Fluxo de trabalho de avaliação de risco avançada
Para usar a Avaliação de risco avançada, você deve configurar a metodologia de avaliação de risco (RAM), definir o escopo de avaliação e executar a avaliação.
Antes de usar a Avaliação de risco avançada, usuários diferentes devem executar tarefas de configuração diferentes. Essas etapas definem o fluxo de trabalho da avaliação.
- Configurar a metodologia de avaliação de risco (RAM): um administrador de risco com a função sn_risk.admin configura o sistema. O administrador faz o seguinte:
- Identificação: identifica se um risco ou um objeto está sendo avaliado.
- Avaliação: determina como avaliar o problema, por exemplo, com critérios de avaliação, pontuação de risco ou preferências de relatório.
- Definir o escopo de avaliação de risco: depois que a RAM é definida, o proprietário da entidade define e identifica o seguinte:
- Os riscos relevantes para a entidade.
- Os avaliadores e aprovadores dessas avaliações.
- Periodicidade dessas avaliações de risco.
- Realizar avaliação de risco: o avaliador de risco com o sn_grc. A função business_user executa as seguintes tarefas de avaliação.
- Avalia os riscos inerentes e a eficácia dos controles de mitigação.
- Revisa o risco residual e define o plano de tratamento de risco.
- Realize uma avaliação de risco desejada para definir o nível de risco futuro desejado.
- Aciona o fluxo de trabalho de revisão e aprovação.
- Monitorar as avaliações: depois que a avaliação de risco é aprovada, a avaliação passa para o estado Monitorar. Os riscos avaliados na avaliação de risco devem ser monitorados, especialmente se contiverem fatores automatizados. Fatores ou perguntas automatizados que buscam dados automaticamente de qualquer uma das fontes de dados têm classificações de risco em constante evolução. Portanto, um risco que pode ter uma classificação baixa no momento pode ter uma classificação mais alta posteriormente. Isso torna obrigatório o monitoramento de uma avaliação concluída para reduzir as ameaças à sua organização.