Die Risikomatrix (5x5) ist ein gängiges Werkzeug der Risikoanalyse. Auf einer Achse trägst Du die Eintrittswahrscheinlichkeit ein (z. B. von sehr gering bis sehr hoch), auf der anderen das Schadensausmaß. Jede Kombination ergibt eine Risikostufe, die farblich hinterlegt wird. Die Matrix macht Risikoverteilungen auf einen Blick sichtbar und unterstützt die Kommunikation gegenüber der Geschäftsführung. Im ISMS nach ISO 27001 bildet die Risikomatrix die Grundlage für die Risikoevaluation. Du solltest die Skalen klar definieren, damit verschiedene Bewerter zu konsistenten Ergebnissen kommen.