高度なリスクアセスメントを使用するには、リスクアセスメント方法論 (RAM) を設定し、アセスメントスコープを定義して、アセスメントを実行する必要があります。

高度なリスクアセスメントを使用する前に、ユーザーごとに異なるセットアップタスクを実行する必要があります。これらのステップは、アセスメントのワークフローを定義します。

1. リスクアセスメント方法論 (RAM) を設定：sn_risk.admin ロールを持つリスクアドミニストレーターがシステムを設定します。アドミニストレーターは次のことを行います。
   • 識別：リスクまたはオブジェクトが評価されているかどうかを識別します。
   • アセスメント：アセスメント基準、リスクの採点、レポート設定などを使用して問題を評価する方法を決定します。
   詳細については、「リスクアセスメント方法論を構成」を参照してください。
2. リスクアセスメントスコープを定義：RAM が定義された後、エンティティオーナーは以下を定義して識別します。
   • エンティティの関連リスク。
   • これらのアセスメントの査定人と承認者。
   • リスクアセスメントの周期性。
   詳細については、リスクアセスメントスコープを作成し、アセスメントを開始します。およびリスクワークスペースでリスクアセスメントスコープを作成を参照してください。
3. リスクアセスメントを実行：sn_grc.business_user ロールを持つリスク査定人は、次のアセスメントタスクを実行します。
   • 固有リスクと軽減コントロールの有効性を評価します。
   • 残存リスクをレビューし、リスク処理計画を定義します。
   • ターゲットリスクアセスメントを実行して、望ましい今後のリスクレベルを定義します。
   • レビューおよび承認ワークフローをトリガーします。
   詳細については、「リスクワークスペースで高度なリスクアセスメントを実行」を参照してください。
4. アセスメントを監視：リスクアセスメントが承認されると、アセスメントは [監視] ステータスに移行します。リスクアセスメントで評価されたリスクは、特に自動要素が含まれている場合は監視する必要があります。任意のデータソースから自動的にデータを取得する自動要素または質問のリスク評価は常に変化します。したがって、現在評価が低いリスクの評価が後で高くなる可能性があります。このため、完了したアセスメントを監視して組織への脅威を減らすことが不可欠です。