Advanced Risk アセスメントを使用するには、リスクアセスメント方法論 (RAM) を設定し、アセスメントスコープを定義して、アセスメントを実行する必要があります。

Advanced Risk アセスメントを使用する前に、ユーザーごとに異なるセットアップタスクを実行する必要があります。これらのステップは、アセスメントのワークフローを定義します。

1. リスクアセスメント方法論 (RAM) を設定：sn_risk.admin ロールを持つリスク管理者がシステムを設定します。管理者は次のことを行います。
   • 識別：リスクまたはオブジェクトが評価されているかどうかを識別します。
   • アセスメント：アセスメント基準、リスクの採点、レポート設定などを使用して問題を評価する方法を決定します。
2. リスクアセスメントスコープを定義：RAM が定義された後、エンティティオーナーは以下を定義して識別します。
   • エンティティの関連リスク。
   • これらのアセスメントの査定人と承認者。
   • リスクアセスメントの周期性。
3. リスクアセスメントを実行：sn_grc.business_user ロールを持つリスク査定人は、次のアセスメントタスクを実行します。
   • 固有リスクと軽減コントロールの有効性を評価します。
   • 残存リスクをレビューし、リスク処理計画を定義します。
   • ターゲットリスクアセスメントを実行して、望ましい今後のリスクレベルを定義します。
   • レビューおよび承認ワークフローをトリガーします。
4. アセスメントを監視：リスクアセスメントが承認されると、アセスメントは [監視] ステータスに移行します。リスクアセスメントで評価されたリスクは、特に自動要素が含まれている場合は監視する必要があります。任意のデータソースから自動的にデータを取得する自動要素または質問のリスク評価は常に変化します。したがって、現在評価が低いリスクの評価が後で高くなる可能性があります。このため、完了したアセスメントを監視して組織への脅威を減らすことが不可欠です。