Definir regras de aprovação de exceção à política

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • As regras de aprovação definem os critérios (classificação de risco, política ou objetivo de controle) que são usados para enviar solicitações de aprovação para uma exceção. As regras podem ser configuradas para uma aplicação e você pode identificar vários níveis de aprovadores, conforme necessário.

    Antes de Iniciar

    Função necessária: sn_compliance.manager

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode configurar as aprovações para serem enviadas automaticamente ou manualmente após a revisão.
    Nota:
    Quando exceções às políticas são criadas a partir de aplicações ascendentes (de Resposta a vulnerabilidades, por exemplo), a exceção à política deve ter controles afetados presentes antes que você possa solicitar aprovação.

    Para exceções às políticas criadas usando Gestão de políticas e conformidade, as exceções podem ser solicitadas para uma política sem que os controles afetados estejam presentes, mesmo que as políticas e os objetivos de controle sejam adicionados ao formulário de exceção. No entanto, para exceções às políticas criadas somente para objetivos de controle, os controles afetados devem estar presentes antes que você possa solicitar aprovação.

    Procedimento

    1. Navegar até Tudo > Políticas e conformidade > Exceções às políticas > Regra de aprovação.
    2. Clique em Nova.
      Regras de aprovação
    3. No formulário, preencha os campos.
      Tabela 1. Formulário Configuração de aprovação
      Campo Descrição
      Tipo O padrão é Regra de aprovação.
      Nome Insira um nome para esta configuração de aprovação.
      Descrição resumida Forneça uma descrição resumida da finalidade da configuração.
      Aplicação de origem Selecione a aplicação para que se aplica a esta regra de aprovação. Somente as aplicações que foram adicionadas anteriormente ao Registro de Integração são listadas.
      Ativo Se estiver selecionado, esta regra de aprovação estará ativa.
      Classificação de risco A classificação de risco é determinada pela execução de uma avaliação de risco na exceção à política.
      Política Selecione a política na qual esta exceção à política está sendo aplicada.
      Objetivo do controle Selecione o objetivo de controle que faz referência à política selecionada.
      Aprovações de gatilho automático Marque esta caixa de seleção para acionar automaticamente todas as aprovações após a conclusão da revisão. Se você não selecioná-la, o gerente de conformidade poderá acionar manualmente as aprovações definidas por esta regra.
      Ordem A ordem define a precedência de acionamento desta regra em comparação com outra regra que é aplicável à exceção e definida com critérios semelhantes.
    4. Clique em Atualizar.

      A lista relacionada Níveis de aprovador é exibida. Esta lista relacionada permite definir vários níveis de aprovador para uma regra. Um ou mais usuários ou um grupo de usuários podem ser selecionados como aprovadores para cada nível. Os aprovadores devem ser atribuídos à função survey_reader. Você pode tornar obrigatório que todos os usuários selecionados aprovem a exceção ou, opcionalmente, permitir que um único usuário aprove em nome de todos os aprovadores.

      Níveis de aprovação
    5. Clique em Nova.
      Novo nível de aprovação
    6. No formulário, preencha os campos.
      Tabela 2. Formulário Nível do aprovador
      Campo Descrição
      Nome Insira um nome para este nível de aprovação.
      Descrição Forneça uma descrição resumida do nível de aprovação.
      Aprovação obrigatória Selecione Uma aprovação necessária para permitir que um único usuário aprove em nome de todos os aprovadores.

      Selecione Todos os usuários devem aprovar para tornar obrigatório que todos os usuários designados aprovem a seleção.
      Usuários Selecione um ou mais usuários para atuar como aprovadores de exceção à política.
      Grupos Selecione um ou mais grupos para atuar como aprovadores de exceção à política.
      Nota:
      Os usuários que pertencem ao grupo devem ter a função GRC Business User (sn_grc.business_user).
      Ordem Selecione a ordem para determinar a sequência de níveis usados em relação a outros níveis (ou seja, a ordem 1 é exibida primeiro).
    7. Clique em Enviar.
      Se você marcou a caixa de seleção Aprovações de gatilho automático, os aprovadores designados serão notificados de que suas aprovações são necessárias. Como alternativa, os aprovadores são notificados quando o gerente de conformidade clica no botão Enviar para aprovação.