運用リスク評価と統制評価の自動化

プロジェクトアプリでは、メトリクスに基づいて評価ドライバーを作成し、運用リスク評価と統制評価を自動化して、変更が発生したら主要な関係者に通知します。

作業を開始する前に

評価を自動化する前に、目標、リスク、および統制でプロジェクトを設定する必要があります。[自動化]ボタンをオンにするには、あなたまたはチームの誰かが次のタスクを実行する必要があります。

機能の仕組み

評価ドライバーは、リアルタイムで評価を最新の状態に維持できるようにする自動化ツールです。複数の評価ドライバーを作成し、さまざまなリスク評価と統制評価を自動化することができます。

次のようにして、評価ドライバーを作成します。

  1. 自動化するリスク評価または統制評価を選択する
  2. 次のために使用するメトリクスの範囲を定義する
    • リスク評価に対して固有のリスク スコアを入力する OR
    • 統制の設計または有効性の評価を決定する

評価ドライバーを作成したら、メトリクスの値が指定のしきい値を超えるときはいつでも、評価が自動的に更新されます。

評価ドライバーを作成する理由のプロジェクト内とフレームワーク内での対比

アクティブなプロジェクトは時点の評価ですが、フレームワークは連続的で、複数のプロジェクトにわたる集約的な活動を示します。プロジェクト内で評価ドライバーを構成し、単一フレームワークへの変更を集約することはより有益です。

評価への変更が行われた場合に、関係者に通知する方法は?

次のユーザーは、プロジェクトの日次サマリー電子メール経由で評価の変更に関して自動的に通知されます。

  • リスク評価の変更 目標の割り当てられたユーザー
  • 統制評価の変更 統制の所有者と目標の割り当てられたユーザー

電子メールのサマリーの内容:

  • どの評価が更新されたか
  • 各評価が過去 24 時間に更新された回数
  • エラーが理由で無効になっている評価ドライバー

評価ドライバーに関連付けられた履歴データは表示可能か?

はい。評価ドライバーが評価を更新すると、イベントが、プロジェクト ダッシュボード内の[活動ログ]内、およびリスク、手続きの実行、ウォークスルー、またはテストの[履歴]セクション内で記録されます。

リスクまたは統制評価を自動化する

タスク 詳細な情報
リスク評価を自動化する 運用リスク評価の自動化
統制評価を自動化する 統制評価の自動化

シナリオ

サイバーセキュリティ レビューの一環として、あなたは、特定プロセスでリスクを特定しました。

不遵守、または機密情報の損失によって生じた罰金、訴訟、および弁護士費用

実施したデータ アナリティクスの結果に基づき、セキュリティ インシデントのグローバル コストを特定し、"セキュリティ インシデントのグローバル コスト" という名のメトリクスを作成しました。

プロセス

まず、次のようにリスクの影響を定量化して、リスク スコアリングを設定します。

  • < $10,000,000 =
  • ≥ $10,000,000 < $65,000,000 =
  • ≥ $65,000,000 =

そこで、リザルトで作成した "セキュリティ インシデントのグローバル コスト" のメトリクスをプロジェクトのリスクにリンクさせます。

最後に、固有のリスク スコアの投入に使用される一連のメトリクスの範囲を定義することで、評価ドライバーを作成します。

結果

リスク評価が自動化されます。

特定のしきい値を超えると、ユーザーは自動的に通知されるため、適切な措置を講ずることができます。

シナリオ

IT の一般的な統制レビューの一環として、あなたは物理セキュリティプロセスで統制を特定しました。

すべてのデータ センターまたはサーバー施設の入口は、キー カード アクセス システムによって保護されています。

実施したデータ アナリティクスの結果に基づき、きさまざまなデータ センター全体で 100 施設の入口のすべてが、キー カード アクセスによって保護されるべきであることを特定しました。統制の有効性を評価、監視するために作成したメトリクスは、"セキュリティ施設の入口の割合(%)" と呼ばれます。このメトリクスは、キー カードのアクセスが有効になっている施設の入口の割合を監視します。

プロセス

まず、リザルトで作成した "セキュリティ施設の入口の割合(%)" メトリクスをプロジェクトのテストにリンクさせます。

そこで、この統制は有効に運用されましたか?の値を入力するために使用される一連のメトリクスの範囲を定義することで、評価ドライバーを作成します。フィールド:

  • > 99 = 有効に運用されている
  • ≤ 99 = 例外検出

結果

統制評価が自動化されます 。

特定のしきい値を超えると、ユーザーは自動的に通知されるため、適切な措置を講ずることができます。