceptions de politique.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 1. Formulaire d’exception de politique
      Champ Description
      Numéro Numéro d’identification unique.
      Demandeur Personne demandant l’exception de politique, généralement le propriétaire du contrôle.
      Groupe d'approbation Groupe ayant le rôle de gestionnaire de conformité. Vous ne pouvez pas modifier le groupe d’approbation si l’exception de politique atteint l’état Réviser.

      Si vous ne fournissez pas de groupe d’approbation, le champ par défaut est défini sur Gestionnaire de conformité. Gestionnaire de conformité est le rôle par défaut si l’exception de politique est déclenchée à partir d’une application en amont intégrée à GRC. Par exemple, si vous émettez une exception de politique pour un problème lié à un incident et que ce problème est lié à GRC.
      Approbateur Utilisateur du groupe d’approbation. Si la politique d’exception passe à l’état Analyser , vous devez sélectionner un approbateur.
      État État de l’exception de politique dans le workflow d’approbation.
      Sous-état Sous-état d’approbation de l’exception de politique dans le workflow d’approbation.
      Priorité Priorité d’approbation de cette exception de politique
      Liste de surveillance Utilisateurs notifiés lorsque la demande est mise à jour.
      Nom Nom unique de l’exception de politique.
      Motif Motif de la demande d’exception de politique. Le demandeur peut modifier le motif jusqu’à ce que l’exception de politique soit approuvée.
      Justification Énoncé d’explication de l’exception de politique. La justification est également affichée dans le champ Commentaires supplémentaires de l’onglet Commentaires .
      Source
      Type de source Type d’exception de politique que vous souhaitez créer. Les options sont les suivantes :
      • Politique : créez une exception de politique basée sur une politique.
      • Objectif de contrôle : par défaut est un objectif de contrôle unique sur lequel l’exception de politique est créée.

        Lorsque vous sélectionnez un objectif de contrôle, l’ongletContrôles concernés s’affiche, dans lequel vous pouvez sélectionner les contrôles associés à l’objectif de contrôle.

      • Contrôles : option permettant de créer une exception de politique sur plusieurs contrôles.

        Sélectionnez Contrôle pour associer plusieurs contrôles à partir de différents objectifs de contrôle. Cette option prend en charge plusieurs objectifs de contrôle pour votre exception de politique, au lieu de créer plusieurs exceptions de politique qui pourraient être appliquées à plusieurs contrôles.

      • Problème : problème associé à cette exception de politique.
      Objectif du contrôle Objectif du contrôle associé à cette exception de politique.
      Problème Problème associé à cette exception de politique.
      Enregistrement cible Table d’enregistrement cible sur laquelle l’exception de politique est appliquée. Cette table est également référencée dans le champ Table cible des exceptions de politique du formulaire Registre d’intégration des exceptions de politique.
      Cote de risque
      Cote de risque Sélectionnez la cote de risque telle que déterminée par l’évaluation des risques effectuée sur l’exception de politique.
      Description du risque Description du risque effectuée par le gestionnaire des risques au cours de l’évaluation des risques.
      Analyse du risque et de l'impact Détails sur la probabilité de survenance de ce risque et les impacts résiduels de ce risque sur l’exception de politique.
      Plan d'atténuation des risques Plan d’atténuation des risques pour cette exception de politique.
      Calendrier
      Début de validité Jour de début de l’exception de politique.
      Date de fin de validité Jour de fin de l’exception de politique.

      La date de fin de validité doit être postérieure à la date de début de validité et ne peut pas être une date antérieure.
      Durée Nombre de jours entre les dates de début de validité et de fin de validité .
      Extensions approuvées Nombre de fois où des prolongations ont été demandées jusqu’à présent et ont été approuvées.
      Extensions restantes Nombre de fois que des extensions peuvent être demandées à l’avenir.

      Extensions restantes = Valeur dans la Number of extensions allowed for a policy exception propriété – Nombre d’extensions approuvées.
      Créé Date à laquelle l’exception de politique a été demandée.
      Dates d'approbation Date d’approbation de la demande.
      Date de report Date d’extension demandée, qui est postérieure à la date de fin de validité .
      Motif de l'extension Motif de la prolongation.
      Date de fin de validité d'origine Date jusqu’à laquelle l’exception de politique a été initialement demandée et approuvée. La date de fin de validité d’origine n’est renseignée que lorsque l’extension est approuvée.
      Commentaires
      Notes de travail Les notes de travail peuvent être utilisées par les réviseurs et les approbateurs d’exceptions pour partager des informations relatives à l’exception.
      Commentaires supplémentaires Ces commentaires sont utilisés par le réviseur pour communiquer des informations supplémentaires au demandeur d’exception.
      Confidentialité
      Confidentiel Option permettant d’activer la confidentialité de l’enregistrement. Seuls les utilisateurs confidentiels affectés ou les groupes d’utilisateurs confidentiels peuvent accéder à l’enregistrement.

      Pour plus d’informations sur l’option Confidentiel, consultez Marqueur de confidentialité pour les enregistrements d’audit et de conformité.
      Remarque :
      Dans les versions antérieures à la version 10.1, l’onglet Évaluation des risques était appelé Business Impact Analysis et nécessitait l’activation de l’application GRC : Gestion des risques . À partir de la version 10.1, la dépendance a Gestion des risques été supprimée et les noms de champs associés ont changé.

      Les champs Extensions approuvées, Extensions restantes, Date d’approbation, Date d’extension, Motif de l’extension, Date de fin de validité d’origine s’affichent uniquement lorsque vous avez demandé une extension de l’exception de politique et que cela a été approuvé par l’approbateur.

    4. Enregistrez l’exception de politique.
    5. Cliquez sur l’un des onglets pour afficher les différents types d’informations relatives à l’exception de politique
    6. Cliquez sur Mettre à jour.