风险登记簿¶
风险登记簿记录架构风险的完整生命周期 —— 从识别到缓解、残余评估、监控和关闭(或正式接受)。它作为GRC 模块的「风险」标签页位于 /grc?tab=risk。
与 TOGAF 对齐¶
登记簿实现 TOGAF ADM 阶段 G —— 实施治理(TOGAF 10 §27)中的架构风险管理流程:
| TOGAF 步骤 | 您会记录什么 |
|---|---|
| 风险分类 | 类别(security、compliance、operational、technology、financial、reputational、strategic) |
| 风险识别 | 标题、描述、来源(手动或从 TurboLens 发现提升) |
| 初始评估 | 初始概率 × 初始影响 → 初始等级(自动推导) |
| 缓解 | 一个或多个缓解任务 —— 已指派的工作项,可为单次或周期性(参见下方 缓解任务)。风险同时携带 负责人 和 目标解决日期。 |
| 残余评估 | 残余概率 × 残余影响 → 残余等级(缓解计划制定后可编辑)。仍是人工评估 —— 任务完成不会自动调整它。详情页在残余区块旁显示「X/Y 未完成 · Z 逾期」摘要,作为人工判断的上下文(与 ISO 31000 对齐)。 |
| 监控 / 接受 | 状态工作流:identified → analysed → mitigation_planned → in_progress → mitigated → monitoring → closed(旁路 accepted 分支需要显式理由) |
创建风险¶
三条路径都汇入同一个创建风险对话框 —— 每种变体会预填不同的字段,您可以编辑后提交:
三种变体都包含负责人、类别和目标解决日期字段,使得可以在创建时就分配责任 —— 无需重新打开风险。
提升是幂等的 —— 一旦某个发现被提升,其按钮会切换为打开风险 R-000123,并直接跳转到风险详情页。
所有权 → Todo + 通知¶
为风险分配负责人(无论在创建时还是之后)会自动:
- 在负责人的 Todos 页面创建一个系统 Todo。描述为
[Risk R-000123] <标题>,到期日镜像风险的目标解决日期,链接回到风险详情。当风险进入mitigated/monitoring/accepted/closed时,Todo 会自动标记为完成。 - 触发铃铛通知(
risk_assigned)—— 显示在铃铛下拉菜单和通知页面,若用户已选择加入,则可选发送邮件。自分配同样会触发铃铛,使团队工作流与个人工作流的记录保持一致。
清除或重新分配负责人会同步保持 Todo —— 旧的会被移除 / 重新分配。
风险下的每个缓解任务都会独立触发同样的机制,确保协作者只看到自己负责的工作 —— 参见下方 缓解任务。
将风险与卡片关联¶
风险与卡片之间是多对多关系。一个风险可以影响多个应用或 IT 组件,而一张卡片也可以关联多个风险:
- 从风险详情页:受影响卡片面板 → 搜索并添加。点击
×解除关联。 - 从任意卡片详情页:新的风险选项卡列出与该卡片关联的每个风险,一键返回登记簿。
缓解任务¶
缓解以已指派的工作项形式记录,而非自由文本。在风险详情页,缓解任务面板取代了原本单一的「缓解计划」字段 —— 每一行都是一项真实任务,拥有自己的负责人、到期日、历史记录以及(可选的)周期规则。
单次 vs. 周期性¶
缓解任务默认为单次 —— 适合「推广 MFA」「签署更新版 SCC」或任何项目型工作。在任务对话框中切换重复,即可获得一个周期性控制审查:例如「每 12 个月重新认证跨境传输文档」「每 3 个月执行一次 OT 事件响应桌面演练」「每周审计 Jenkins 凭据」。
周期性任务按周期累积一个周期(occurrence)。当前周期关闭时下一个周期会自动创建 —— 日历正确:到期日为 1 月 31 日的月度任务会滚动到 2 月 28 日,而不是 3 月 3 日。
提前期窗口¶
周期性控制审查的意义在于,让负责人在即将到期前收到提醒 —— 而不是在上一个周期刚关闭的那一刻。因此,每个周期性任务都带有一个提前期(天)—— 在 due_date 之前多少天,周期变为活跃并出现在负责人的 /todos 列表中。
每个周期会经历三个可见状态:
| 状态 | 含义 | 在 /todos 可见? |
|---|---|---|
| 已排程 | 下一个周期已存在以便审计追踪(「下次审查:2026 年 11 月 15 日到期」),但处于休眠状态。今天仍在提前期窗口之外。 | 否 |
| 未完成 | 提前期窗口已开启。系统 Todo [Risk R-000123] <任务标题> 出现在负责人的列表中;触发 task_assigned 通知。 |
是(未完成标签页) |
| 已完成 / 已跳过 | 负责人关闭了该周期。Todo 翻转为 done,作为历史记录保留在负责人的已完成标签页。 |
是(已完成标签页) |
对话框会按周期单位建议合理的提前期(每日 1 天、每周 2 天、每月 7 天、每年 14 天 —— 上限为周期长度的一半,确保窗口绝不与上一个周期重叠)。只要您未手动编辑此字段,建议值会随着单位或间隔的变化自动更新。
每天 UTC 03:00 后台进程会扫描所有已排程的周期,并将提前期窗口已开启的周期提升为「未完成」。需要更早开始审查?点击立即激活(任务行上的闪电图标)即可立即将已排程周期切换为未完成 —— 相同的 Todo 与通知机制,只是无需等待。
周期级审计历史¶
点击任务行上的展开箭头查看完整周期历史。每个周期都记录:
- 排程时的目标到期日。
- 周期开启时被指派给谁(
assigned_owner_id),以便历史审查保持其原始负责人,即使后续轮换角色。 - 对于已关闭周期:由谁完成(
completed_by)、时间戳、完成时负责人快照(如果在周期中途轮换了角色,可能与被指派者不同)以及任何自由文本结束备注。 - 对于已激活周期:激活时间戳(让审计可以核实每日提升任务是否在正确的日子触发)。
这样可以干净地经历多年的负责人轮换 —— 「谁签署了 2024 年 1 月的审查?」的审计答案就在任务旁一点击之距,不会因责任重新分配而丢失。
权限与被指派人¶
- 添加 / 编辑 / 删除任务 —— 需要
risks.manage(默认为 admin / bpm_admin / member)。 - 完成当前未完成周期 ——
risks.manage或当前被指派到该周期的用户。因此,被指派到控制审查的 Viewer 可以关闭自己的周期而无需上报。 - 跳过周期 / 立即激活 —— 始终需要
risks.manage。跳过会推进周期但不声称工作已完成;激活会提前已排程周期,属于规划性操作。
从 TurboLens 合规发现提升¶
在不合规的发现上点击创建风险时(参见 TurboLens),新风险还会获得一个根据发现的修复文本预填的单次缓解任务 —— 让差距分析直接转化为可执行的已指派工作。
导出¶
风险登记册的导出按钮会生成一个两表的 .xlsx:表 1 为过滤后的风险网格;表 2 是同一过滤集中每个风险每个任务的每个周期一行,包含提前期与激活时间戳。可用于审计资料归档或与无 Turbo EA 账户的干系人分享。详情面板中的每个任务行也都拥有自己的导出历史按钮,用于按任务导出工作簿。
风险矩阵¶
TurboLens 安全概览页与风险登记簿页都会渲染 4×4 的概率 × 影响热图。单元格可点击 —— 点击某单元格将下方列表按该区间筛选,再次点击(或点击筛选片的 ×)清除。在风险登记簿中,您可以切换矩阵的初始与残余视图,使缓解进展以直观方式呈现。
登记册网格¶
登记册是与清单页面标准一致的 AG Grid:列可排序、可筛选、可调整宽度,并按用户保留偏好(可见列、排序、侧栏状态)。工具栏的 + 新建风险 打开手动创建对话框。工具栏的导出按钮会生成一个两表的 .xlsx:表 1 为过滤后的风险网格,表 2 为每个缓解任务周期一行 —— 列结构参见 缓解任务 → 导出。
风险 ↔ 发现 联动¶
如果某项风险是从 TurboLens 发现晋升而来,状态变更会双向流动:
- 发现自被晋升起即携带反向链接 打开风险 R-000123(操作幂等——再次点击会跳转到已有风险,而不会再次创建)。
- 当风险到达
mitigated/monitoring/closed/accepted(或被删除)时,反向传播引擎会自动将每条关联的合规发现切换到对应状态(mitigated/verified/accepted/in_review)。在风险上记录的接受理由会被镜像到发现的审查备注中,使审计线索保持一致。
这样,风险登记册(治理视角)和合规网格(操作视角)就能在无需人工维护的情况下保持同步。
状态工作流¶
详情页始终显示一个主要的下一步按钮,加上一小行旁路操作,使顺序路径明显,同时治理出口仍保持一键可达:
| 当前状态 | 下一步(主按钮) | 旁路操作 |
|---|---|---|
| identified | 开始分析 | 接受风险 |
| analysed | 规划缓解 | 接受风险 |
| mitigation_planned | 启动缓解 | 接受风险 |
| in_progress | 标记已缓解 | 接受风险 |
| mitigated | 开始监控 | 恢复缓解 · 不经监控直接关闭 |
| monitoring | 关闭 | 恢复缓解 · 接受风险 |
| accepted | — | 重新打开 · 关闭 |
| closed | — | 重新打开 |
完整状态转换图(服务端强制执行):
identified → analysed → mitigation_planned → in_progress → mitigated → monitoring → closed
│ │ │ │ ▲ ▲
└───────────┴─────────────┴────────────────┴──── accepted(需要理由)
│
reopen → in_progress ◄──────────┘
- 接受风险需要填写接受理由。接受用户、时间戳与理由都会被记录到该条记录上。
- 重新打开一个
accepted/closed风险会回到in_progress。对于mitigated状态,还提供一个手动「恢复缓解」,无需完整重开。
权限¶
| 权限 | 默认授予对象 |
|---|---|
risks.view |
admin、bpm_admin、member、viewer |
risks.manage |
admin、bpm_admin、member |
查看者(viewer)可以看到登记簿以及卡片上的风险,但不能创建、编辑或删除。