風險管理

風險管理又名危機管理，是一個管理過程，包括對風險的定義、測量、評估和發展因應風 險的策略。目的是將可避免的風險、成本及損失極小化。理想的風險管理，事先已排定優先次 序，可以優先處理引發最大損失及發生機率最高的事件，其次再處理風險相對較低的事件。然 風險管理也是一種古老的藝術，其評估的準確性、控管的成功與否，常決定了一個企業或組織 的興衰，由於目前的企業與企業間的合作，日益密切，風險管理的過程也日益複雜且困難。一 般財務教科書，常將風險定義為價格的變異數或標準差，價格上下波動越劇烈，就認為風險越 高[17]。本文也是基於類似的觀察，去針對整個作業系統做檔案風險值的加總計算，得到一個 供租戶參考的信任指標值的加值服務。

7

事實上，風險並不是一個確切的數字，它只是一個單純的概念，就像巴菲特說的：「風險 來自於不知道自己在做什麼」。如果用比較嚴謹的定義，我們認為葛拉漢所提的「永久性的資 本損失」才是所謂的「風險」。因此，本文參考ISACA的Risk IT中所提到的相關風險因素，就 整個企業在IT方面所會面臨的窘境進行研究[19]，該文中提及目前企業所面臨到的IT問題，如 資料外洩，病毒的威脅等，如表1[10]所示。

任何事情或活動不論準備的再周詳、計畫的再完善，還是免不了會有風險的存在，所以事 先做好風險管理，有助於將事情或活動的風險傷害降至最低，其重要的要項。包括：

（1） 有效預防意外的發生。

（2） 強化活動的安全性。

（3） 提昇活動的品質。

（4） 減少意外造成的損失或傷亡。

此外，其風險管理的特質應涵蓋:

（1） 風險管理本質上是事先的預測與展望，而非事後的反應。

（2） 風險管理必須有一套完整的書面計畫作為執行的依據。例如：企業內部的條件、

企業經營的外在環境、產業的結構、保險市場的狀況等。

（3） 風險管理本身便是一套風險資訊管理系統。

（4） 風險管理是集中管理、分散執行的組織行為。

（5） 風險管理是以寬容有彈性的策略，容納各種對企業有利的服務管道。

（6） 風險管理需要由專門的管理人員擔任。

在實作上，還是以周期性的風險管理流程為主，如：資訊資產識別  風險分析  風 險評估  風險決策  風險處理等。然而，在風險處理上，一般企業會有四種選擇：避免 風險，降低風險，轉移風險，到最後的接受剩餘風險。在資訊安全上多以威脅的識別、弱點的 識別為主要的風險分析[13]。為了使企業的資本支出降低，向外租賃虛擬化雲端服務常是企業 不得不的選擇，但如何確保整個架構的安全性，以及做到最佳的風險管理機制，其實有很多的 研究皆有提到避免的方法[6, 10]。

8

依BS 7799標準定義：資訊對組織而言就是一種資產，和其它重要的營運資產一樣是有價 值的，因此需要持續給予妥善保護。資訊安全可保護資訊不受各種威脅，確保持續營運，將營 運損失降到最低，得到最豐厚的投資報酬率和商機。

資訊安全是一種防止與監測未經授權而使用、竊取、破壞您的資訊系統的一種過程與程序。

資訊安全的工作必需事先妥善規劃、確實謹慎實行各項必要的資訊安全措施，並且持續不斷的 檢討修正實施，以確保隨著時間的演進，仍可以維持資訊的安全性。

依據ISO/IEC 27005：2011資訊安全風險管理之機制，建立資訊資產評估架構，如圖1所示。

資料來源：ISO/IEC 27005：2011

圖 1、ISO/IEC 27005：2011 資訊安全風險管理架構

依據ISO/IEC 27005的要求，需要識別資產、威脅、現有控制措施、脆弱性，並識別可能 造成的後果。風險評估之概念其實是源自於ISO/IEC13335-1，以資產為核心，而資產內部在若 干之脆弱性（V），外部也有許多威脅（T）。評估已知威脅，並利用脆弱之可能性，以及對產 造成衝擊之程度，稱之為風險評估。

要降低風險，需要藉助控制措施（S）的施行，才可以防止威脅或是消除脆弱，詳見圖2。

風險可能無法完全的清除，剩餘的風險即被稱為殘餘風險（RR），執行相關的控制措施，其重

9

點主要在於要將殘餘風險降低至可接受之水準。

資料來源：CNS 14929-1

圖 2、CNS 14929-1 風險管理要素關聯圖

隨著資料的可用性，完整性，皆被眾人拿出來研究探討，在許多大型的，複雜的網路系統 中，監控機制及安全保障在網際網路中，也就愈顯得重要了，其推動資訊安全的知識成本也必 將備增，各企業開始研究、分析原始日誌資料，從中開始有一些基本的認識，最後得以支持企 業的決策，該決策過程所參考的資訊，也會變得至關重要 [6]。