什么是风险登记册？

风险登记册是对组织或项目中所有已识别风险的结构化列表，包含评估、责任人、措施及状态信息。它是操作性文件，应定期阅读、更新和审查。

登记册不是风险报告。报告是从登记册中提取的快照（以PDF形式提交给董事会）。登记册本身是动态的实时数据。

在ISO 27001中，风险登记册是信息安全管理体系（ISMS）的强制性组成部分（条款6.1.2和8.2）。在ISO 31000中，它是风险管理流程的标准输出结果。在NIS2第21条中，它是实施基于风险的网络安全措施的前提条件。

一份完整的风险登记册通常包含以下每项风险的字段：

• 编号

  唯一编号或代码（R-001、R-002……）。便于在不写出完整描述的情况下引用该风险。

• 描述

  该风险是什么？用1至2句话说明。避免模糊表述（如"存在IT问题的风险"），应具体说明（如"发票系统停机超过4小时"）。

• 类别/领域

  运营、财务、战略、合规、网络安全、项目。便于筛选和报告。

• 可能性（1–5）

  风险发生的概率。使用统一定义的评分标准。

• 影响（1–5）

  风险发生时的严重程度。可分别针对财务、运营、声誉、合规等维度进行评估。

• 得分/严重程度

  可能性 × 影响 = 1至25。对应低/中/高/严重四个等级。

• 责任人

  对该风险负责的具名人员。没有责任人，任何措施都无法落实。

• 措施

  针对该风险正在采取什么行动？接受、降低、转移或规避。如选择降低，需制定具体行动计划。

• 状态

  待处理、处理中、已处理、已关闭。随时间推移而变化。

• 日期

  风险何时被识别？上次审查时间？下次审查时间？

• 残余风险

  处置后的可能性与影响。用于判断措施是否充分有效。

成熟的风险登记册会在每行中区分三种风险度量值。以下是ISO 27001审计人员和董事会所期望看到的术语：

• 总风险（固有风险）

  未采取任何控制或处置措施时的风险。最坏情况下会有多严重？这对于论证安全投资至关重要。

• 净风险/残余风险

  计入现有控制措施后的风险。此值用于与风险容忍度进行比较，也称为残余风险。

• 目标风险

  计划完成处置措施后期望达到的风险水平。净风险与目标风险之间的差距，反映了计划措施是否充分。

为何如此重要？总风险高但净风险低（得益于强有力的控制措施）的风险，需要的是维护现有控制，而非新增处置措施。总风险本身较低的事项，通常根本不需要专项行动。缺乏这种区分，所有风险都将混为一谈。

对于中小型企业（15至50人）：10至30项风险是常见数量。数量过少可能遗漏重要风险，数量过多则难以管理。

对于中型组织（100至500人）：跨领域30至80项风险。

对于大型组织：100项以上风险，通常按业务板块或领域拆分。

对于项目：10至20项风险，按冲刺或指导委员会会议周期更新。

• 登记册从不更新

  为ISO认证而创建，之后便束之高阁。价值在6个月内流失殆尽。

• 每项风险没有责任人

  没有责任人，风险便停留在理论层面。须指定具有授权的具名人员。

• 风险无对应措施

  记录一项风险却没有应对计划，等同于记录了失败。每项风险都应有明确的应对方式（接受/降低/转移/规避）。

• 描述过于抽象

  "存在IT事件风险"不是一项风险。"勒索软件攻击导致发票系统停机超过4小时"才是一项风险。

• 管理层无人查阅

  如果管理层没有人主动使用登记册，说明该流程尚未得到认同与落实。应首先解决这一问题，而非纠结于格式。

Excel适用于小型登记册（约15项风险以下），但很快会暴露问题：版本混乱、公式失效、无审计追踪、难以与管控方共享、缺乏基于角色的访问控制。

RiskNote等专用工具可提供每项风险的版本历史、基于角色的链接共享、AI辅助识别建议，以及直接从数据生成PDF导出，无需手动整理报告。

请参阅我们的指南：Excel替代方案用于风险登记册。