アセスメントのインスタンスでリスクとオブジェクトを評価
設定したリスクを評価し、関連する承認者にリスクを再アサインします。
始める前に
必要なロール:sn_grc.business_user
注:
高度なリスクアセスメントロールを sn_grc.business_user ロールに手動でアサインする必要があります。ロールとグループの付与を調整する方法については、Now Support ナレッジベースの「How to adjust granting of roles and groups to use background jobs (バックグラウンドジョブを使用するためのロールとグループの付与を調整する方法) [KB0963693]」を参照してください。
手順
-
移動先 すべて > 高度なリスクアセスメント > リスクアセスメントタスク > 自分のタスク.
アセスメントは [評価の準備完了] ステータスにあります。
-
アセスメントを開始するには、[評価] をクリックします。
ワークフローは最初のリスクアセスメントタイプに移行します。特定のアセスメントタイプが設定されていない場合、そのセクションはフォームに表示されません。
- オプション: アセスメントを再割り当てするには、[再割り当て] をクリックし、アセスメントを再割り当てするユーザーの名前を入力します。
-
[固有のアセスメント] セクションをクリックし、フォームの質問に回答します。
- フォームを右クリックして保存します。
-
次のアセスメントに移動するには、[固有のアセスメント] をクリックし、フィールドに入力します。
表 : 1. [固有のアセスメント] セクション フィールド 説明 結果 計算済み固有リスク 固有のリスクスコア。 計算済みスコアを上書き 計算された固有スコアを上書きするオプション。 計算済み固有 ALE リスクの計算済み固有 ALE。ALE は、固有のアセスメント要素に基づいて計算されます。 固有リスクを上書き 計算済み固有リスクスコアを上書きするために RAM フォームで構成された値。このフィールドは、[計算済みスコアを上書き] オプションが選択されている場合にのみ利用できます。 固有の ALE を上書き 計算済み固有リスクスコアを上書きする値。値はロールアップに使用されます。 コメント リスクアセスメント承認者の詳細を提供する追加情報。ユーザーは、計算されたスコアを上書きする理由を入力する必要があります。このフィールドは、[計算済みスコアを上書き] オプションが選択されている場合にのみ必要です。 - 必要に応じて、[コメント] 列にコメントを追加します。
- [保存して計算] をクリックします。
-
コントロールアセスメントを実行するには、[コントロールアセスメントの実行] をクリックし、次の操作を行います。
-
フォームのフィールドに入力します。
表 : 2. [コントロールアセスメント] セクション フィールド 説明 結果 計算済みのコントロール有効性 コントロール有効性スコア。 計算済みスコアを上書き 計算されたコントロール有効性スコアを上書きするためのオプション。 コメント リスクアセスメント承認者の詳細を提供する追加情報。このフィールドは、[計算済みスコアを上書き] オプションが選択されている場合にのみ必要です。 注:[コントロールアセスメント] フォームの [計算基準] フィールドで [コントロールの個々のアセスメント] を選択した場合は、ライブラリからのコントロールの作成、既存のコントロールの追加、新しいコントロールの追加、または既存のコントロールの削除を行うことができます。要素に回答するためのガイダンステキストを使用します。コントロールが準拠しているかどうかを判断するには、[ステータス] 列を参照してください。 -
コントロールを作成、追加、または削除するには、次のいずれかのアクションを実行します。
リスクにデフォルトのコントロールがある場合、それらのコントロールは自動的にコントロールアセスメントに追加されます。選択肢 アクション ライブラリからコントロールを作成する - [コントロールを選択 (Choose Controls)] ウィンドウで [ライブラリーから作成] をクリックします。
- 必要なコントロール目標を選択します。
- [コントロールを追加] をクリックします。
既存のコントロールを追加する - [追加] をクリックします。
- コントロールを選択します。
- [コントロールを追加] をクリックします。
新しいコントロールを作成する - [新しいコントロール] ウィンドウのフィールドに入力します。
- [送信] をクリックします。
コントロールを削除する - [コントロールを選択 (Choose Controls)] ウィンドウで [削除] をクリックします。
- 削除するコントロールを選択します。
- [コントロールを削除] をクリックします。
-
評価する必要があるリスクまたはオブジェクトに関連付けられているコントロールがない場合は、[評価するコントロールの緩和はありません] オプションを選択します。
軽減コントロールを評価しない場合、残存リスクはデフォルトで残存アセスメントステージで適用外とマークされます。ただし、リスクに関連する軽減コントロールがある場合、[評価するコントロールの緩和はありません] オプションは表示されません。
- コントロールの評価をオプトアウトする場合は、[コメント] フィールドに理由を入力します。
- [保存して計算] をクリックします。
-
フォームのフィールドに入力します。
-
次のアセスメントに移動するには、[残りのアセスメントを実行] をクリックし、次の操作を行います。
-
フォームのフィールドに入力します。
表 : 3. [残存アセスメント] セクション フィールド 説明 結果 計算済み残存リスク 残存リスクスコア。 コメント リスクアセスメント承認者の詳細を提供する追加情報。このフィールドは、[計算済みスコアを上書き] オプションが選択されている場合にのみ必要です。 注:このステージでは、既存のコントロールと新しいコントロールを追加できます。誤って追加したコントロールを削除することもできます。残存アセスメントに表示される要素は、要素フォームで構成した要素です。これらの要素に対する回答によって、コントロールアセスメントスコアが決まります。スコアは、定性的重み付け、定性的スコア、および定量的スコアに基づいています。 -
残存リスクを評価するが、軽減コントロールを評価しない場合は、[残存リスクは適用されません] フィールドをクリアします。
残存リスクを評価しない場合は、フィールドは変更しません。
- フォームを右クリックして保存します。
-
フォームのフィールドに入力します。
-
次のステータスに移動して、評価したリスクに対応するには、[応答] をクリックします。
-
[リスク応答] タブで [リスク応答] をクリックし、次のオプションから 1 つ以上のリスク応答を選択します。
- [なし]:リスクに対する応答を選択しません。
- [承認]:リスクを受け入れて確認します。
- [回避]:リスクまたはその影響を排除します。
- [軽減]:リスクの影響または可能性を減らします。
- [転送]:責任をサードパーティに転送します。
- フォームを右クリックして保存します。
複数のリスク応答が選択されている場合は、リスク応答タスクが作成されます。 -
[リスク応答] タブで [リスク応答] をクリックし、次のオプションから 1 つ以上のリスク応答を選択します。
-
[リスク対応タスク] 関連リストをクリックし、タスクを適切なユーザーにアサインし、右クリックしてフォームを保存します。
この関連リストは、RAM 構成中にリスクアドミニストレーターが [リスク対応を有効にする] オプションを選択した場合にのみ表示されます。
- [コメント] フィールドにコメントを入力します。
- このアセスメントのアクティビティを表示するには、[アクティビティジャーナル] をクリックします。
-
アセスメントを終了して承認のために送信するには、[保存] をクリックし、[承認を要求] をクリックします。
リスクアセスメントスコープで選択した承認者は、リスクアセスメントインスタンスを承認または却下するためのメール通知を受け取ります。承認者がいない場合、リスクアセスメントインスタンスは [監視] ステータスに移行します。
次のタスク
アセスメントのサマリーを表示するには、[アセスメントのサマリー] をクリックします。