H1Day20：風險識別、評估和處理（續2）

（2）Mitre Att&CK ：MITRE 是美國的非營利組織，為美國政府進行各項先進技術研究，資安更是其重點研發的一環。MITRE 於2013年推出了 ATT&CK (Adversarial Tactics, Techniques & Common Knowledge)概念，旨在協助企業組織有共通的語言與架構，了解與分析網路攻擊手法，進而規劃資安對策。Mitre即試圖讓分析報告有一致的語言，Techniques (技術手法)提供描述、範例、參考、緩解與檢測的建議。以往在撰寫資安事件攻擊分析報告時，許多的專有名詞和報告者自行撰寫描述的名詞，造成分析報告難以結構化、難以比較。而有了MitreAtt&CK後，報告的可比較性有很大的提升。
（3）CVSS ：CVSS（Common Vulnerability Scoring System）是一種被廣泛使用的漏洞評分標準，用於衡量資訊安全漏洞的嚴重程度。它是由美國國家基礎建設諮詢委員會（National Infrastructure Advisory Council, NIAC）所發起，並已成為資安領域中標準的評估工具。CVSS 提供了一個統一的評估方法，幫助資安專業人員更全面地理解軟體漏洞的衝擊程度，從而更好地制定應對策略。CVSS 評分是基於漏洞的技術細節和相關屬性，如攻擊向量、攻擊複雜性、機密性、完整性和可用性等。這些指標經過權重計算，產生一個基礎評分。此外，CVSS 還考慮了漏洞的時間評分和環境評分，以更好地反映漏洞在特定環境中的風險。
（4）內部網站與刊物：為了傳達風險，組織可以善用內部網站和組織刊物，確保新進人員、異動人員甚至是離職人員、外包廠商、約聘人員都能夠得知組織對於保護重要資訊資產的規定和努力。