고급 위험 평가를 사용하려면 위험 평가 방법론(RAM)을 설정하고 평가 범위를 정의한 후 평가를 수행해야 합니다.

고급 위험 평가를 사용하기 전에 서로 다른 사용자가 서로 다른 설정 작업을 수행해야 합니다. 이 단계에서는 평가의 워크플로우를 정의합니다.

1. 위험 평가 방법론(RAM) 설정: sn_risk.admin 역할이 있는 위험 관리자가 시스템을 설정합니다. 관리자는 다음을 수행합니다.
   • 식별: 위험 또는 개체가 평가되고 있는지 식별합니다.
   • 평가: 평가 기준, 위험 점수 산정 또는 보고 기본 설정과 같은 문제를 평가하는 방법을 결정합니다.
   자세한 내용은 위험 평가 방법론 구성 문서를 참조하십시오.
2. 위험 평가 범위 정의: RAM이 정의된 후 엔터티 소유자는 다음을 정의하고 식별합니다.
   • 엔터티에 대한 관련 위험입니다.
   • 해당 평가에 대한 평가자와 승인자
   • 이러한 위험 평가의 주기입니다.
   자세한 내용은 위험 평가 범위 생성 및 평가 시작 또는 위험 작업 공간에서 위험 평가 범위 생성 문서를 참조하십시오.
3. 위험 평가 수행: 위험 평가자와 sn_grc. business_user 역할은 다음 평가 작업을 수행합니다.
   • 통제 완화의 고유 위험과 효과를 평가합니다.
   • 잔여 위험을 검토하고 위험 처리 계획을 정의합니다.
   • 대상 위험 평가를 수행하여 원하는 미래 위험 수준을 정의합니다.
   • 검토 및 승인 워크플로우를 트리거합니다.
   자세한 내용은 위험 작업 공간에서 고급 위험 평가 수행 문서를 참조하십시오.
4. 평가 모니터링: 위험 평가가 승인되면 평가가 모니터링 상태로 이동합니다. 위험 평가에서 평가된 위험은 특히 자동화된 요인이 포함된 경우 모니터링해야 합니다. 데이터 소스에서 데이터를 자동으로 가져오는 자동화된 요인 또는 질문에는 끊임없이 진화하는 위험 등급이 있습니다. 따라서 현재 등급이 낮을 수 있는 위험이 나중에 등급이 높아질 수 있습니다. 따라서 완료된 평가를 모니터링하여 조직에 대한 위협을 줄이는 것이 필수적입니다.