自动执行运营风险和控制评估
在项目应用程序中,您可以基于度量创建评估推动器以自动进行运营风险和控制评估,并在发生变化时通知主要利益相关者。
开始之前
在可以自动执行评估之前,您需要设置一个包含目标、风险和控制的项目。要开启自动执行 
按钮,您或您的团队成员需要完成以下任务:
- 在结果应用程序中创建度量请参阅使用度量监控关键指标
- 将度量链接到项目中的评估请参阅链接来自结果应用程序的证据
工作原理
评估推动器是一种自动化工具,可让您实时保持最新评估。您可以创建多个评估推动器来自动执行不同的风险和控制评估。
您可通过以下方式创建评估推动器:
- 选择要自动化的风险或控制评估
- 定义将用于以下目的的度量范围:
- 填充风险评估的固有风险评分或
- 确定控制的设计或有效性的评估
一旦创建了评估推动器,则当度量值超过指定阈值时,评估就会自动更新。
为什么要在项目和框架中创建评估推动器?
活动项目属于时间点评估,而框架是连续的,并显示多个项目的总体活动。在项目中创建评估推动器并将更改汇集至单一框架,这是更具价值的。
在评估发生变化时如何通知利益相关者?
以下用户将通过项目应用程序每日摘要电子邮件自动收到关于评估变化的通知:
- 风险评估变化目标的被分配用户
- 控制评估变化 控制的所有者和目标的被分配用户
电子邮件概述:
- 哪些评估已被更新
- 在过去 24 小时内各评估被更新的次数
- 因错误而被禁用的评估推动器
我可以查看与评估推动器相关的历史数据吗?
可以。当评估推动器更新评估时,事件会被记录在项目仪表盘的活动日志以及风险、执行程序、排查或测试的历史部分中。
自动执行风险或控制评估
| 任务 | 详细信息 |
|---|---|
| 自动执行风险评估 | 自动执行运营风险评估 |
| 自动执行控制评估 | 自动执行控制评估 |
示例
场景
作为网络安全审核的一部分,您已经在识别过程中确定了风险:
由于违规或丢失敏感信息而导致的罚款、诉讼和法律费用
根据您的数据分析结果,您已确定了全球安全事件成本,并创建了一个名为“全球安全事件成本”的度量。
流程
首先,您通过量化风险的影响来如下配置风险评分:
- > $10,000,000 = 低
- ≥ $10,000,000 < $65,000,000 = 中
- ≥ $65,000,000 = 高
然后,您将在结果应用程序中创建的“全球安全事件成本”度量与项目应用程序中的风险相关联。
最后,您可以通过定义一系列度量范围来创建评估推动器,这些度量范围将被用于填充固有风险评分:
结果
风险评估是自动执行的:
当超过特定阈值时,用户会自动收到通知,以让其采取适当的行动。
场景
作为 IT 一般控制审计的一部分,您已经在物理安全过程中确定了风险:
用门禁卡访问系统保护所有数据中心或服务器设施入口。
根据您的数据分析结果,您已经确定了应受门禁卡访问系统保护的不同数据中心的 100 个设施入口。您创建的用于评估和监控控制有效性的度量被称为“安全设施入口百分比”。该度量监控启用门禁卡访问系统的设施入口的百分比。
流程
首先,将您在结果应用程序中创建的“安全设施入口百分比”度量与项目应用程序中的测试相关联。
然后,您可以通过定义一系列度量范围来创建评估推动器,这些度量范围将被用于填充此控制是否有效运行?的值字段的值:
- > 99 = 有效运行
- ≤ 99 = 发现异常
结果
控制评估是自动执行的:
当超过特定阈值时,用户会自动收到通知,以让其采取适当的行动。
