Solicitar uma exceção à política usando o Espaço de conformidade

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 8 min. de leitura

    • Use o Espaço de conformidade para solicitar exceções para políticas, objetivos de controle ou problemas especificando o motivo da exceção em uma lista específica de sistemas, aplicações, redes ou entidades para as quais a exceção se aplica. Você também deve especificar a duração pela qual a exceção é necessária.

    Antes de Iniciar

    Função necessária: sn_grc.business_user, sn_grc.business_user_lite

    Por Que e Quando Desempenhar Esta Tarefa

    As exceções fornecem um relevo temporário quando você não consegue atender aos requisitos de conformidade devido a situações fora do comum. Por exemplo, você não pode atender a um controle que estipula que todos os servidores de SO críticos devem ser corrigidos dentro de 48 horas após o fornecedor do SO lançar patches.

    Nota:
    Para obter mais informações sobre exceções às políticas, consulte Gerenciar exceções e extensões às políticas.

    Procedimento

    1. Navegar até Todos > Políticas e conformidade > Espaço de conformidade.
    2. Clique em Exceção à política na lista Criar.
    3. No formulário, preencha os campos.
      Tabela 1. Formulário Criar nova exceção à política
      Campo Descrição
      Número Número de identificação exclusivo.
      Nome Nome da exceção à política.
      Solicitante Pessoa que solicita a exceção à política, geralmente o proprietário do controle.
      Motivo Motivo para solicitar a exceção à política. O solicitante pode mudar o motivo até que a exceção à política seja aprovada.
      Descrição resumida Descrição da solicitação de exceção à política.
      Estado Estado da exceção à política no fluxo de trabalho de aprovação.
      Subestado Subestado de aprovação da exceção à política no fluxo de trabalho de aprovação.
      Prioridade Prioridade de aprovação desta exceção à política
      Justificativa Evidência ou justificativa para a exceção à política.
      Origem
      Tipo de origem Tipo de exceção à política que você deseja criar. As opções são:
      • Política: crie uma exceção à política com base em uma política.
      • Objetivo de controle: o padrão é um único objetivo de controle no qual a exceção à política é criada.

        Quando você seleciona um objetivo de controle, a guia Controles afetados é exibida, na qual você pode selecionar controles associados ao objetivo de controle.

      • Controles: opção para criar uma exceção à política em vários controles.

        Selecione Controle para associar vários controles de diferentes objetivos de controle. Esta opção oferece suporte a vários objetivos de controles para sua exceção à política, em vez de criar várias exceções à política que podem ser aplicadas em vários controles.

      • Problema: problema associado a esta exceção à política.
      Política Política para a qual a exceção foi criada.
      Objetivo do controle Objetivo de controle associado a esta exceção à política.
      Problema Problema associado a esta exceção à política.
      Registro de destino Tabela de registro de destino na qual a exceção à política é aplicada. Essa tabela também é referenciada no campo Tabela de destino de exceção à política do formulário Registro de integração de exceção à política.
      Programação
      Válido de Dia em que a exceção à política começa.
      Válido até Dia em que a exceção à política termina. A data Válido até deve ser posterior à data Válido de e não pode ser uma data no passado.
      Duração Número de dias entre as datas Válido de e Válido até.
      Extensões aprovadas Número de vezes que as extensões foram solicitadas e aprovadas até o momento.
      Extensões restantes Número de vezes que as extensões podem ser solicitadas no futuro. Extensões restantes = Valor na propriedade Number of extensions allowed for a policy exception – Número de extensões aprovadas.
      Criação Data em que a exceção à política foi solicitada.
      Data aprovada Data em que a exceção foi aprovada.
      Data da extensão Data da extensão solicitada, que é posterior à data Válido até.
      Motivo da exceção Motivo da extensão.
      Original válido até Data até a qual a exceção à política foi solicitada e aprovada originalmente. A dataVálido até original é preenchida somente quando a extensão é aprovada.
      Atribuição
      Lista de observação Usuários que são notificados quando a solicitação é atualizada.
      Grupo de aprovação Grupo que tem a função de gerente de conformidade. Se a exceção à política atingir o estado Revisão, você não poderá editar o grupo de aprovação.

      Se você não fornecer um grupo de aprovação, o campo será padronizado para gerente de conformidade. O gerente de conformidade será a função padrão se a exceção à política for gerada de qualquer aplicação ascendente que esteja integrada ao GRC. Por exemplo, se você gerar uma exceção à política para um problema relacionado a um incidente e esse problema estiver relacionado ao GRC.
      Aprovador Usuário do grupo de aprovação. Se a política de exceção for movida para o estado Analisar, você deverá selecionar um aprovador.
      Avaliação de riscos
      Método Método para avaliar o risco:
      • Selecionar classificação de risco: selecione a classificação de risco associada a esta exceção à política.
      • Fazer avaliação de risco: faça uma avaliação de risco para calcular a classificação de risco.
        Nota:
        Esta opção está disponível somente quando o plug-in GRC: Advanced Risk está instalado.

      A avaliação de risco pode ser acionada clicando no botão Avaliar risco no formulário. Este botão está disponível somente quando a opção Fazer avaliação de risco está selecionada.
      Pontuação de risco Classificação de risco conforme determinada pela avaliação de risco realizada na exceção à política.

      Se você selecionou a opção Selecionar classificação de risco no campo Método, poderá selecionar um valor na lista. Se você selecionar a opção Fazer avaliação de risco no campo Método, esse campo será preenchido automaticamente com a resposta fornecida na avaliação de risco.
      Substituir Opção para substituir a classificação de risco que foi preenchida automaticamente com base nas respostas fornecidas para a avaliação de risco. Este campo aparecerá se o Método for a opção Aceitar avaliação de risco.
      Descrição do risco Descrição do risco conforme realizado pelo gerente de risco durante a avaliação de risco.
      Análise de risco e impacto Detalhes sobre a probabilidade de ocorrência deste risco e impactos residuais deste risco na exceção à política.
      Plano de mitigação de risco Plano de redução de risco para esta exceção à política.
      Comentários
      Anotações de trabalho As anotações de trabalho podem ser usadas por revisores e aprovadores de exceção para compartilhar informações sobre a exceção.
      Comentários adicionais Esses comentários são usados pelo revisor para comunicar informações adicionais ao solicitante da exceção.
      Confidencialidade
      Confidencial Opção para habilitar a confidencialidade do registro. Somente os usuários confidenciais atribuídos ou grupos confidenciais de usuários podem acessar o registro.

      Para obter mais informações sobre a opção confidencial, consulte Sinalizador de confidencialidade para registros de auditoria e conformidade.
      Nota:
      Em versões anteriores à versão 10.1, a lista relacionada à avaliação de risco era chamada de Análise de impacto nos negócios e exigia que a aplicação GRC: Gestão de riscos fosse ativada. A partir da versão 10.1, a dependência de Gestão de riscos foi removida e os nomes dos campos associados foram alterados.

      Oscampos Extensões aprovadas, Extensõesrestantes, Datade aprovação, Data da extensão, Motivo da extensão, Válido original até aparecem somente quando você solicitou uma extensão na exceção à política e foi aprovado pelo aprovador.

      Em relação à associação m2m de um problema com exceções às políticas, há certas considerações que você deve saber sobre os valores preenchidos no campo Problema, no campo Objetivo de controle e na guia Controle afetado:
      1. Se você selecionar um problema no campo Tipo de origem, o campo de referência do problema listará os problemas que têm um ou mais controles ativos associados a eles. Os controles ativos são aqueles nos estados Certificar, Revisar ou Monitorar, e não nos estados Rascunho ou Descontinuado. Você pode navegar até a guia Controles afetados para exibir os controles associados ao problema.
      2. Se o problema estiver vinculado a apenas um objetivo de controle, esse objetivo de controle vinculado será preenchido no campo de referência do objetivo de controle. Se o problema estiver vinculado a mais de um objetivo de controle, nenhum valor será preenchido no campo Objetivo de controle. Clique no campo de referência do objetivo de controle para selecionar um objetivo de controle.
      3. Se você não selecionou um problema no campo Problema, mas um objetivo de controle estiver preenchido no campo de referência do objetivo de controle, o campo de referência do problema listará somente os problemas que estão vinculados a este objetivo de controle.
      4. Assim que você adicionar um problema no campo Problema, todos os controles vinculados ao problema serão adicionados na guia Controles afetados. No entanto, quando você seleciona um objetivo de controle no campo de referência Objetivo de controle, todos os controles listados na guia Controles afetados são substituídos somente pelos controles que estão vinculados ao objetivo de controle selecionado e ao problema. Os controles podem estar em qualquer estado, mas não no estado Rascunho ou Descontinuado.
      5. Um controle afetado vinculado a um problema de uma exceção à política não será listado para você adicionar outra exceção à política porque esse controle já está listado na guia Controle afetado da primeira exceção à política. Se você adicionar mais controles ao problema posteriormente e ao vincular o problema à segunda exceção à política, todos os controles recém-adicionados serão adicionados como controles afetados, mas não aquele que já foi adicionado como um controle afetado da primeira política exceção.
    4. Salve a exceção à política.
      A exceção à política está no estado Novo.
    5. Clique no botão Solicitar aprovação.
      Se as regras de verificação estiverem configuradas, as aprovações de verificação serão acionadas. Depois que as aprovações de verificação são aprovadas, a exceção à política passa para o estado Analisar.

      Depois que a exceção à política for aprovada e se a data Válido até for atingida, o estado será movido para Fechado e o subestado será movido para Expirado.

      Você também pode retirar a exceção à política a qualquer momento antes que a exceção à política seja aprovada, se não for mais necessária, diretamente do estado Novo.

    6. Para retirar a exceção à política, clique no botão Cancelar solicitação.
      O estado muda para Encerrado e o subestado para Cancelado.

    O que Fazer Depois

    Como solicitante, você pode solicitar extensões para uma exceção à política que está no estado Aprovado mais de uma vez. Configure a propriedade Number of extensions allowed for a policy exception para solicitar a extensão da política várias vezes.

    Para configurar a propriedade, consulte Configuração do número de extensões permitidas para uma exceção à política.

    Para solicitar uma extensão, clique no botão Solicitar extensão e insira os detalhes no pop-up Solicitar extensão.

    Clique em Solicitar. Você pode ver os detalhes da extensão da política na guia Programação do formulário de exceção à política depois que o solicitante solicitou uma extensão e a extensão da política foi aprovada pelo aprovador.