上一篇結尾聊到風險，今天就針對這個主題多講一點

我們先假設一個情境，今天會圍繞著這個情境走

你帶著錢要去逛夜市

引用 告野家 夜市緣 的MV，沒看過的可以先看一下或開著當背景音樂

逛夜市可能產生的風險有什麼呢?

馬上先引入另外一個觀念，資安一定會提的三要素 CIA (剛好跟中情局同縮寫很好記)

• 機密性 Confidentiality
• 可用性 Integrity
• 完整性 Availability

上述三個要素只要有一個出事都是風險，我們開始把逛夜市情境嘗試亂掰分析風險

機密性

原本只要帶老爸去的，結果因為逛夜市的計劃外洩，老母知道也想去
這就是機密性的風險，被未經授權的人取得相關資訊，可能會衍伸其他災害

可用性

一開始打算一台機車載兩個人，但三個人硬要擠，可能機車載不動，這就是可用性風險

完整性

這邊就比較難用MV舉例了
假設去夜市前自己先在紙上寫了打算要吃的東西

* 喝珍奶
* 吃雞排

結果紙放在桌上，老母不定趁大家不注意又多寫了一些上去

* 喝珍奶
* 吃雞排和地瓜球
* 買拖把

這就是完整性風險，不論增加或減少都是完整性的風險

我們把上述的風險重新描述一次，然後進入下個接電

• 逛夜市的計劃外洩
• 機車無法承載超過2人
• 購物清單未經授權異動

風險評鑑

針對風險，要更近一步列出風險會產生的影響

• 逛夜市的計劃外洩
  要帶的人變多了
• 機車無法承載超過2人
  可能得用徒步方式前往夜市或根本到不了夜市
• 購物清單未經授權異動
  要花的錢變多了

風險控制

既然找出風險了，我們需要進一步進行一些控制措施和方法，來降低風險造成的影響

• 逛夜市的計劃外洩
  原先因為直接在門口喊問老爸要不要去逛夜市，所以被老母知道了，可以改成走去老爸房間講小聲一點，減少被聽到的風險

• 機車無法承載超過2人
  可以選擇改搭公車、騎兩台機車、走路等方式
  MV裡使用違法超載的方式，賭路上沒有警察不會抓到，把一個風險轉換成另外一種風險，這也是一種風險控制的方式

• 購物清單未經授權異動
  可以把購物清單寫好後紙就放在口袋收好，不要輕易的讓其他人加字上去

該控制到什麼程度?

有沒有注意到上面的措施都很簡單，感覺還是很容易出問題?
我們以逛夜市計劃外洩來說好了，走去老爸房間，如果老母也在那還是會被知道，或是老爸自己把事情講出去

不過跟前一篇一樣，沒有100%的安全，做到剛剛好就好

上述這些風險，如果經過控制措施後，風險發生的機率或損失都在能接受的範圍，那就可以了

實務上的風險評鑑當然遠比這篇還要複雜，這裡也附上一份參考文件給有心想要認真學習的人
資訊系統風險評鑑介紹 - 國家資通安全會報 技術服務中心
https://download.nccst.nat.gov.tw/attachfilehandout/2010091002.pdf