褪色的世界．斑剝的記憶

「風險」是「機率」，即(1)*(2)=風險，亦為「可能性」*「衝擊」
(1)「威脅」利用「脆弱性（弱點）」的「可能性」
(2)「資訊資產」受到「衝擊」

-----------------------------------------------------------------

風險管理流程

STEP 1: 全景建立
1-1.定義「風險評估準則」、「衝擊準則」及「風險接受準則」此3個準則
1-2.界定風險評鑑「範圍」
1-3.成立風險評鑑「組職」（確認角色與責任）

STEP 2: 風險評鑑，即判斷「風險程度」，參考【STEP 1:全景建立】的「風險評估準則」，決定風險處理之先後順序；風險評鑑做法有兩種(1)高階風險評鑑作法(2)詳細風險評鑑作法。
2-1.風險識別
2-2.風險分析
2-3.風險評估

STEP 3: 風險處理，參考【STEP 1:全景建立】的「衝擊準則」

STEP 4: 風險接受，參考【STEP 1:全景建立】的「風險接受準則」，決定風險處理範圍

-----------------------------------------------------------------

風險評鑑(1)高階風險評鑑作法，依「資通安全責任等級分級辦法」執行

輸入：資通系統→(1)設定影響構面等級(CIA及法律遵循性4大構面，各個構面分為普中高3個等級)→(2)識別業務屬性（行政類OR業務類）、檢視安全等級→(3)設定資通系統等安全等級→輸出：資通系統安全等級

風險評鑑法(2)詳細風險評鑑作法

風險識別
1.資產識別
2.威脅與脆弱性識別
3.現有控制措施識別
4.後果識別：事件發生後，對資訊及資通訊資產CIA的破壞，進而對組織造成衝擊的嚴重性，以普中高3個等級表示。（普=1、中=2、高=3）

風險分析
5.後果評鑑：對「4.後果識別」普、中、高3個等級取最大值或相加或相乘。（資訊及資通系統資產價值評定方式）
6.事件可能性評鑑：威脅發生之可能性（參考過去發生的頻率）、弱點被利用之容易程度。
7.決定風險等級，例如風險值區間1~6為普、風險值區間7~12為中、風險值區間13~27為高，此項則在「衝擊準則」定義。

風險評估
8.決定風險可接受等級，例如「風險接受準則」定義可接受風險等級為風險值小於15，那麼風險值大於等於15者均要控管。

-----------------------------------------------------------------

「風險處理」的目的為降低風險

1.風險修改（風險降低）：施行、移除或改變控制措施、修訂或降低風險等級
2.風險保留（風險接受）：沒有實作額外的控制措施，風險沒有被改變
3.風險避免（風險降低）：找出適合的控制措施，避免風險發生，例如對社交工程攻擊，強化員工認知訓練與宣導。
4.風險分擔（風險轉移）：降低損失，並無降低風險，例如保險或外包。

「風險處理」後的風險為「剩餘風險」，沒有被評估到的風險也是「剩餘風險」。