Configurer l’intégration de l’identification des risques

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • Avant d’évaluer une application, spécifiez l’application cible vers laquelle l’identification des risques doit être initiée.

    Avant de commencer

    Assurez-vous de disposer des applications suivantes :
    • Gestion des portefeuilles d'applications doit être installé si vous souhaitez activer le moteur de recommandation et utiliser l’intégration.
    • Gestion des portefeuilles d'applications l’intégration à Gestion des risques (com.snc.apm_risk_assessment) doit être installée. Cette application n’est requise que si vous souhaitez utiliser l’intégration.
    • Moteur d'évaluation intelligent et GRC Common Workspace Elements doit être installé pour utiliser le questionnaire d’évaluation intelligent lors de l’identification des risques.
    Rôle requis : sn_risk.admin

    Pourquoi et quand exécuter cette tâche

    Le formulaire de configuration de l’identification des risques contient un type d’entité et un enregistrement d’identification par défaut pour la table d’application d’entreprise. En tant qu’administrateur des risques, vous pouvez modifier l’enregistrement par défaut ou créer votre propre configuration. Les étapes de cette procédure concernent la création d’un enregistrement. Le formulaire de configuration de l’identification des risques est utilisé pour effectuer les actions suivantes :
    • Recueillez des informations sur l’application à l’aide d’un questionnaire.
    • Déterminez la criticité de l’application.
    • Déterminez si une évaluation inhérente à l’application est requise.
    • Identifiez les risques et mappez les contrôles pertinents.
    • Choisissez de recevoir des recommandations pour les risques et les contrôles.

    Procédure

    1. Accédez à la Tout > Évaluation Advanced Risk > Administration > Configuration de l'identification des risques.
    2. Sélectionnez Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 1. Formulaire de configuration de l’identification des risques
      Champ Description
      Nom Nom de la configuration. L’identification des risques pour l’application d’entreprise en est un exemple.
      Niveau de configuration Niveau où la configuration est effectuée. Les choix sont les suivants :
      • Classe d'entité
      • Table
      Classe de l'entité cible Classe d’entité pour laquelle le questionnaire d’identification des risques est lancé. Pour chaque entité de cette classe d’entité, un enregistrement d’identification des risques est automatiquement créé. Ce champ s’affiche uniquement lorsque la classe d’entité est sélectionnée dans le niveau de configuration.
      Table cible Table contenant l’enregistrement de l’application. Pour chaque entité de cette table, un enregistrement d’identification des risques est automatiquement créé. Ce champ s’affiche uniquement lorsque l’option Table est sélectionnée dans Niveau de configuration.
      État État de la configuration. Ce champ est automatiquement défini sur Brouillon.
      Groupe du gestionnaire des risques Groupe qui examine le workflow d’identification des risques. Les utilisateurs qui appartiennent à ce groupe doivent avoir les rôles sn_risk.manager et sn_compliance.manager.
      Questionnaire d'identification Option permettant de lancer un questionnaire pour recueillir des informations sur l’application.
      Évaluation inhérente Option permettant d’effectuer une évaluation inhérente ou une évaluation de l’analyse d’impact sur l’entreprise (BIA).
      Moteur de recommandation Option permettant de recommander des risques et des contrôles. Cette option n’est disponible que lorsque le champ Table cible a une application d’entreprise.
      Questionnaire d'identification
      Utiliser l'évaluation intelligente Cette option permet d’utiliser des modèles d’évaluation intelligents. Vous pouvez sélectionner un modèle d’évaluation intelligent dans le champ Questionnaire .

      Pour en savoir plus sur la création d’un modèle d’évaluation intelligente, reportez-vous à la section Créer un modèle d’évaluation intelligent pour l’identification des risques.
      Questionnaire Questionnaire utilisé pour la collecte d’informations.
      Remarque :
      Vous pouvez voir une liste de modèles d’évaluation intelligente uniquement lorsque vous sélectionnez l’option Utiliser une évaluation intelligente. Seuls les modèles d’évaluation publiés avec une catégorie d’identification des risques et le champ Cible d’évaluation sélectionné en tant qu’entité sont disponibles à la sélection.
      Type de personne chargée de répondre Répondant au questionnaire. Les choix sont les suivants :
      • Propriétaire de l'entité
      • Utilisateur sur l'enregistrement cible
      Examen du questionnaire requis Option permettant d’exiger que le questionnaire soit révisé par un réviseur.
      Champ de la personne chargée de répondre Champ de la table cible qui contient la personne chargée de répondre pour le questionnaire. Ce champ s’affiche lorsque le champ Type de personne chargée de répondre a un utilisateur sur l’enregistrement cible.
      Évaluation inhérente
      Examen de l'évaluation inhérente requise Option permettant de choisir si l’évaluation inhérente doit être revue.
      Méthodologie d'évaluation des risques Option permettant de sélectionner la méthodologie d’évaluation des risques (RAM) pour effectuer une évaluation inhérente. Vous pouvez afficher la liste des RAM associées à la table cible sélectionnée.
      Remarque :
      Seules les RAM basées sur un objet publiées avec l’option d’évaluation inhérente activée sont disponibles à la sélection.
      Type d'approbateur Type d’approbateur pour l’évaluation inhérente. Les choix sont les suivants :
      • Utilisateur sur l'enregistrement cible
      • Groupe
      Remarque :
      Ce champ s’affiche uniquement lorsque l’option Examiner pour l’évaluation inhérente requise est sélectionnée.
      Approbateur Approbateur de l’évaluation inhérente. Pour une application d’entreprise, l’approbateur est le propriétaire de l’entreprise de l’application.
      Remarque :
      Ce champ s’affiche uniquement lorsque l’utilisateur de l’enregistrement cible est sélectionné à partir du type d’approbateur.
      Groupe d'approbateurs Groupe d’approbation pour l’évaluation inhérente. Ce champ s’affiche uniquement lorsque le champ Type d’approbateur comporte Groupe.
      Remarque :
      Ce champ s’affiche uniquement lorsque Groupe est sélectionné à partir du type d’approbateur.
      Moteur de recommandation
      La section Moteur de recommandation s’affiche uniquement lorsque le champ Table cible a Application d’entreprise.
      Algorithme du moteur de recommandation Spécifiez le moteur de recommandation. Les choix sont les suivants :
      • Aucun
      • Basé sur le mappage d'objets d'informations

      Pour en savoir plus sur les objets d’informations, reportez-vous à la section Objets d'informations.
      Fréquence
      Fréquence Fréquence de réinitiation du workflow.
      Remarque :
      La date du prochain cycle de réinitiation du workflow est calculée en fonction de la fréquence définie dans l’enregistrement de configuration de l’intégration des risques. Cette fréquence assure une évaluation continue de l’application.
      Mois Mois pendant lequel la tâche doit être exécutée.
      Jour du mois Jour du mois où la tâche doit être exécutée.
    4. Sélectionnez Soumettre.
    5. Pour définir le mappage de la méthodologie d’évaluation des risques pour la configuration de l’identification des risques, procédez comme suit :
      1. Dans la section Configuration de l’identification des risques sur mappages de la méthodologie d’évaluation des risques, sélectionnez Nouveau.
        La section Configuration de l’identification des risques pour mappages de la méthodologie d’évaluation des risques s’affiche uniquement lorsque la classe d’entité est sélectionnée dans Niveau de configuration.
      2. Renseignez les champs du formulaire.
        Tableau 2. Formulaire Configuration de l’identification des risques vers mappage de la méthodologie d’évaluation des risques
        Champ Description
        Configuration de l'identification des risques Configuration de l’identification des risques pour le mappage de la méthodologie d’évaluation des risques. Ce champ est automatiquement défini sur Numéro de configuration de l’identification des risques.
        Table Table sur laquelle vous souhaitez définir le mappage de RAM.
        Méthodologie d'évaluation des risques Option permettant de sélectionner la RAM pour effectuer une évaluation inhérente. Vous pouvez afficher la liste des RAM associées à la table sélectionnée.
        Remarque :
        Seules les RAM basées sur un objet publiées avec l’option d’évaluation inhérente activée sont disponibles à la sélection.
      3. Sélectionnez Soumettre.
    6. Sélectionnez Publier pour publier l’enregistrement.