计算风险保障
当启用保障时,可以汇总活动项目或与多个项目相关的框架的测试结果和问题。这可让您报告单个项目或与框架相关的所有项目的保障。
此主题提供保障示例,以便您熟悉与保障相关的计算。
显示单个项目的保障
显示单个项目的保障,以表明组织风险得到有效缓解的信心。
示例
场景
您正在进行 IT 一般控制审计,需要定量评估风险。您的项目有一个目标(物理安全)以及与该目标相关联的两个风险。您在项目中启用保障,并开始进行项目工作。
给风险评分
您根据两个风险评分因素(影响和可能性)来评估风险,并使用 5 点刻度尺评分机制来给风险评分:
| 目标 | 风险 | 描述 | 分数 |
|---|---|---|---|
| 物理安全 | 风险 1 | 未经授权进入安全服务器机房。 |
|
| 风险 2 | 存储敏感数据或公司信息的设施安全没有得到充分保障。 |
|
固有风险评分计算
根据您的风险评分,项目应用程序自动计算每个风险的固有风险评分以及固有风险总分:
- 风险 1 (5 x 3)= 15.0
- 风险 2 (2 x 2)= 4.0
固有风险总分(15 + 4)= 19.0。
定义控制、关联的风险和控制权重
您定义四个控制,以帮助缓解两个已识别风险(包括其关联的风险),以及控制所缓解的风险的百分比(控制权重):
| 控制 | 描述 | 关联的风险 | 控制权重 |
|---|---|---|---|
| 控制 1 | 在设施入口处安装锁具。 | 风险 1 | 100% |
| 控制 2 | 安装安全摄像头以记录可疑活动。 | 风险 1 | 20% |
| 控制 3 | 用门禁卡访问系统保护所有的服务器设施入口。 |
|
|
| 控制 4 | 所有的办公设施入口有管理人员监控。 |
|
|
测试控制
在您的项目中,没有任何测试轮 - 而是每个控制有一个排查。您测试每个控制并记录结果:
| 控制 | 测试结果 | 通过或失败? |
|---|---|---|
| 控制 1 | 有效运行 | 通过 |
| 控制 2 | 发现异常 | 未通过 |
| 控制 3 | 有效运行 | 通过 |
| 控制 4 | 有效运行 | 通过 |
残留风险评分
根据您定义的风险控制关联、指定的控制权重和测试结果,项目应用程序会自动计算每个风险的残留风险分数以及残留风险总分。
通过将失败的相关控制的控制权重乘以固有风险评分,计算残留风险评分:
- 风险 1 (15.0 x 0.2)= 残留风险分数 (3.0)
- 风险 2控制 3 和 4 全部通过,一起 100% 缓解风险 2。风险 2 的残留风险评分是 0.0。
残留风险总分是通过将所有残留风险评分相加计算得到的:
风险 1 残留风险评分(3.0) + 风险 2 残留风险评分(0.0) = 总体残留风险评分(3.0)。
整体保障
项目内部显示的整体保障计算如下:
(总体固有风险评分 (19.0) – 总体残留风险评分 (3.0) / 总体固有风险评分 (19.0) = 整体保障 (84%)。
显示多个项目的保障
显示与框架相关的多个项目的保障,以表明组织风险得到有效缓解的信心。
示例
场景
您需要集中管理五个不同的项目,并定量评估所有五个项目的风险。在您的框架中,有一个包含两个风险的目标。
| 框架 | 目标 | 风险 |
|---|---|---|
| 框架 1 | 目标 1 | 风险 1 |
| 风险 2 |
进程
您将风险导入相关项目,在框架和项目中启用保障,测试控制。记录任何问题(如适用)。
结果
测试结果和问题会自动从各个项目汇总到框架。保障的计算如下汇总到框架:
项目级风险评分
| 项目 | 固有风险评分 | 残留风险评分 | 相关联框架风险 |
|---|---|---|---|
| 项目 1 | 9.0 | 2.0 | 风险 1 |
| 项目 2 | 6.0 | 2.0 | |
| 项目 3 | 3.0 | 1.0 | |
| 项目 3 | 0.0 | 0.0 | 风险 2 |
| 项目 4 | 5.0 | 1.0 | |
| 项目 5 | 5.0 | 1.0 |
框架级风险评分
| 框架风险 | 固有风险评分 | 残留风险评分 | 关联项目 |
|---|---|---|---|
| 风险 1 | 18.0 | 5.0 | 1, 2, 3 |
| 风险 2 | 10.0 | 2.0 | 3, 4, 5 |
目标 1 的保障 75%
(固有风险总分 (28.0) – 残留风险总分 (7.0)) /固有风险总分 (28.0)
更多示例
查看阐释如何在单个项目中计算风险保障的其他场景。
单一控制涵盖的风险
| 风险 A --> 控制 A | 风险 A --> 控制 A | 风险 A --> 控制 A | 风险 A --> 控制 A | 风险 A --> 控制 A | |
|---|---|---|---|---|---|
| 风险 ID | A | A | A | A | A |
| 影响 | 2 | 3 | 2 | 3 | 3 |
| 可能性 | 5 | 3 | 5 | 3 | 3 |
|
定制风险评分因素 1(速度) 权重:80% |
-- | -- | 5 | 5 | -- |
|
定制风险评分因素 2(漏洞) 权重: 50% |
-- | -- | -- | 5 | -- |
| 固有风险评分 | 10 | 9 | 40 | 90 | 9 |
| 控制权重 | 85% | 100% | 85% | 100% | 55% |
| 控制 ID | A | A | A | A | A |
| 有效运行? | 是 | 是 | 是 | 是 | 否 |
| 残留风险评分计算 | 10 x (1- 0.85) | 0 | 40 x (1- 0.85) | 0 | (9 x 0.55) + (9 x 1-0.55) |
| 解释 |
|
|
|
|
|
两个控制涵盖的风险
| 风险 A --> 控制 A, B | 风险 A --> 控制 A, B | |
|---|---|---|
| 风险 ID | A | A |
| 影响 | 3 | 4 |
| 可能性 | 3 | 3 |
|
定制风险评分因素 1(速度) 权重:80% |
-- | -- |
|
定制风险评分因素 2(漏洞) 权重: 50% |
-- | -- |
| 固有风险评分 | 9 | 12 |
| 控制权重 |
|
|
| 控制 ID | ||
| 有效运行? | ||
| 残留风险评分计算 | 9 x 0.75 | 12 x 1 |
| 解释 |
|
|
三个控制涵盖的风险
| 风险 A --> 控制 A, B, C |
风险 A --> 控制 A, B, C | |
|---|---|---|
| 风险 ID | A | A |
| 影响 | 5 | 5 |
| 可能性 | 3 | 3 |
|
定制风险评分因素 1(速度) 权重:80% |
-- | -- |
|
定制风险评分因素 2(漏洞) 权重: 50% |
-- | -- |
| 固有风险评分 | 15 | 15 |
| 控制权重 |
|
|
| 控制 ID | ||
| 有效运行? | ||
| 残留风险评分计算 | 15 x (0.45 + 0.15) | 15 x (0.45 + 0.15) + 15 x (1- 0.85) |
| 解释 |
|
|
计算
了解与保障相关的计算。
| 术语 | 计算 | 备注 |
|---|---|---|
| 风险评分因素权重 |
用户输入的表示风险评分因素的重要性的值(1-1000%)。 |
权重值越高,风险评分因素对您的组织越重要,风险评分因素对固有风险总分的影响就越大。 值范围可以完全自定义您的分数。例如,您可以将某风险评分因素的权重指定为另一风险评分因素的五倍(漏洞 = 100%,速度 = 500%)。风险评分因素权重的总和可以增加到任何数值。 说明
您不能修改默认风险评分因素的权重(可能性和影响),其默认值为100%。 |
| 固有风险评分(风险) | (影响 x 可能性) x (定制风险评分因素 x 权重) |
|
| 固有风险评分(目标) | 总和(目标中的所有风险的固有风险评分) |
|
| 固有风险总分(项目) | 总和(每个目标的固有风险评分) |
|
| 固有风险总分(框架) | 总和(包含风险的所有项目中的固有风险评分) |
|
| 控制权重 |
用户输入值(0-100%)以表示控制缓解风险的百分比。 |
但是,控制权重的总和可以增加到任何数值。 |
| 残留风险评分(风险) | 总和 (固有风险评分 x 控制权重 <对于没有有效运作的相关控制>) + (固有风险评分 x (1 – 总控制权重 <如果总控制权重小于 100%>)) |
在以下情况下控制被标记为“失败”,且被用于残留风险评分计算:
保障因上述情况减少。 项目应用程序计算每个风险的一个残留风险评分,而不是每一测试轮的残留风险评分。 |
| 残留风险评分(目标) | 总和(目标中的所有风险的残留风险评分) |
|
| 残留风险总分(项目) | 总和(每个目标的残留风险评分) |
|
| 残留风险总分(框架) | 总和(包含风险的所有项目中的残留风险评分) |
|
| 整体保障(项目) | (总体固有风险评分 – 总体残留风险评分 / 总体固有风险评分 |
|
| 整体保障(框架) | (包含风险的所有项目中的固有风险总分 - 包含风险的所有项目中的残留风险总分)/固有风险总分 |
