Fluxo de trabalho de avaliação de risco avançada
Para usar a Avaliação de risco avançada, você deve configurar a metodologia de avaliação de risco (RAM), definir o escopo da avaliação e executar a avaliação.
Antes de usar a Avaliação de risco avançada, diferentes usuários devem executar diferentes tarefas de configuração. Essas etapas definem o fluxo de trabalho da avaliação.
- Configurar a metodologia de avaliação de risco (RAM): um administrador de risco com a função sn_risk.admin configura o sistema. O administrador faz o seguinte:
- Identificação: identifica se um risco ou um objeto está sendo avaliado.
- Avaliação: determina como avaliar o problema, por exemplo, com critérios de avaliação, pontuação de risco ou preferências de relatório.
- Definir o escopo de avaliação de risco: depois que o RAM é definido, o proprietário da entidade define e identifica o seguinte:
- Os riscos relevantes para a entidade.
- Os avaliadores e aprovadores dessas avaliações.
- Periodicidade dessas avaliações de risco.
- Executar avaliação de risco: o avaliador de risco com o sn_grc. A função business_user executa as seguintes tarefas de avaliação.
- Avalia os riscos inerentes e a eficácia dos controles de mitigação.
- Revisa o risco residual e define o plano de tratamento de risco.
- Aciona o fluxo de trabalho de revisão e aprovação.
- Monitorar as avaliações: depois que a avaliação de risco é aprovada, a avaliação passa para o estado Monitorar. Os riscos avaliados na avaliação de risco devem ser monitorados, especialmente se contiverem fatores automatizados. Fatores ou perguntas automatizadas que buscam dados automaticamente de qualquer uma das fontes de dados têm classificações de risco em constante evolução. Portanto, um risco que pode ter uma classificação baixa no momento pode ter uma classificação mais alta posteriormente. Isso torna obrigatório o monitoramento de uma avaliação concluída para reduzir as ameaças à sua organização.