风险矩阵按概率和影响分类风险,便于优先排序和处理。
风险矩阵将发生概率与影响程度交叉以将风险分为等级(低、中、高、关键)。在ISO 27001、ISO 31000和ISO 22301中广泛用于优先处理和分配资源。
每个风险在两个维度上评估。交叉点确定风险等级。
红色区域风险需要立即处理。绿色区域风险可接受或监控。
当环境、资产、威胁或现有控制变化时必须审查。
取决于成熟度。5x5提供更大粒度。ISO 31000不规定具体格式。
ISO 27001要求风险评估过程但不规定工具。矩阵最常用但其他方法也可接受。
需要此领域的评估?