風險管理

5

6

可再細分為：計畫、資訊安全的辨識、資產之調查、資訊威脅與弱點確認、風 險評估與分析及其擬定風險策略的方式。

圖 2-1 一般風險管理模式 資料來源：Caelli,et al.，1989

風險管理為建置資訊系統安全管控的基石，所謂的風險管理就是單位組織 透過風險分析（Risk Analysis）與風險估計（Risk Evaluation）等方法，找出資 訊安全威脅（Threats）與脆弱性（Vulnerabilities），並評估風險發生的可能性，

再 進 行 風 險 評 估 （Risk Assessment ）， 以 先 期 規 劃 機 關 組 織 資 訊 安 全 需 求

（Information Security Requirement），建立一套降低風險管理的措施，使資訊安 全風險管控在能接受的水平上，進而達成單位組織資訊安全的主要目標。所以 就單位組織資訊安全而言，如何有效去降低風險、管理風險及分散風險已成為 單位當前首重的課題(如下圖 2-2)。

圖2-2 資安風險構成之要素 (資料來源:張繼生，民國 98 年)

7

一. 風險評估

風險評估目的在風險管理先行確認單位組織內部資訊安全的弱點，在預期 風險被明確定義後，以有系統的方式使用資訊，進而辨識出風險可能來源，非 資訊資產可能遭遇的威脅狀況，即發生風險危害事件對單位組織潛在損失可能 造成的衝擊影響，並將所評估已知的風險做比較分析的程序，以決定何種風險 是可接受與不可接受的項目，進而辨識和排列單位組織風險優先順序，將其重 要性進行風險管控的步驟。因此，風險管控機制就是將單位組織不確定性風險 辨識出來，由於風險發生或造成損害一開始無法估計對於可能造成潛在的衝擊 影響，所以先期列入風險管理中，再來進行該項風險分析作業。

二. 風險分析

風險分析是用有系統方式使用資訊，確認單位組織內部弱點與外部威脅維 和，進一步辨識風險來源並加以估計，透過風險分析結果進行現有管控的方式，

以評估風險的結果與發生的機率，正確的風險分析可以做為風險處置階段的重 要依據，也可在進行風險分析前，先行採取初步的分析，將類似或威脅較低的 風險先期排除，再持續分析較為嚴重的風險，如果能將未被列入分析的風險一 一列出，此風險分析步驟將較為完整，風險分析程序如下圖2-3。

圖 2-3 風險分析程序圖 (資料來源:張繼生，民國 98 年)

8

9

一、 建立全景(Context Establishment)：制定與單位組織有關資訊安全風險 管理規範，內容必須要符合 ISMS 的規則，詳細說明單位組織的資訊 資產及精確定義單位組織及風險管理規範與機制。

二、 風險評估(Risk Assessment)：針對已制定之風險管理，列出單位組織內 資產擁有人、資產存放位置及資產功能等，加入威脅危害事件識別，

10

列出所有可能遭到威脅事件的資產清冊，並找出產生威脅事件弱點因 素，針對弱點、脆弱性及威脅事件，列入風險發生時的後果分析及判 斷，並依序列出風險等級及劃分可接受範圍，找出當下可能及時解決 的方法，以降低風險所發生的危害。

三、 風險處理(Risk Treatment)：依據風險評估所排序的風險等級優先順序 加以處理，處理方法包括降低風險產生的機率及檢視單位組織內的活 動項目，若活動因某些違常狀況而產生風險時，應加以避免或做風險 轉移，例如將活動項目加入保險轉嫁機制，或簽訂雙方保障合約書，

當風險產生時，則可申請理賠。

四、 風險接受(Risk Acceptance)：依據單位組織決策者劃分可接受之風險，

定期的文件記錄檢視，風險可接受度不是絕對的是或否，須依照風險 危害事件發生時狀況去做評估，對某些不符合單位組織正常風險的驗 收標準，則須列出接受風險的理由。

五、 風險溝通(Risk Communication)：單位組織持續蒐集風險資訊，已獲得 新的資訊安全知識，對單位組織的風險管控結果提供保證，並支持單 位組織的決策，將風險管控的結果與單位組織分享。

六、 風險監視與審查(Risk monitoring and review )：組織所制定風險管控制 度非固定不變，風險發生會因外在環境因素影響而改變，隨時將會因 新的弱點及威脅事件產生而有不同變化，將必須持續管控單位組織環 境的異常現象，掌握新的威脅事件及弱點並持續更新，以維持單位組 織風險管理機制的正常運作，予以保護單位組織內資訊資產之安全。

11