恩~今天剛考完IPAS的中階資安工程師XD"~頭好昏~
有考到風險評險的部份，發現，我根本沒消化完XDDD"。。。
回來翻講義，覺得我好眼殘，在講這章的時候，我應該是走神了~好吧~慢慢啃~

▉劉姥姥進大觀園
ISO31000:2009 風險管理原則與指導綱要(ISO27001~上課老師有提到的)
ISO 31010:2009 風險管理 - 風險評鑑技法(今天考題好像是它，忘了，只能等星期一試題公佈，才能確認是不是它了)

▉ISO31000:2009 風險管理原則與指導綱要
(可以參考CNS 31000)
└風險處理>風險接受/風險溝通>風險監視與審查。
└→風險修改、風險保留、風險避免、風險分配。
└→→在決定風險可接受等級，可考量因素：
競爭態勢、技術、人力、成本、時間、利害關係者的期待、高階管理者的承諾。
• 依據風險高低與優先度，決定風險處理程序。
• 擬定風險處理計劃，應包含目的、方案、負責人、預計完成日期、有效性衡量指標、追蹤及結案機制。
└老師分享的是說，以"競爭態勢(私人企業)"或"依循法規"(公家機關)作切入點，會更能讓高階管理者接受，若以人力或成本，就有可能被縮減處理的意願。
--這是不是跟爭取專案預算是一樣的意思XDD"

▉CNS 31000(想當然就是…我還沒看XD")
目錄
前言
簡介

1. 適用範圍
2. 用語及定義
3. 原則
4. 架構
   4.1 一般
   4.2 宣示與承諾
   4.3 管理風險之架構設計
   4.4 實施風險管理
   4.5 架構之監測與審查
   4.6 架構之持續改進
5. 過程
   5.1 一般
   5.2 溝通與諮商
   5.3 建立前後環節
   5.4 風險評鑑
   5.5 風險處理
   5.6 監測與審查
   5.7 記錄風險管理過程
   附錄A (參考) 強化的風險管理之屬性
   參考書目