Configurer l’intégration de l’identification des risques

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 4 minutes de lecture

    • Avant d’évaluer une application, spécifiez l’application cible dans laquelle l’identification des risques doit être initiée.

    Avant de commencer

    Assurez-vous que vous disposez des applications suivantes :
    • Gestion des portefeuilles d'applications doit être installé si vous souhaitez activer le moteur de recommandation et souhaitez utiliser l’intégration.
    • Gestion des portefeuilles d'applications intégration avec Risk Management (com.snc.apm_risk_assessment) doit être installée. Cette application est requise uniquement si vous souhaitez utiliser l’intégration.
    Rôle requis : sn_risk.admin

    Pourquoi et quand exécuter cette tâche

    Le formulaire Configuration de l’identification des risques contient un type d’entité et un enregistrement d’identification par défaut pour la table d’application d’entreprise. En tant qu’administrateur des risques, vous pouvez modifier l’enregistrement par défaut ou créer votre propre configuration. Les étapes de cette procédure concernent la création d’un enregistrement. Le formulaire Configuration de l’identification des risques est utilisé pour effectuer les actions suivantes :
    • Recueillez des informations sur l’application à l’aide d’un questionnaire.
    • Déterminez la criticité de l’application.
    • Déterminez si une évaluation inhérente à l’application est nécessaire.
    • Identifiez les risques et mappez les contrôles pertinents.
    • Choisissez de recevoir des recommandations pour les risques et les contrôles.

    Procédure

    1. Accédez à la Tous > Évaluation Advanced Risk > Administration > Configuration de l'identification des risques.
    2. Sélectionnez Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 1. Formulaire Configuration de l’identification des risques
      Champ Description
      Nom Nom de la configuration. Par exemple, l’identification des risques pour l’application d’entreprise.
      Niveau de configuration Niveau auquel la configuration est effectuée. Les choix sont les suivants :
      • Classe d'entité
      • Table
      Classe de l'entité cible Classe d’entité pour laquelle le questionnaire d’identification des risques est lancé. Pour chaque entité de cette classe d’entité, un enregistrement d’identification des risques est automatiquement créé. Ce champ s’affiche uniquement lorsque la classe d’entité est sélectionnée au niveau de la configuration.
      Table cible Table contenant l’enregistrement d’application. Pour chaque entité de cette table, un enregistrement d’identification des risques est automatiquement créé. Ce champ s’affiche uniquement lorsque la table est sélectionnée au niveau de la configuration.
      État État de la configuration. Ce champ est automatiquement défini sur Brouillon.
      Groupe du gestionnaire des risques Groupe qui examine le workflow d’identification des risques. Les utilisateurs qui appartiennent à ce groupe doivent avoir les rôles sn_risk.manager et sn_compliance.manager.
      Questionnaire d'identification Option permettant de lancer un questionnaire pour recueillir des informations sur l’application.
      Évaluation inhérente Option permettant d’effectuer une évaluation inhérente ou une évaluation de Business Impact Analysis (BIA).
      Moteur de recommandation Option permettant de recommander des risques et des contrôles. Cette option n’est disponible que lorsque le champ Table cible dispose d’une application d’entreprise.
      Questionnaire d'identification
      Questionnaire Questionnaire utilisé pour la collecte d’informations.
      Type de personne chargée de répondre Répondant du questionnaire. Les choix sont les suivants :
      • Propriétaire de l'entité
      • Utilisateur sur l'enregistrement cible
      Examen du questionnaire requis. Option pour exiger que le questionnaire soit révisé par un réviseur.
      Champ de la personne chargée de répondre Champ de la table cible qui contient la personne chargée de répondre pour le questionnaire. Ce champ s’affiche lorsque le champ Type de personne chargée de répondre a Utilisateur sur l’enregistrement cible.
      Évaluation inhérente
      Examen de l'évaluation inhérente requise Option permettant de choisir si l’évaluation inhérente doit être révisée.
      Méthodologie d'évaluation des risques Option permettant de sélectionner la méthodologie d’évaluation des risques (RAM) pour effectuer une évaluation inhérente. Vous pouvez afficher la liste des RAM associées à la table cible sélectionnée.
      Remarque :
      Seules les RAM basées sur objet publiées avec l’option d’évaluation inhérente activée sont disponibles à la sélection.
      Type d'approbateur Type d’approbateur pour l’évaluation inhérente. Les choix sont les suivants :
      • Utilisateur sur l'enregistrement cible
      • Groupe
      Remarque :
      Ce champ s’affiche uniquement lorsque l’option Examen pour évaluation inhérente requise est sélectionnée.
      Approbateur Approbateur pour l’évaluation inhérente. Pour une application d’entreprise, l’approbateur est le propriétaire d’entreprise de l’application.
      Remarque :
      Ce champ s’affiche uniquement lorsque l’utilisateur de l’enregistrement cible est sélectionné à partir du type Approbateur.
      Groupe d'approbateurs Groupe d’approbation pour l’évaluation inhérente. Ce champ s’affiche uniquement lorsque le champ Type d’approbateur a Group.
      Remarque :
      Ce champ s’affiche uniquement lorsque le groupe est sélectionné dans le type d’approbateur.
      Moteur de recommandation
      La section Moteur de recommandation s’affiche uniquement lorsque le champ Table cible dispose d’une Application d’entreprise.
      Algorithme du moteur de recommandation Spécifiez le moteur de recommandation. Les choix sont les suivants :
      • Néant
      • Basé sur le mappage d'objets d'informations

      Pour en savoir plus sur les objets d’informations, reportez-vous à la section Objets d'informations.
      Fréquence
      Fréquence Fréquence de la relance du workflow.
      Remarque :
      La date du cycle suivant de la réinitiation du workflow est calculée en fonction de la fréquence définie dans l’enregistrement de configuration de l’intégration des risques. Cette fréquence permet d’assurer une évaluation continue de l’application.
      Mois Mois pendant lequel la tâche doit s’exécuter.
      Jour du mois Jour du mois où la tâche doit s’exécuter.
    4. Sélectionnez Envoyer.
    5. Pour définir le mappage de RAM pour la configuration de l’identification des risques, effectuez les actions suivantes :
      1. Dans la section Configuration de l’identification des risques pour les mappages de la RAM, sélectionnez Nouveau.
        La section Configuration de l’identification des risques pour mappages de la RAM s’affiche uniquement lorsque la classe d’entité est sélectionnée dans Niveau de configuration.
      2. Renseignez les champs du formulaire.
        Tableau 2. Formulaire Configuration de l’identification des risques pour mappage de la méthodologie d’évaluation des risques
        Champ Description
        Configuration de l'identification des risques Configuration de l’identification des risques pour le mappage de la méthodologie d’évaluation des risques. Ce champ est automatiquement défini sur Numéro de configuration de l’identification des risques.
        Table Table sur laquelle vous souhaitez définir le mappage de la RAM.
        Méthodologie d'évaluation des risques Option permettant de sélectionner la RAM pour effectuer une évaluation inhérente. Vous pouvez afficher la liste des RAM associées à la table sélectionnée.
        Remarque :
        Seules les RAM basées sur objet publiées avec l’option d’évaluation inhérente activée sont disponibles à la sélection.
      3. Sélectionnez Envoyer.
    6. Sélectionnez Publier pour publier l’enregistrement.