Fordern Sie eine Richtlinienausnahme an

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Benutzer können Ausnahmen für Richtlinien, Kontrollziele oder Probleme anfordern, indem sie den Grund der Ausnahme in einer bestimmten Liste der Systeme, Anwendungen, Netzwerke oder Entitäten angeben, für die die Ausnahme gilt. Der Benutzer muss auch die Dauer angeben, für die die Ausnahme erforderlich ist.

    Vorbereitungen

    Erforderliche Rolle: sn_grc.business_user, sn_grc.business_user_lite

    Warum und wann dieser Vorgang ausgeführt wird

    Ausnahmen bieten Benutzern eine vorübergehende Entlastung, wenn sie aufgrund von Ausnahmesituationen nicht in der Lage sind, Compliance-Anforderungen zu erfüllen. Zum Beispiel, wenn der Benutzer eine Kontrolle nicht erfüllen kann, die vorschreibt, dass alle kritischen Betriebssystemserver innerhalb von 48 Stunden nach der Veröffentlichung von Patches durch den Betriebssystemanbieter gepatcht werden müssen.

    Prozedur

    1. Navigieren zu Alle > Richtlinien und Compliance > Meine Richtlinienausnahmen.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Formular „Richtlinienausnahme“.
      Feld Beschreibung
      Nummer Eindeutige Identifikationsnummer.
      Anfordernde Person Person, die die Richtlinienausnahme anfordert, in der Regel der Besitzer der Steuerung.
      Freigabegruppe Gruppe mit der Compliance-Manager-Rolle. Sie können die Genehmigungsgruppe nicht bearbeiten, wenn die Richtlinienausnahme den Status „Überprüfung“ erreicht.

      Wenn Sie keine Genehmigungsgruppe angeben, wird im Feld standardmäßig Compliance-Manager verwendet. „Compliance-Manager“ ist die Standardrolle, wenn die Richtlinienausnahme von einer vorgelagerten Anwendung ausgelöst wird, die in GRC integriert ist. Beispiel: Sie lösen eine Richtlinienausnahme für ein Problem aus, das mit einem Incident zusammenhängt und dieses Problem mit GRC zusammenhängt.
      Genehmigende Person Benutzer aus der Genehmigungsgruppe. Wenn die Ausnahmerichtlinie in den Status „Analysieren “ wechselt, müssen Sie einen Genehmiger auswählen.
      Status Status der Richtlinienausnahme innerhalb des Genehmigungs-Workflows.
      Substatus Genehmigungssubstatus der Richtlinienausnahme innerhalb des Genehmigungsworkflows.
      Priorität Genehmigungspriorität dieser Richtlinienausnahme
      Beobachtungsliste Benutzer, die benachrichtigt werden, wenn die Anforderung aktualisiert wird.
      Name Eindeutiger Name der Richtlinienausnahme.
      Grund Grund für die Anforderung der Richtlinienausnahme. Die anfordernde Person kann den Grund ändern, bis die Richtlinienausnahme genehmigt wird.
      Begründung Erklärung für die Richtlinienausnahme. Die Begründung wird auch im Feld Zusätzliche Kommentare der Registerkarte Kommentare angezeigt.
      Quelle
      Quelltyp Typ der Richtlinienausnahme, die Sie erstellen möchten. Die Optionen sind:
      • Richtlinie: Erstellen Sie eine Richtlinienausnahme basierend auf einer Richtlinie.
      • Kontrollziel: Standard ist ein einzelnes Kontrollziel, für das die Richtlinienausnahme erstellt wird.

        Wenn Sie ein Kontrollziel auswählen, wird die RegisterkarteBetroffene Steuerungen angezeigt, auf der Sie Steuerungen auswählen können, die dem Kontrollziel zugeordnet sind.

      • Steuerungen: Option zum Erstellen einer Richtlinienausnahme für mehrere Steuerungen.

        Wählen Sie Steuerung aus, um mehrere Steuerungen aus verschiedenen Kontrollzielen zuzuordnen. Diese Option unterstützt mehrere Steuerungsziele für Ihre Richtlinienausnahme, anstatt mehrere Richtlinienausnahmen zu erstellen, die auf mehrere Steuerungen angewendet werden können.

      • Problem: Problem, das dieser Richtlinienausnahme zugeordnet ist.
      Kontrollziel Kontrollziel, das dieser Richtlinienausnahme zugeordnet ist.
      Problem Problem, das dieser Richtlinienausnahme zugeordnet ist.
      Zieldatensatz Zieldatensatztabelle, auf die die Richtlinienausnahme angewendet wird. Auf diese Tabelle wird auch im Feld Zieltabelle der Richtlinienausnahme des Formulars „Integration der Richtlinienausnahme“ verwiesen.
      Risikobewertung
      Risikobewertung Wählen Sie die Risikobewertung aus, wie sie durch die für die Richtlinienausnahme durchgeführte Risikobewertung ermittelt wurde.
      Risikobeschreibung Beschreibung des Risikos, wie sie vom Risikomanager während der Risikobewertung durchgeführt wurde.
      Analyse von Risiko und Auswirkung Details zur Wahrscheinlichkeit des Auftretens dieses Risikos und zu den verbleibenden Auswirkungen dieses Risikos auf die Richtlinienausnahme.
      Risikominderungsplan Der Risikominderungsplan für diese Richtlinienausnahme.
      Zeitplan
      Gültig ab Tag, an dem die Richtlinienausnahme beginnt.
      Gültig bis Tag, an dem die Richtlinienausnahme endet.

      „Gültig bis “-Datum muss nach „Gültig ab “-Datum liegen und darf kein vergangenes Datum sein.
      Dauer Anzahl der Tage zwischen den Datumsangaben für „Gültig von“ und „Gültig bis “.
      Genehmigte Verlängerungen Anzahl der Verlängerungen, die bisher angefordert und genehmigt wurden.
      Verbleibende Verlängerungen Anzahl der Male, die Verlängerungen in der Zukunft angefordert werden können.

      Verbleibende Verlängerungen = Wert in der Eigenschaft Number of extensions allowed for a policy exception – Anzahl der genehmigten Verlängerungen.
      Erstellt Datum, an dem die Richtlinienausnahme angefordert wurde.
      Genehmigungsdatum Datum, an dem die Anforderung genehmigt wurde.
      Erweiterungsdatum Angefordertes Verlängerungsdatum, das nach dem „Gültig bis “-Datum liegt.
      Verlängerungsgrund Grund für Verlängerung.
      Original gültig bis Datum, bis zu dem die Richtlinienausnahme ursprünglich angefordert und genehmigt wurde. Das ursprüngliche Datum für Gültig bis wird nur ausgefüllt, wenn die Verlängerung genehmigt wird.
      Kommentare
      Arbeitsnotizen Arbeitsnotizen können von Ausnahmeprüfern und -genehmigern verwendet werden, um Informationen zur Ausnahme freizugeben.
      Zusätzliche Anmerkungen Diese Kommentare werden vom Überprüfer verwendet, um der anfordernden Person zusätzliche Informationen zu übermitteln.
      Vertraulichkeit
      Vertraulich Option zum Aktivieren der Vertraulichkeit des Datensatzes. Nur die zugewiesenen vertraulichen Anwender oder vertraulichen Gruppen von Anwendern können auf den Datensatz zugreifen.

      Weitere Informationen zur Option „Vertraulich“ finden Sie unter Vertraulichkeitskennzeichnung für Audit- und Compliance-Datensätze.
      Hinweis:
      In Versionen vor Version 10.1 hatte die Registerkarte Risikobewertung die Bezeichnung Geschäftsauswirkungsanalyse und erforderte die Aktivierung der Anwendung GRC: Risikomanagement. Ab Version 10.1 wurde die Abhängigkeit von Risikomanagement entfernt, und die zugehörigen Feldnamen wurden geändert.

      Die Felder„Genehmigte Verlängerungen“, „Verbleibende Verlängerungen“, „Genehmigungsdatum“, „Verlängerungsdatum“, „Verlängerungsgrund“, „Ursprüngliches Gültig bis“ werden nur angezeigt, wenn Sie eine Verlängerung für die Richtlinienausnahme angefordert haben und diese vom Genehmiger genehmigt wurde.

    4. Speichern Sie die Richtlinienausnahme.
    5. Klicken Sie auf eine der Registerkarten, um die verschiedenen Arten von Informationen für die Richtlinienausnahme anzuzeigen
    6. Klicken Sie auf Aktualisieren.