Solicitar uma exceção à política

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 4 min. de leitura

    • Os usuários podem solicitar exceções para políticas, objetivos de controle ou problemas especificando o motivo da exceção em uma lista específica de sistemas, aplicações, redes ou entidades para as quais a exceção será aplicada. O usuário também deve especificar a duração pela qual a exceção é necessária.

    Antes de Iniciar

    Função necessária: sn_grc.business_user, sn_grc.business_user_lite

    Por Que e Quando Desempenhar Esta Tarefa

    As exceções fornecem um alivio temporário para usuários que não conseguem atender aos requisitos de conformidade devido a situações fora do comum. Por exemplo, se o usuário não puder atender a um controle que estipula que todos os servidores do SO críticos devem ser corrigidos dentro de 48 horas após o fornecedor do SO liberar os patches.

    Procedimento

    1. Navegar até Tudo > Políticas e conformidade > Exceções às minhas políticas.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Tabela 1. Formulário de exceção à política
      Campo Descrição
      Número Número de identificação exclusivo.
      Solicitante Pessoa que solicita a exceção à política, geralmente o proprietário do controle.
      Grupo de aprovação Grupo que tem a função de gerente de conformidade. Você não poderá editar o grupo de aprovação se a exceção à política atingir o estado Revisão.

      Se você não fornecer um grupo de aprovação, o campo será padronizado para gerente de conformidade. O gerente de conformidade será a função padrão se a exceção à política for gerada de qualquer aplicação ascendente que esteja integrada ao GRC. Por exemplo, se você gerar uma exceção à política para um problema relacionado a um incidente e esse problema estiver relacionado ao GRC.
      Aprovador Usuário do grupo de aprovação. Se a política de exceção for movida para o estado Analisar, você deverá selecionar um aprovador.
      Estado Estado da exceção à política no fluxo de trabalho de aprovação.
      Subestado Subestado de aprovação da exceção à política no fluxo de trabalho de aprovação.
      Prioridade Prioridade de aprovação desta exceção à política
      Participantes da lista de observação Usuários que são notificados quando a solicitação é atualizada.
      Nome Nome exclusivo da exceção à política.
      Motivo Motivo para solicitar a exceção à política. O solicitante pode mudar o motivo até que a exceção à política seja aprovada.
      Justificativa Declaração de explicação para a exceção à política. A justificativa também é exibida no campo Comentários adicionais da guia Comentários.
      Fonte
      Tipo de origem Tipo de exceção à política que você deseja criar. As opções são:
      • Política: crie uma exceção à política com base em uma política.
      • Objetivo de controle: o padrão é um único objetivo de controle no qual a exceção à política é criada.

        Quando você seleciona um objetivo de controle, a guiaControles afetados é exibida, na qual você pode selecionar controles associados ao objetivo de controle.

      • Controles: opção para criar uma exceção à política em vários controles.

        Selecione Controle para associar vários controles de diferentes objetivos de controle. Esta opção oferece suporte a vários objetivos de controles para sua exceção à política, em vez de criar várias exceções à política que podem ser aplicadas em vários controles.

      • Problema: problema associado a esta exceção à política.
      Objetivo do controle Objetivo de controle associado a esta exceção à política.
      Problema Problema associado a esta exceção à política.
      Registro de destino Tabela de registro de destino na qual a exceção à política é aplicada. Essa tabela também é referenciada no campo Tabela de destino de exceção à política do formulário Registro de integração de exceção à política.
      Avaliação de riscos
      Classificação de risco Selecione a classificação de risco conforme determinado pela avaliação de risco realizada na exceção à política.
      Descrição do risco Descrição do risco conforme realizado pelo gerente de risco durante a avaliação de risco.
      Análise de risco e impacto Detalhes sobre a probabilidade de ocorrência deste risco e impactos residuais deste risco na exceção à política.
      Plano de mitigação de risco O plano de redução de risco para esta exceção à política.
      Programação
      Válido de Dia em que a exceção à política começa.
      Válido até Dia em que a exceção à política termina.

      A dataVálido até deve ser posterior à data Válido de e não pode ser uma data no passado.
      Duração Número de dias entre as datas Válido de e Válido até.
      Extensões aprovadas Número de vezes que as extensões foram solicitadas e aprovadas até o momento.
      Extensões restantes Número de vezes que as extensões podem ser solicitadas no futuro.

      Extensões restantes = Valor na propriedade Number of extensions allowed for a policy exception – Número de extensões aprovadas.
      Criação Data em que a exceção à política foi solicitada.
      Data aprovada Data em que a solicitação foi aprovada.
      Data da extensão Data da extensão solicitada, que é posterior à data Válido até.
      Motivo da exceção Motivo da extensão.
      Original válido até Data até a qual a exceção à política foi solicitada e aprovada originalmente. A data Válido até original é preenchida somente quando a extensão é aprovada.
      Comentários
      Anotações de trabalho As anotações de trabalho podem ser usadas por revisores e aprovadores de exceção para compartilhar informações sobre a exceção.
      Comentários adicionais Esses comentários são usados pelo revisor para comunicar informações adicionais ao solicitante da exceção.
      Confidencialidade
      Confidencial Opção para habilitar a confidencialidade do registro. Somente os usuários confidenciais atribuídos ou grupos confidenciais de usuários podem acessar o registro.

      Para obter mais informações sobre a opção confidencial, consulte Sinalizador de confidencialidade para registros de auditoria e conformidade.
      Nota:
      Em versões anteriores à versão 10.1, a guia Avaliação de risco era chamada de Análise de impacto nos negócios e exigia que a aplicação GRC: Gestão de riscos fosse ativada. A partir da versão 10.1, a dependência de Gestão de riscos foi removida e os nomes dos campos associados foram alterados.

      Os camposExtensões aprovadas, Extensões restantes, Data de aprovação, Data da extensão, Motivo da extensão, Válido original até aparecem somente quando você solicitou uma extensão na exceção à política e foi aprovado pelo aprovador.

    4. Salve a exceção à política.
    5. Clique em qualquer uma das guias para exibir os vários tipos de informações da exceção à política
    6. Clique em Atualizar.