위험 평가 인스턴스 이해
위험 평가 인스턴스에서는 위험 평가자가 질문이나 요인에 응답하여 위험 및 객체를 평가할 수 있습니다.
위험 평가자가 대답하는 질문은 RAM에서 구성됩니다. 평가에는 수동 요인과 자동 요인이 포함될 수 있습니다. 수동 요인은 응답으로 사람의 입력이 필요합니다. 자동 요인의 경우 응답이 자동으로 계산됩니다. 자동화된 요소는 구성에 정의된 일정에 따라 자동으로 실행됩니다.
평가가 완료되면 정의된 재평가 빈도에 따라 재평가가 자동으로 트리거됩니다. 재심사는 기존 위험 평가 인스턴스가 모니터링 상태인 경우에만 트리거됩니다. 평가가 모니터 상태인 경우 자동화된 요소가 일정에 따라 실행될 때마다 평가 점수가 변경되고 롤업에 새 점수가 기여합니다.
위험 평가자가 평가를 다른 관련 평가자에게 재할당해야 한다고 판단하면 평가자는 평가를 재할당할 수 있습니다. 평가자는 요인에 응답한 후 응답을 수정할 수도 있습니다.
위험 평가 인스턴스의 구성요소
- 이전 평가: 현재 평가 중인 위험에 대한 이전 다섯 가지 평가입니다.
- 위험 이벤트: 위험과 관련된 위험 이벤트 수입니다.
- 위험 표시기: 이 위험에 대해 통과 및 실패한 위험 표시기의 수입니다.
- 미해결 문제: 위험과 해당 상태 및 소유자에 대한 미해결 문제 수입니다.
- 위험 응답 작업: 평가를 위해 생성된 위험 응답 작업의 수입니다.
- 관련 통제: 위험과 관련된 통제입니다. 이 관련 목록은 통제 환경을 평가할 때만 나타납니다. 주:이전 릴리스의 고객은 통과 및 실패 표시기의 업데이트된 수를 못할 수 있습니다. 이 문제를 해결하려면 업데이트 표시기 및 통제 수 수정 스크립트를 실행합니다.
평가자는 완화 통제를 평가하지 않을 수 있습니다. 통제를 옵트아웃하는 옵션은 위험이 있지만 위험을 완화할 통제가 없는 경우에 유용합니다. 예를 들어, 팬데믹이 위험하지만 이를 통제할 백신이 없는 시나리오를 생각해 보십시오. 이러한 경우 위험은 평가되지만 통제는 평가에서 제외될 수 있습니다. 평가자가 통제 완화 및 잔여 위험 평가를 옵트아웃하기로 결정하면 점수는 해당 없음으로 설정됩니다.
통제 평가가 개별 통제를 평가하도록 구성되고 통제가 평가 중인 위험과 연결된 경우 통제를 옵트아웃하는 옵션이 나타나지 않습니다. 이 문제는 컨트롤이 기본값으로 설정되어 있기 때문에 발생합니다.
잔여 평가가 고유 위험 및 통제에 대한 것이고 위험 평가자가 통제 평가를 옵트아웃하는 경우 잔여 위험을 적용할 수 없습니다. 이 조건이 생성되는 이유는 통제가 없으면 자동으로 고유 위험만 있고 잔여 위험은 없기 때문입니다.
위험 평가 스테이지
- 평가 준비 완료: 새 평가 인스턴스가 생성됩니다.
- 고유 평가: 고유 위험 평가를 수행합니다.
- 통제 평가: 통제 평가가 수행됩니다.
- 잔여 평가: 잔여 위험 평가가 수행됩니다.
- 대응: 위험에 대응합니다.
- 승인 대기 중: 위험 평가가 식별된 경우 승인자의 승인을 기다리고 있습니다.
- 모니터: 위험 평가가 완료되어 모니터링되고 있습니다.