嗨，科琳和亚历山德罗，

很好地解释了补救-在技术层面上-在访问控制中意味着什么。

首先要告诉客户的是（正如您所提到的，但应该用粗体大字表示）：这不是一个项目，而是通过不断地修复东西和停止做事情来逐渐变得更好错。

这主要意味着实施两个组织控制；GRC ARA不过是一个技术支持工具，可以做到这一点：

-不再更改未通过ARA的授权（角色、配置文件）（如果必须的话，则为风险终止者）。这应该确保角色和配置文件不会从现在起变得更糟，关于SoD.

-没有更多未检查的授权分配。同样，这可以确保事情不会变得更糟，大数据汇总，授权管理员也习惯于对访问风险的敏感。

这两个控件不需要是无懈可击的，一开始会允许许多异常，但它们会产生意识，并且可以随着时间的推移进行调整。

嘿…

很好。。。但是第一次。。对图片或流程感到不安。

也许，我应该把我为我的项目创建的图片寄给你。。现在已经修改了12次了。

Regarsd，

Prasant

嗨Prasant

谢谢你的反馈。这些图表更多的是在概念层面上显示要考虑的方面。当然，还有一些方法可以表示这些内容。什么特别让你感到不安？

总是乐于接受反馈和改进内容的方法-特别是如果有方法改进社区的高质量内容。根据你所说的，我在接受你的提议时犹豫不决。如果你已经为一个项目制作了你的流程（并且修改了12次），那么这个内容（知识产权）是属于你还是你的客户的？当然，如果你拥有知识产权，那就另当别论了

我认为

科琳

修改了12次意味着已经按照我客户的要求进行了修改。

我有一个标准文件进行补救。

我只对流程有混淆，风险稍后会被识别。

我认为，

Prasant

嗨Prasant

我了解你的12项改进。但是，如果您已经为客户制作了此内容，则我们需要他们的许可才能重新制作，并且除非您拥有该内容的权利，否则将在SCN上使用。我仍然不确定你是否拥有这些材料。风险不会在以后确定。流程图假设存在风险。诚然，我本来会为决策流添加"是"和"否"的标签，但我尽量保持简单。"有风险吗？"包括询问违反规则是否真的对业务有风险。如果不是，则为假阳性，需要修改规则集。否则，流程图的其余部分假设存在补救（或缓解）的风险

问候

科琳

你好，科琳，

你有我的文件，不是给我的客户的，

所以我不需要他们的任何许可，我会把它贴在这里作为参考。

这是我刚开始时创作的，一天比一天进步了。

重新制作

练习

谢谢你的提议。我已经关注了你，所以可以在这个帖子之外私下讨论。

嗨亚历山德罗，

谢谢你分享这个详细的图片信息。很高兴看到你的内容，像往常一样。

对于补救过程，自建站平台，NWBC的屏幕截图将对观众更有用和更容易理解。你说什么

谢谢，

这是一个非常好的文件，大数据是做什么的，谢谢你张贴它。对我来说，大数据和云计算，最重要的一点是最后一点：这不仅仅是一个"完整"的"项目"，在最初的项目之后，工作需要过渡到一个持续的支持过程。当业务部门没有密切参与测试每个支持包/增强包对角色所做的更改时，他们很容易回击并声称"我们的业务流程永远不会改变"。如果他们更多地参与测试，并强调新的事务，那么自然会得出结论，即必须持续维护规则集。否则，店铺淘客，你最终会在"干净"的系统中产生错误的安全感。

同样重要的是，无论是预防性的还是检测性的缓解措施，都能切实降低风险。只说"这些用户不受规则约束"的"缓解措施"并不是真正的缓解措施。接受风险可以是一种合法的策略，但这并不等于实际降低风险。虚假的缓解措施给出了一个虚假的"干净"报告，最终会再次困扰组织。

干杯，

Gretchen

缓解措施非常好-这可能是GRC上下文中最误用的词语之一。

我有一个客户，其中一家"四大"咨询公司让他们为用户上传了一个20000行的Excel文件，对所有未解决的问题都提供了全面的"缓解措施"-谈论虚假的安全感…

另一个谬误抵制风险是因为"审计师从不抱怨"，这需要公司的评估，而不一定是审计师的评估。你不想被你的审计人员所知道的或不知道的关于你的组织的信息所限制。

我经常听到这样的反应——试图澄清数字。很常见的一种情况是，企业希望为特定的人开一个例外——做他们自己似乎会让他们更特别或更信任。我发现自己咬破了我的舌头，并评论说，欺诈案件的数量通常是由人在信任的立场和过程没有遵循！