OK，寫到今天我發現好多東西漏掉沒有提到的，真的不好意思，其中之一就是今日主軸:風險(Risk)

合理的安全管理可以將公司組織的風險降低到一個可以接受的程度
能用就好、出事再說，長期下來潛在資安風險完全失控
把使用行為、服務範圍界定在一個有限的範圍中，使其風險可控

一、風險的定義

前面幾天一直陸續提到風險，風險指的定義和要素是:
1. 風險是當公司或系統遭受損失的可能性衝擊，損失可以是財務、商譽或是生產力等可量化/不可量化的痛點。
2. 風險乃當特定意外發生的頻率+發生意外的下場損失，所呈現的綜合指標，這之中關鍵二要素為
2-1. 發生的可能性: 意外/事故可能多久發生?多頻繁發生?(例如: 有85%可能性會遭到勒索病毒攻擊、年均五次的資料遺失...)
2-2. 發生後的損失: 當商業資產遭到損失衝擊時會有何後果? (例如:工廠中斷4個人工小時、四億訂單被取消、設備維修費3萬元)

二、風險管理

風險管理是透過風險評估的過程，來辨別/識別/分級分類各式風險的存在範圍和影響大大小，整體來說是從辨識風險-->控制風險-->降低風險的機制。

三、風險分析的方法

現況主要採用定量分析法(Quantitative Analysis)和定性分析法(Qualitative Analysis)，來評估其影響程度與發生的可能性。

四、風險矩陣:

主要是把風險中的兩個關鍵因素(發生的可能性&發生後的損失程度)分成不同的Level，這些等級可以是相對的數值來表達出順序的簡單劃分法，即為我們常聽到的高風險、中風險、低風險判定基礎。

五、風險的對策和控制

企業在看資安風險的時候，與一般的風險管理概念一致，可以採取規避、降低、移轉及接受這四種手段，來進行風險處理的選擇，說明如下：

依據資安風險的分級與象限區別，則可套用不同的風險對策來控制其承受範圍。

如何進行風險項目的分級分類、內控對策制定，有賴第一步:Identify、現況盤點。明天見!

延伸閱讀與參考資料
wiki 風險管理
資安風險評鑑流程範例
如何擬定資安策略－從潛藏的資訊風險來看