ISO/NIST-Aligned Risk Assessment & Managment Toolkit

Note:

The file is read-only copy, if you need your own copy send me an email.

🇬🇧

Overview

This repository contains a professional Excel-based Risk Assessment & managment Tool With Asset Based Approach, designed for structured, governance-ready risk evaluation. The tool follows a 5×5 Likelihood × Impact matrix methodology and is aligned with internationally recognized risk management standards. It is built to support cybersecurity programs, ISMS implementations, and enterprise risk governance frameworks.

---

Hold On !

Unlike many commercial GRC tools, this model provides fully transparent risk calculation logic, allowing organizations to audit, customize, and defend their risk scoring methodology

---

Use it to: Address, Analize, Assess, Control and Manage Risks.

• No macros. No external dependencies. Fully transparent logic.
• No Cloud. No Data Exposure. Full Control of Your Cybersecurity Risk Data.

---

Key Features

1. Structured Risk Quantification

• 5×5 Likelihood × Impact Matrix
• Automated risk score calculation (1–25)
• fully transparent risk calculation logic
• Clear scoring logic separated from visualization layer

2. Risk Appetite–Driven Classification

• Configurable Risk Appetite threshold

• Automated classification:

  • Low
  • Medium
  • High
  • Critical
  • Clear identification of out-of-appetite risks

3. Executive Heatmap Visualization

• Dynamic Heatmap (auto-updating)

• Risks positioned by:

  • X-axis: Impact
  • Y-axis: Likelihood
  • Clear visual clustering for decision-making

4. Governance & Audit Readiness

• Structured scoring methodology
• Defensible and transparent calculation model
• Suitable for board-level reporting
• Supports treatment planning and escalation logic
• Ability to Adopt with any Risk Criteria

---

Risk Scoring Methodology

Formula:

Risk Score = Likelihood × Impact

• Likelihood: 1–5
• Impact: 1–5
• Total Score Range: 1–25

Example Risk Banding

Score	Classification	Governance Action
1–5	Low	Accept / Monitor
6–10	Medium	Within Appetite – Controlled
11–15	High	Treatment Plan Required
16–25	Critical	Immediate Action & Escalation

Thresholds can be adjusted based on organizational maturity and defined Risk Appetite.

---

Standards Alignment

The model is conceptually aligned with:

• ISO 31000 – Risk Management Guidelines
• ISO/IEC 27005 – Information Security Risk Management
• NIST SP 800-30 – Guide for Conducting Risk Assessments
• Enterprise Risk Management (ERM) best practices

---

Differentiators

• Appetite-driven risk classification (not arbitrary color ranges)
• Logical distribution across full 1–25 matrix scale
• Separation between scoring logic and visualization
• Designed for real-world governance environments
• No macros or scripting required

---

Intended Audience

• CISOs
• Information Security Managers
• Risk & Compliance Professionals
• ISMS Implementers
• Governance Consultants
• Internal Audit Teams

---

🇸🇦 النسخة العربية

نظرة عامة

يحتوي هذا المستودع على أداة احترافية لتقييم المخاطر ورسم مخطط Heatmap مبنية باستخدام Excel، ومصممة لتوفير منهجية منظمة وقابلة للاعتماد في بيئات الحوكمة المؤسسية.

تعتمد الأداة على مصفوفة 5×5 (الاحتمالية × الأثر) ومتوافقة من حيث المنهجية مع المعايير الدولية لإدارة المخاطر، ومناسبة لبرامج الأمن السيبراني وأنظمة إدارة أمن المعلومات وإدارة المخاطر المؤسسية.

لا تحتوي على ماكرو. لا تعتمد على أي مكونات خارجية. منطق الحساب شفاف بالكامل.

---

المزايا الرئيسية

1. احتساب منظم للمخاطر

• مصفوفة 5×5 (الاحتمالية × الأثر)
• احتساب تلقائي لدرجة الخطر (من 1 إلى 25)
• فصل واضح بين منطق الحساب وطبقة العرض المرئي

2. تصنيف مبني على شهية المخاطر

2. تصنيف مبني على شهية المخاطر

• إمكانية ضبط حدود شهية المخاطر
• تصنيف تلقائي إلى:
  • منخفض
  • متوسط
  • مرتفع
  • حرج
• تحديد واضح للمخاطر الخارجة عن شهية المخاطر المعتمدة

3. عرض تنفيذي عبر Heatmap

• خريطة حرارية ديناميكية تتحدث تلقائيًا
• تموضع المخاطر بناءً على:
  • المحور الأفقي: الأثر
  • المحور العمودي: الاحتمالية
• دعم اتخاذ القرار من خلال التوزيع البصري للمخاطر

4. جاهزية الحوكمة والتدقيق

• منهجية احتساب منظمة وقابلة للتدقيق
• نموذج حسابي قابل للدفاع أمام جهات المراجعة
• مناسب للتقارير المرفوعة للإدارة العليا أو مجلس الإدارة
• يدعم إعداد خطط المعالجة والتصعيد

---

منهجية احتساب المخاطر

المعادلة:

درجة الخطر = الاحتمالية × الأثر

• الاحتمالية: من 1 إلى 5
• الأثر: من 1 إلى 5
• نطاق الدرجة الكلي: من 1 إلى 25

مثال على تقسيم الدرجات

الدرجة	التصنيف	الإجراء الحوكمي
1–5	منخفض	قبول / متابعة
6–10	متوسط	ضمن شهية المخاطر
11–15	مرتفع	يتطلب خطة معالجة
16–25	حرج	إجراء فوري وتصعيد

يمكن تعديل الحدود بما يتناسب مع نضج المؤسسة وتعريفها الرسمي لشهية المخاطر.

---

التوافق المعياري

• ISO 31000 لإدارة المخاطر
• ISO/IEC 27005 لإدارة مخاطر أمن المعلومات
• NIST SP 800-30
• أفضل ممارسات إدارة المخاطر المؤسسية

---

ما يميز الأداة

• تصنيف مبني على شهية المخاطر وليس على ألوان عشوائية
• توزيع منطقي على كامل نطاق 1–25
• فصل واضح بين الحساب والعرض
• مصممة لبيئات حوكمة واقعية
• لا تتطلب ماكرو أو برمجة إضافية

---

الفئة المستهدفة

• مدراء أمن المعلومات
• مدراء المخاطر والامتثال
• مسؤولو تطبيق ISO 27001
• المستشارون في الحوكمة والأمن السيبراني
• فرق التدقيق الداخلي

© 2026 – EXRAST Professional Toolkit
Designed for structured, defensible, and executive-ready risk management.
www.linkedin.com/in/selman-suliman
sulimanselman31@gmail.com