在风险管理中，寻求实用的方法来表示和评估风险无疑是一个具有方法学意义的话题。通过适当的估值指标建立风险水平及其概率和影响成分，以及风险偏好和容忍度的概念是必要的。随着时间的推移，这些要素的估值可能会发生变化，正如用于对其估值的指标可能会发生改变，或者企业的风险倾向也可能发生变化。因此，所选择的风险表示方法必须能够灵活、简单地适应变化。

以一种易于沟通和理解的方式表示风险指标，同时满足计算风险水平或汇总的实际需求，需要同时管理定性和定量方法。前者便于与利益相关者沟通，后者降低了估值功能的复杂性。

风险的定义

风险评估没有一种公认的计算方法。

通常，风险级别来自事件发生的概率值与后果程度的测量值的组合（图1）。该定义可以通过一个矩阵函数轻松表示，该函数将风险概念表示为概率坐标和影响值之间的关系。

以下国际标准化组织（ISO）和美国国家标准与技术研究院（NIST）对风险的定义，用于构建对风险管理的讨论：

• ISO指南73:2009——风险是事件发生概率及其后果的组合。

• ISO 31000:2018——风险是不确定性对目标的影响。

• NIST网络安全框架（CSF）2.0——IDA。RA-5：威胁、漏洞、可能性和影响用于了解固有风险，并告知风险应对优先级。

使用矩阵是一种简单直观的方法，通过定性和数值表示风险评估指标。虽然这种简单的表示不一定能立即满足所有操作要求，但它是一个很好的起点。最大的困难是，与所选方法中定义的风险相比，对具有大量已识别风险水平的情况按优先级排序和可视化。

为了澄清这些概念，如图2所示的典型5×5风险矩阵是很有帮助的。发生概率P[i]和影响程度M[j]的五个定性值在纵坐标和横坐标上均匀分布。风险水平R[i]，j]由相应的交叉单元格标识，该组值作为一个整体定义了企业的风险偏好。在标签上添加颜色会创建风险热图，从而更容易阅读相应的级别。然而，对于确定大量风险因素的优先级，这并不是一个足够的解决方案。该矩阵仅包含25个风险要素，但增加影响或概率水平的数量可能会影响其可读性。此外，由于风险水平是由高级管理层确定的，指定大量需要手动管理的要素不可避免地会导致随着时间的推移而难以维护。

在矩阵中，没有证据表明与经济损失或以数字形式表示的概率存在牢固的关系，这不利于对风险偏好概念的明确定性表示。因此，在保持定性级别数量不变的同时，有必要管理额外信息，以便能够在数字和定性数据之间轻松交互，并确保与高级管理层有效沟通。

影响阈值的确定

高级管理层通常更容易根据经济损失的程度来表达风险偏好，而不是选择一个定性风险水平。从高级管理层避免经济损失的愿望开始构建风险矩阵的方法是直观的，有助于数字和定性信息之间的联系。这种关系通过将高级管理层的选择映射到一个归一化的数值域上获得，该域将作为各种数学计算的参考。

为了进行归一化，将数值域{0,1}选择为两位小数近似值。理论上，如果存在大量已识别的风险因素，则操作可以使用更多的小数，但这可能会掩盖方法上的弱点。管理许多风险因素无助于管理层的决策能力，因此最好在多风险情景中汇总风险以减少风险的数量。

可以使用了类似于图3的表格与高级管理层互动。目的是将排名标签与数值关联，以便数学计算。该数字可用于确定每种影响程度的经济损失值。该级别的下限也必须从三种定性可能性中选择：坚持选定级别、采取中间立场或坚持较低级别。还必须定义企业的最大损失能力，并将其归一化为1。所有经济损失值均按照确定的最大值按比例归一化。

为了简化解释，假设企业的最大反应能力等于1亿美元的损失，并且高级管理层选择了“损失”栏中报告的经济损失值。在同一列中选择影响水平的较低阈值。根据高级管理层提供的信息，以0.05的步长自动计算归一化值和近似值。选择此步骤会在级别之间产生显著的间隔；风险从业者可能会手动干预以强调这种区别。

最终结果是定性值与数学计算所需的归一化值之间的联系，定性值足够重要，高级管理层可以表达影响水平。

概率阈值的确定

构建管理风险事件可能性的指标也需要确定概率阈值，类似于确定影响的方法。高级管理层对概率阈值的敏感性不如使用经济损失的概念，但可以使用类似的方案评估（图4）。

与确定影响一样，高级管理层对增加意外事件的可能性表示担忧。“排名”栏通过描述事件的发生和可能性的程度总结事件发生的可能性。它支持使用增长百分比选择概率水平。此外，可能性水平的较低阈值的选择需要是定性的，类似于影响确定中使用的过程。所选值在{0,1}域中以0.05步近似值自动归一化。

此外，关于影响，概率确定中评估的要素数量是定义水平数量的两倍；对于每个级别，还定义了较低的阈值。高级管理层的选择用于自动创建一个纯数值矩阵，既允许数学计算，又可以推导出定性风险矩阵。这个新矩阵被称为“中间矩阵”，以便与初始风险矩阵区分开来。

中间矩阵的构造

高级管理层确定的级别和阈值序列分布在中间矩阵的行和列中预先确定的位置。概率、影响和相关阈值都近似为0.05的上限值，而在交叉单元格中获得的相应风险级别——概率和影响的数值积——用0.01的上限近似值表示。阈值分布在两个影响或概率水平之间的中间位置，并在图5的中间矩阵中表示。

中间矩阵的对角线自动标识风险水平值和风险容忍度。具有奇数索引的对角线单元格提供风险容忍度的最小值，而具有偶数索引的单元格提供与定性风险水平相关的风险水平值。每个风险容限范围的最大值等于与较高风险水平相关的最小值减去百分之一。矩阵的一些特征属性是：

R[2,2]的值是风险接受水平。

由R[1,1]和R[3,3]减去百分之一定义的值范围表示风险接受水平的容差值。

低于R[1,1]的值不被视为风险，如果趋势得到证实，相关事件将被排除在进一步评估之外。

最高风险级别的最大容忍值限制为1，表示风险能力。

总之，风险水平和最小风险容限是从中间矩阵中自动提取的，以创建图6所示的表。最大风险容限列是使用与下一个风险水平相关的最小容限值减去百分之一计算的。中间矩阵不向用户显示，而是保存在系统的内存中，以便将概率和影响转换为风险，并说明定性值和数值之间的关系。

数据库使用注意事项：在计算中，风险值是数字的，而其水平是定性的。从价值到水平的转变是通过风险承受能力实现的。例如，在图6中，0.13的风险值表示2级风险水平，因为它在0.07到0.17的范围内。

在结构化查询语言（SQL）环境中，同时管理多个风险矩阵很简单。单个矩阵由一个表表示，其中列出了可能影响和概率值的整个笛卡尔积。每一行都将有一对影响和概率值作为关键，而属性将是从中间矩阵中得出的风险水平和值，从而可以将矩阵转换为表格格式。

单个选择语句可以通过将概率和影响近似为表中的最低值的方式提取风险水平（或其值）。为了在特定情况下使用不同的风险矩阵，此SQL解决方案只需为每个额外的风险矩阵添加两个额外的列，即风险级别和风险值。

当某些情况自动发生时，也可以利用为数据库使用提出的技术改变风险偏好。例如，随着网络安全保护目标的变化，一些风险事件可能需要使用更激进的矩阵（或更保守的矩阵）。由于机密性、完整性和可用性（CIA）安全三元组代表了所需的安全目标，因此可以决定，当至少两个参数超过三元组的平均值时，需要一个具有更保守风险的矩阵。与之相反，如果三元组的所有三个参数都低于平均值，风险矩阵将不得不更加激进。

管理中间风险矩阵变化的技术需要在SQL环境中准备一个更保守或更激进的矩阵。SQL函数基于要评估的风险场景的安全三元组，充当表示为该保护目标建立的中间矩阵的列的选择器。这对用户是隐藏的，并且是完全自动的。没有必要改变概率或影响。

结论

高级管理层往往对影响（可想象的结果）的概念比对风险（可能发生的事件）的概念更熟悉。因此，风险事件发生的影响和概率可以单独用于建立风险评估机制，并提供所有必要的参数以便清晰地描述风险水平。数值（中间）矩阵是从高级管理层对概率和影响的考虑中得出的。使用这个数字矩阵将定性数据转换为数字数据，反之亦然，并促进了汇总或优先考虑风险所需的计算。

可以收集必要的元素，以对高级管理层直观的方式表达风险偏好和容忍度的概念。同时，可以指定许多元素，显示为矩阵的单元格，以区分风险事件并对按优先级排序。排序首先作用于风险水平，然后作用于影响和概率或两者的混合。这确保了一种简单的方法的可用性，从而可以保持风险评估系统随着时间的推移而高效。

通过考虑所有具有影响和概率指数的单元格，可以立即验证评估是否来自中间矩阵。定性风险矩阵代表了与利益相关者有效沟通的手段，而中间矩阵则与计算系统沟通。这种方法的主要优点是易于维护风险参数，而不会损失对计算至关重要的数值敏感性。其结果是在风险管理系统的各种需求之间达成了良好的取舍。
 

作者：LUIGI SBRIZ| CISM, CRISC, CDPSE, ISO/IEC 27001:2013 LA, ITIL V4, NIST CSF, UNI 11697:2017 DPO，是风险管理、网络安全和隐私问题的首席审计师、培训师和高级顾问。

翻译：杨皓然（AdySec），CISSP，CISM，CISA，CDPSE，CRISC，CGEIT，PMP，CCSK，CZTP，CDSP，CCSSP，RHCA，CCNP，ISO27001 Auditor，ISACA微信公众号特邀通讯员，ISACA中国特邀专家，CSA大中华区专家，ISC2北京分会会员，致力于云安全、零信任、数据安全、安全运营等方向

校对：姚凯（Kevin Yao），CISA，CISM，CRISC，CGEIT，CDPSE，ISACA中国特邀专家，拥有二十余年IT从业经验，近年来关注IT安全，隐私保护和数字化。