Solicitar uma exceção à política

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 4 min. de leitura

    • Os usuários podem solicitar exceções para políticas, objetivos de controle ou problemas especificando o motivo da exceção em uma lista específica de sistemas, aplicações, redes ou entidades para as quais a exceção será aplicada. O usuário também deve especificar a duração pela qual a exceção é necessária.

    Antes de Iniciar

    Função necessária: sn_grc.business_user, sn_grc.business_user_lite

    Por Que e Quando Desempenhar Esta Tarefa

    As exceções fornecem um alivio temporário para usuários que não conseguem atender aos requisitos de conformidade devido a situações fora do comum. Por exemplo, se o usuário não puder atender a um controle que estipula que todos os servidores do SO críticos devem ser corrigidos dentro de 48 horas após o fornecedor do SO liberar os patches.

    Procedimento

    1. Navegar até Todos > Políticas e conformidade > Exceções às minhas políticas.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Tabela 1. Formulário de exceção à política
      Campo Descrição
      Número Número de identificação exclusivo.
      Solicitante Pessoa que solicita a exceção à política, geralmente o proprietário do controle.
      Grupo de aprovação Grupo que tem a função de gerente de conformidade. Você não poderá editar o grupo de aprovação se a exceção à política atingir o estado Revisão.

      Se você não fornecer um grupo de aprovação, o campo será padronizado para gerente de conformidade. O gerente de conformidade será a função padrão se a exceção à política for gerada de qualquer aplicação ascendente que esteja integrada ao GRC. Por exemplo, se você gerar uma exceção à política para um problema relacionado a um incidente e esse problema estiver relacionado ao GRC.
      Aprovador Usuário do grupo de aprovação. Se a política de exceção for movida para o estado Analisar, você deverá selecionar um aprovador.
      Estado Estado da exceção à política no fluxo de trabalho de aprovação.
      Subestado Subestado de aprovação da exceção à política no fluxo de trabalho de aprovação.
      Prioridade Prioridade de aprovação desta exceção à política
      Lista de observação Usuários que são notificados quando a solicitação é atualizada.
      Nome Nome exclusivo da exceção à política.
      Motivo Motivo para solicitar a exceção à política. O solicitante pode mudar o motivo até que a exceção à política seja aprovada.
      Justificativa Declaração de explicação para a exceção à política. A justificativa também é exibida no campo Comentários adicionais da guia Comentários.
      Origem
      Tipo de origem Tipo de exceção à política que você deseja criar. As opções são:
      • Política: crie uma exceção à política com base em uma política.
      • Objetivo de controle: o padrão é um único objetivo de controle no qual a exceção à política é criada.

        Quando você seleciona um objetivo de controle, a guiaControles afetados é exibida, na qual você pode selecionar controles associados ao objetivo de controle.

      • Controles: opção para criar uma exceção à política em vários controles.

        Selecione Controle para associar vários controles de diferentes objetivos de controle. Esta opção oferece suporte a vários objetivos de controles para sua exceção à política, em vez de criar várias exceções à política que podem ser aplicadas em vários controles.

      • Problema: problema associado a esta exceção à política.
      Objetivo do controle Objetivo de controle associado a esta exceção à política.
      Problema Problema associado a esta exceção à política.
      Registro de destino Tabela de registro de destino na qual a exceção à política é aplicada. Essa tabela também é referenciada no campo Tabela de destino de exceção à política do formulário Registro de integração de exceção à política.
      Avaliação de riscos
      Pontuação de risco Selecione a classificação de risco conforme determinado pela avaliação de risco realizada na exceção à política.
      Descrição do risco Descrição do risco conforme realizado pelo gerente de risco durante a avaliação de risco.
      Análise de risco e impacto Detalhes sobre a probabilidade de ocorrência deste risco e impactos residuais deste risco na exceção à política.
      Plano de mitigação de risco O plano de redução de risco para esta exceção à política.
      Programação
      Válido de Dia em que a exceção à política começa.
      Válido até Dia em que a exceção à política termina.

      A dataVálido até deve ser posterior à data Válido de e não pode ser uma data no passado.
      Duração Número de dias entre as datas Válido de e Válido até.
      Extensões aprovadas Número de vezes que as extensões foram solicitadas e aprovadas até o momento.
      Extensões restantes Número de vezes que as extensões podem ser solicitadas no futuro.

      Extensões restantes = Valor na propriedade Number of extensions allowed for a policy exception – Número de extensões aprovadas.
      Criação Data em que a exceção à política foi solicitada.
      Data aprovada Data em que a solicitação foi aprovada.
      Data da extensão Data da extensão solicitada, que é posterior à data Válido até.
      Motivo da exceção Motivo da extensão.
      Original válido até Data até a qual a exceção à política foi solicitada e aprovada originalmente. A data Válido até original é preenchida somente quando a extensão é aprovada.
      Comentários
      Anotações de trabalho As anotações de trabalho podem ser usadas por revisores e aprovadores de exceção para compartilhar informações sobre a exceção.
      Comentários adicionais Esses comentários são usados pelo revisor para comunicar informações adicionais ao solicitante da exceção.
      Confidencialidade
      Confidencial Opção para habilitar a confidencialidade do registro. Somente os usuários confidenciais atribuídos ou grupos confidenciais de usuários podem acessar o registro.

      Para obter mais informações sobre a opção confidencial, consulte Sinalizador de confidencialidade para registros de auditoria e conformidade.
      Nota:
      Em versões anteriores à versão 10.1, a guia Avaliação de risco era chamada de Análise de impacto nos negócios e exigia que a aplicação GRC: Gestão de riscos fosse ativada. A partir da versão 10.1, a dependência de Gestão de riscos foi removida e os nomes dos campos associados foram alterados.

      Oscampos Extensões aprovadas, Extensõesrestantes, Datade aprovação, Data da extensão, Motivo da extensão, Válido original até aparecem somente quando você solicitou uma extensão na exceção à política e foi aprovado pelo aprovador.

    4. Salve a exceção à política.
    5. Clique em qualquer uma das guias para exibir os vários tipos de informações da exceção à política
    6. Clique em Atualizar.