Um die erweiterte Risikobewertung zu verwenden, müssen Sie die Risikobewertungsmethode (Risk Assessment Methodology, RAM) einrichten, den Bewertungsumfang definieren und die Bewertung durchführen.

Vor der Verwendung der erweiterten Risikobewertung müssen verschiedene Benutzer unterschiedliche Setupaufgaben ausführen. Diese Schritte definieren den Workflow der Bewertung.

1. Risikobewertungsmethode einrichten: Ein Risikoadministrator mit der Rolle sn_risk.admin richtet das System ein. Der Administrator geht wie folgt vor:
   • Identifizierung: Gibt an, ob ein Risiko oder ein Objekt bewertet wird.
   • Bewertung: Bestimmt, wie das Problem bewertet wird, z. B. mit Bewertungskriterien, Risikobewertung oder Berichterstellungseinstellungen.
   Weitere Informationen finden Sie unter Risikobewertungsmethode konfigurieren.
2. Risikobewertungsumfang definieren: Nachdem der RAM definiert wurde, definiert und identifiziert der Besitzer der Entität Folgendes:
   • Die relevanten Risiken für die Entität.
   • Die Beurteiler und Genehmiger für diese Bewertungen.
   • Periodizität dieser Risikobewertungen.
   Weitere Informationen finden Sie unter Erstellen Sie einen Risikobewertungsumfang, und initiieren Sie Bewertungen oder Erstellen Sie im einen Risikobewertungsumfang Risiko-Arbeitsbereich.
3. Risikobewertung durchführen: Der Risikogutachter mit sn_grc. Die Rolle „business_user“ führt die folgenden Bewertungsaufgaben aus.
   • Bewertet die inhärenten Risiken und die Effektivität von ausgleichenden Steuerungen​.
   • Überprüft das Restrisiko und definiert den Risikobehandlungsplan.
   • Führen Sie eine Zielrisikobewertung durch, um die gewünschte zukünftige Risikostufe zu definieren.
   • ​Löst den Überprüfungs- und Genehmigungs-Workflow aus.
   Weitere Informationen finden Sie unter Führen Sie eine erweiterte Risikobewertung in durch Risiko-Arbeitsbereich.
4. Bewertungen überwachen: Nachdem die Risikobewertung genehmigt wurde, wechselt die Bewertung in den Status Überwachen. Die in der Risikobewertung bewerteten Risiken müssen überwacht werden, insbesondere wenn sie automatisierte Faktoren enthalten. Automatisierte Faktoren oder Fragen, die automatisch Daten aus einer der Datenquellen abrufen, weisen sich ständig weiterentwickelnde Risikobewertungen auf. Daher kann ein Risiko, das derzeit eine niedrige Bewertung hat, später eine höhere Bewertung haben. Daher ist es wichtig, eine abgeschlossene Bewertung zu überwachen, um die Bedrohungen für Ihre Organisation zu reduzieren.