Workflow der Risikoidentifizierung für Geschäftsanwendungen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Bei der Risikobewertung einer Anwendung durchläuft die Anwendung verschiedene Phasen der Risikoidentifizierung und -bewertung. Sie können den Identifizierungs- und Bewertungs-Workflow basierend auf Ihren Anforderungen definieren.

    Bevor die Risiken einer Anwendung bewertet werden, muss die Anwendung in der Geschäftsanwendungstabelle erstellt und zu GRCgebracht werden. Nachdem die Anwendung bei GRCeingegangen ist, wird ein Risikoidentifizierungsdatensatz erstellt. Der Anwendungsbesitzer stellt dem IT-Risikomanager Informationen über die Anwendung bereit. Der IT-Risikomanager ordnet dann die empfohlenen Risiken, Zitate und Richtlinien zu.

    Betrachten Sie das folgende Beispiel, um den Workflow der Risikoidentifizierung und -bewertung für eine Geschäftsanwendung zu verstehen. Eine neue Geschäftsanwendung wird in Ihrer Organisation eingeführt. Diese neue Anwendung ist Teil der Geschäftsanwendungstabelle. Die neue Anwendung hat zwei Besitzer:
    • IT-Anwendungsbesitzer
    • Geschäftsinhaber: Dieser Benutzer muss die Rolle sn_grc.business_user haben.
    Hinweis:
    Ihre Organisation kann verschiedene Rollen verwenden.
    Zu diesem Zeitpunkt ist die Anwendung nicht Teil von GRC. Sie muss als Entität zu GRC gebracht werden, bevor ihre Risiken bewertet werden können. Der neuen Anwendung müssen auch Informationsobjekte zugeordnet sein.

    Der Workflow und die Genehmiger der Anwendungsrisikobewertung werden durch die Einstellungen im Formular „Risikoidentifizierungskonfiguration“ bestimmt. Unter Richten Sie die Integration der Risikoidentifizierung ein erfahren Sie, wie Sie den Workflow definieren. Um die Risikoidentifizierung erneut zu initiieren, wird eine Flow Designer-Aktion bereitgestellt.

    Bei der Bewertung einer neuen Geschäftsanwendung lautet der Workflow der Risikoidentifizierung wie folgt:
    1. Eine Geschäftsanwendung wird entweder automatisch oder von einem Anwendungsbesitzer in der Geschäftsanwendungstabelle erstellt.
    2. GRC erkennt die neue Geschäftsanwendung. Für die neue Anwendung wird eine GRC -Entität erstellt. Die Erkennung wird von der geplanten Aufgabe GRC Profilgenerierung verarbeitet, die im Hintergrund ausgeführt wird.
    3. Für die Anwendung wird ein neuer Risikoidentifizierungsdatensatz erstellt.
      Hinweis:
      Der Risikomanager kann den Konfigurationsdatensatz ändern und den Workflow der Bewertung bestimmen. Nachdem eine Risikoidentifizierungskonfiguration veröffentlicht wurde, kann der Risikomanager nur einige Felder im Konfigurationsdatensatz ändern.
    4. Ein Fragebogen wird initiiert und an den Anwendungsbesitzer gesendet, um Details zur Anwendung zu sammeln.
    5. Der Anwendungsbesitzer beantwortet den Fragebogen.
    6. Der IT-Risikomanager überprüft die Antworten. Wenn die Antworten nicht zufriedenstellend sind, sendet der Manager den Fragebogen an den Anwendungsbesitzer zurück.
      Hinweis:
      Wenn der Fragebogen zurückgesendet wird, werden die neuen Antworten auf ihre ursprüngliche Form zurückgesetzt.
    7. Basierend auf der Konfiguration initiiert das System die inhärente Bewertung, nachdem der IT-Risikomanager mit den Antworten zufrieden ist.
    8. GRC ordnet die Risiken und Compliance-Objekte basierend auf den Entitätstypen zu.
    9. Der IT-Risikomanager überprüft die Informationsobjektzuordnung.
    10. Das System führt die Empfehlungs-Engine basierend auf dem in der Konfiguration ausgewählten Algorithmus aus.
    11. Der IT-Risikomanager überprüft und ordnet die empfohlenen Risiken, Richtlinien und Bezugsvermerke basierend auf den zugehörigen Informationsobjekten zu.
    12. Der IT-Risikomanager ordnet die empfohlenen Steuerungen basierend auf den zugehörigen Bezugsvermerken, Richtlinien und Risiken zu.
    13. Der Anwendungsbesitzer verwaltet den Steuerungslebenszyklus und bestätigt die Steuerungen.
    Die folgende Abbildung zeigt den Workflow der Lösung.
    Abbildung : 1. Lösungs-Workflow der GRC- und APM-Integration
    Integration von APM und Advanced Risk Assessment

    Status des Risikoidentifizierungsdatensatzes

    Nachdem die Konfiguration der Risikoidentifizierung in den Status Veröffentlicht verschoben wurde, wird ein Risikoidentifizierungsdatensatz für die zugehörige Entität erstellt.

    Der Risikoidentifizierungsdatensatz durchläuft die folgenden Status:
    • Neu: Ein neuer Datensatz wird erstellt
    • Informationssammlung: Die Informationen über die Anwendung werden gesammelt.
    • Prüfung: Der Risikomanager überprüft die Informationen.
    • Inhärente Bewertung: Der Risikomanager führt eine inhärente Risikobewertung durch.
    • Risikozuordnung: Der Risikomanager ordnet die erforderlichen Risiken, Bezugsvermerke und Richtlinien zu.
    • Überwachen: Die Risiken werden überwacht.
    • Deaktiviert: Die Risiken werden nach Bedarf außer Kraft gesetzt.

    Nachdem die Konfiguration der Risikoidentifizierung in den Status Deaktiviert verschoben wurde, wird die Konfiguration ungültig, und es werden keine Risikoidentifizierungsdatensätze für zugehörige Entitäten erstellt.

    In Bezug auf seinen Lebenszyklus durchläuft ein Risikoidentifizierungsdatensatz die folgenden Status:
    1. Neu
    2. Informationssammlung
    3. Prüfung
    4. Inhärente Bewertung
    5. Risikozuordnung
    6. Überwachen
    7. Deaktiviert