Zur Verwendung der erweiterten Risikobewertung müssen Sie die Risikobewertungsmethode (RAM) einrichten, den Bewertungsumfang definieren und die Bewertung durchführen.

Vor der Verwendung der erweiterten Risikobewertung müssen verschiedene Anwender verschiedene Setup-Aufgaben ausführen. Diese Schritte definieren den Workflow der Bewertung.

1. Risikobewertungsmethode (RAM) einrichten: Ein Risikoadministrator mit der Rolle „sn_Risk.admin“ richtet das System ein. Der Administrator führt Folgendes aus:
   • Identifizierung: Gibt an, ob ein Risiko oder ein Objekt bewertet wird.
   • Bewertung: Bestimmt, wie das Problem bewertet wird, z. B. mit Bewertungskriterien, Risikobewertung oder Berichterstellungseinstellungen.
   Weitere Informationen finden Sie unter Konfigurieren Sie eine Risikobewertungsmethode.
2. Definieren Sie den Umfang der Risikobewertung: Nachdem der RAM definiert wurde, definiert und identifiziert der Entitätsbesitzer Folgendes:
   • Die relevanten Risiken für die Entität.
   • Die Beurteiler und Genehmiger für diese Bewertungen.
   • Periodizität dieser Risikobewertungen.
   Weitere Informationen finden Sie unter Erstellen Sie einen Risikobewertungsbereich, und initiieren Sie Bewertungen oder ../../grc-workspace-risk/task/create-risk-asses-scope-workspace.html.
3. Risikobewertung durchführen: Der Risikobeurteiler mit dem sn_grc. Die Rolle „Business_user“ führt die folgenden Bewertungsaufgaben aus.
   • Bewertet die inhärenten Risiken und die Effektivität von mindernden Steuerungen​.
   • Überprüft das Restrisiko und definiert den Risikobehandlungsplan.
   • ​Löst den Überprüfungs- und Genehmigungs-Workflow aus.
   Weitere Informationen finden Sie unter Führen Sie eine erweiterte Risikobewertung in durch Risiko-Arbeitsbereich.
4. Bewertungen überwachen: Nachdem die Risikobewertung genehmigt wurde, wechselt die Bewertung in den Status „Überwachen“. Die in der Risikobewertung bewerteten Risiken müssen überwacht werden, insbesondere wenn sie automatisierte Faktoren enthalten. Automatisierte Faktoren oder Fragen, die automatisch Daten aus einer der Datenquellen abrufen, haben sich ständig weiterentwickelnde Risikobewertungen. Daher kann ein Risiko, das derzeit eine niedrige Bewertung hat, später eine höhere Bewertung haben. Daher ist es unerlässlich, eine abgeschlossene Bewertung zu überwachen, um Bedrohungen für Ihre Organisation zu reduzieren.