Um die erweiterte Risikobewertung zu verwenden, müssen Sie die Risikobewertungsmethode (RAM) einrichten, den Bewertungsumfang definieren und die Bewertung durchführen.

Vor der Verwendung der erweiterten Risikobewertung müssen verschiedene Benutzer unterschiedliche Setup-Aufgaben ausführen. Diese Schritte definieren den Workflow der Bewertung.

1. Risikobewertungsmethode (RAM) einrichten: Ein Risikoadministrator mit der Rolle sn_risk.admin richtet das System ein. Der Administrator führt folgende Schritte aus:
   • Identifizierung: Gibt an, ob ein Risiko oder ein Objekt bewertet wird.
   • Bewertung: Bestimmt, wie das Problem bewertet wird, z. B. mit Bewertungskriterien, Risikobewertung oder Berichterstellungseinstellungen.
   Weitere Informationen finden Sie unter Konfigurieren Sie eine Risikobewertungsmethode.
2. Definieren Sie den Umfang der Risikobewertung: Nach der Definition des RAM definiert und identifiziert der Entitätsbesitzer Folgendes:
   • Die relevanten Risiken für die Entität.
   • Die Beurteiler und Genehmiger für diese Bewertungen.
   • Periodizität dieser Risikobewertungen.
   Weitere Informationen finden Sie unter Erstellen Sie einen Risikobewertungsumfang, und initiieren Sie Bewertungen oder Erstellen Sie einen Risikobewertungsumfang in Risiko-Arbeitsbereich.
3. Risikobewertung durchführen: Der Risikobewerter mit dem sn_grc. Mit der Rolle „business_user“ werden die folgenden Bewertungsaufgaben ausgeführt.
   • Bewertet die inhärenten Risiken und die Effektivität von entschärfenden Kontrollen.
   • Überprüft das Restrisiko und definiert den Risikobehandlungsplan.
   • Führen Sie eine Zielrisikobewertung durch, um das gewünschte zukünftige Risikoniveau zu definieren.
   • ​Löst den Überprüfungs- und Genehmigungs-Workflow aus.
   Weitere Informationen finden Sie unter Führen Sie eine erweiterte Risikobewertung in durch Risiko-Arbeitsbereich.
4. Bewertungen überwachen: Nachdem die Risikobewertung genehmigt wurde, wird die Bewertung in den Status „Überwachen“ versetzt. Die in der Risikobewertung bewerteten Risiken müssen überwacht werden, insbesondere wenn sie automatisierte Faktoren enthalten. Automatisierte Faktoren oder Fragen, die automatisch Daten aus einer der Datenquellen abrufen, weisen sich ständig weiterentwickelnde Risikobewertungen auf. Daher kann ein Risiko, das derzeit eine niedrige Bewertung hat, später eine höhere Bewertung erhalten. Daher ist es unerlässlich, eine abgeschlossene Bewertung zu überwachen, um die Bedrohungen für Ihre Organisation zu reduzieren.