H1Day17：瞭解風險管理流程─風險管理

H21.2. 瞭解風險管理流程

風險就是變異，一種不確定性，有可能好也有可能壞。程式設計師撰寫的程式，有可能有弱點，也可能是引用的函式庫有弱點（Weak），而威脅（Threat）則來自於企業內外部。當威脅（對手，包括內部員工、外部組織、敵對國家或AI人工智慧和自動化軟體、機器人）針對弱點進行攻擊（Attack）時，即發生風險。
而因為CC討論的多是對手的攻擊，所以大部分的風險都是對企業而言壞的風險，所以企業必須想辦法，在有限的資源下來管理這些風險，風險管理流程就應運而生。

H31.2.1. 風險管理（如風險優先順序、風險容忍度）

在台灣，外在風險來自於颱風和地震。而在澳洲，風險可能來自於森林火災和採礦造成的環境污染。要談風險管理以前，企業必須對自身的「資訊資產」進行分類、盤點、風險鑑別、決定優先順序、決定容忍度。

1. 資訊資產分類（標籤化Labeling）：通常資訊資產可分為硬體、軟體、文件、服務、人員等類別。然後各個資訊資產可以被加上標籤，例如極機密、機密、限閱、一般。