Workflow der Risikoidentifizierung für Geschäftsanwendungen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Bei der Bewertung einer Anwendung auf Risiken durchläuft die Anwendung verschiedene Phasen der Risikoidentifizierung und -Bewertung. Sie können den Identifizierungs- und Bewertungs-Workflow basierend auf Ihren Anforderungen definieren.

    Bevor die Risiken einer Anwendung bewertet werden, muss die Anwendung in der Tabelle „Geschäftsanwendung“ erstellt und in übernommen werden GRC. Nachdem die Anwendung zu kommt GRC, Wird ein Risikoidentifizierungsdatensatz erstellt. Der Anwendungsbesitzer stellt dem IT-Risikomanager Informationen zur Anwendung bereit. Der IT-Risikomanager ordnet dann die empfohlenen Risiken, Bezugsvermerke und Richtlinien zu.

    Betrachten Sie das folgende Beispiel, um den Workflow der Risikoidentifizierung und -Bewertung für eine Geschäftsanwendung zu verstehen. Eine neue Geschäftsanwendung wird in Ihrer Organisation eingeführt. Diese neue Anwendung ist Teil der Tabelle „Geschäftsanwendung“. Die neue Anwendung hat zwei Besitzer:
    • IT-Anwendungsbesitzer
    • Geschäftsinhaber: Dieser Anwender muss über die Rolle sn_grc.Business_user verfügen.
    Hinweis:
    Ihre Organisation kann verschiedene Rollen verwenden.
    Zu diesem Zeitpunkt ist die Anwendung nicht Teil von GRC. Es muss zu gebracht werden GRC Als Entität, bevor ihre Risiken bewertet werden können. Der neuen Anwendung müssen auch Informationsobjekte zugeordnet sein.

    Der Workflow und die Genehmiger der Anwendungsrisikobewertung werden durch die Einstellungen im Formular „Konfiguration der Risikoidentifizierung“ bestimmt. Siehe Richten Sie die Integration der Risikoidentifizierung ein Um den Prozess der Definition des Workflows zu verstehen. Um die Risikoidentifizierung erneut zu initiieren, wird eine Flow Designer-Aktion bereitgestellt.

    Bei der Bewertung einer neuen Geschäftsanwendung lautet der Workflow der Risikoidentifizierung wie folgt:
    1. Eine Geschäftsanwendung wird entweder automatisch oder von einem Anwendungsbesitzer in der Geschäftsanwendungstabelle erstellt.
    2. GRC Erkennt die neue Geschäftsanwendung. A GRC Entität wird für die neue Anwendung erstellt. Die Erkennung wird von verarbeitet GRC Geplante Aufgabe zur Profilgenerierung, die im Hintergrund ausgeführt wird.
    3. Für die Anwendung wird ein neuer Risikoidentifizierungsdatensatz erstellt.
      Hinweis:
      Der Risikomanager kann den Konfigurationsdatensatz ändern und den Workflow der Bewertung bestimmen. Nachdem eine Risikoidentifizierungskonfiguration veröffentlicht wurde, kann der Risikomanager nur einige Felder im Konfigurationsdatensatz ändern.
    4. Ein Fragebogen wird initiiert und an den Anwendungsbesitzer gesendet, um Details zur Anwendung zu sammeln.
    5. Der Anwendungsbesitzer beantwortet den Fragebogen.
    6. Der IT-Risikomanager überprüft die Antworten. Wenn die Antworten nicht zufriedenstellend sind, sendet der Manager den Fragebogen an den Anwendungsbesitzer zurück.
      Hinweis:
      Wenn der Fragebogen zurückgesendet wird, werden die neuen Antworten auf das ursprüngliche Formular zurückgesetzt.
    7. Basierend auf der Konfiguration initiiert das System die inhärente Bewertung, nachdem der IT-Risikomanager mit den Antworten zufrieden ist.
    8. GRC Ordnet die Risiken und Compliance-Objekte basierend auf den Entitätstypen zu.
    9. Der IT-Risikomanager überprüft die Informationsobjektzuordnung.
    10. Das System führt die Empfehlungs-Engine basierend auf dem in der Konfiguration ausgewählten Algorithmus aus.
    11. Der IT-Risikomanager überprüft und ordnet die empfohlenen Risiken, Richtlinien und Bezugsvermerke basierend auf den zugehörigen Informationsobjekten zu.
    12. Der IT-Risikomanager ordnet die empfohlenen Steuerungen basierend auf zugehörigen Zitaten, Richtlinien und Risiken zu.
    13. Der Anwendungsbesitzer verwaltet den Steuerungslebenszyklus und bestätigt die Steuerungen.
    Die folgende Abbildung stellt den Workflow der Lösung dar.
    Abbildung : 1. Lösungs-Workflow der GRC- und APM-Integration
    Integration von APM und Advanced Risk Assessment

    Status des Risikoidentifizierungsdatensatzes

    Nachdem die Konfiguration der Risikoidentifizierung in den Status „veröffentlicht“ verschoben wurde, wird ein Risikoidentifizierungsdatensatz für die zugehörige Entität erstellt.

    Der Datensatz zur Risikoidentifizierung durchläuft die folgenden status:
    • Neu: Ein neuer Datensatz wird erstellt
    • Informationserfassung: Die Informationen zur Anwendung werden erfasst.
    • Überprüfung: Der Risikomanager überprüft die Informationen.
    • Inhärente Bewertung: Der Risikomanager führt eine inhärente Risikobewertung durch.
    • Risikozuordnung: Der Risikomanager ordnet die erforderlichen Risiken, Bezugsvermerke und Richtlinien zu.
    • Überwachen: Die Risiken werden überwacht.
    • Stillgelegt: Die Risiken werden nach Bedarf stillgelegt.

    Nachdem die Konfiguration der Risikoidentifizierung in den Status „stillgelegt“ verschoben wurde, wird die Konfiguration ungültig, und für zugehörige Entitäten werden keine Risikoidentifizierungsdatensätze erstellt.

    Hinsichtlich seines Lebenszyklus durchläuft ein Risikoidentifizierungsdatensatz die folgenden status:
    1. Neu
    2. Informationssammlung
    3. Prüfung
    4. Inhärente Bewertung
    5. Risikozuordnung
    6. Monitor
    7. Deaktiviert