风险暴露（risk exposure）

-ISO 31000
该问题的核心概念是如何定性或定量地分析风险，以确定风险敞口，以货币价值，得分，规模，观点等表示。根据我用来评估风险暴露的“风险标准”，我建议使用B作为答案。没有绝对正确的答案。如果您可以使用风险分析和风险敞口的概念来证明您的对策是合理的，那麽合理的对策就是不错的答案。

风险暴露(Risk Exposure)是“风险给个人，项目或组织带来的潜在损失。” （ISO 16085：2006）“潜力”是风险的不确定性，而“损失”是风险的影响。

-风险分析（图片来源：Steven Imke）

财务报告的披露（Disclosure of Financial Reports）
上市公司应向股东披露正式财务报告，以符合法律法规要求。结果，选项C将不会被识别为风险。以下是有关Amazon的实际报告：
. 亚马逊年度报告，代理和股东函
. 2018年Amazon SEC备案：FORM 10-K

安全功能（Security Function）
选项A意味着组织重组以重新定位安全功能。它可能是组织级别的风险，发生的可能性很小，并且向首席运营官报告通常可以带来积极的影响。
例如，有关安全功能的重要决定是职位，报告方向以及CISO的角色和职责。最好的安排是让CISO直接向首席执行官报告。以下是替代安排：
. 首席运营官：这也是一个不错的选择，因为首席运营官最了解业务和运营。在他或她的监督下，CISO可以很好地将安全性集成到业务流程中。
. 首席信息官：首席信息安全官对信息技术有很好的掌握，但存在利益冲突。
. 审核委员会：这不是一个好的选择，因为审核职能应该是独立的。

RAID事件（RAID Incident）
如果核心数据库的RAID磁盘之一出现故障，则系统仍会以较低的性能运行。从我的角度来看，这是一个影响服务水平的IT事件，可能性很小，影响很小。可以将其评定为低风险，等级分为极高，高，中，低，极低。

网站污损（Website Defacement）
如果披露了供股东使用的正式财务报告，则可能导致组织声誉受损，数据或隐私受到破坏，凭证泄露，内部横向移动等。可能性中等，影响很大。

-NIST通用风险模型（NIST SP 800-30 R1）

参考
. 如何为业务成功制定风险评估矩阵

资料来源： Wentz Wu QOTD-20201222