風險管理策略 (GV.RM) 複習
優先事項
限制條件
風險承受度
風險偏好
假設
風險管理策略 (GV.RM) (2/2)
GV.RM-05
建立溝通管道
目的
基於資安風險在組織內建溝通管道
風險包含供應商和其他第三方風險
確保及時傳達風險資訊、促進協調
讓所有相關部門瞭解潛在威脅漏洞
核心
需建明確溝通管道以取得最新資訊
定期向高階主管更新組織資安狀態
建立明確流程讓所有部門有效溝通
措施
約定與主管報告的時間點方式
簡報
Dashboard
確定有效與所有部門溝通方式
共享平台
資安意識課
舉例
各部門指派人員建立資安風險小組
風險小組定期開會和使用共享平台
讓大家查看風險評估的結果與威脅
GV.RM-06
標準化
風險評估方法
目的
建立與傳達計算風險的標準化方法
方法包含計算、紀錄、分類、排序
組織透過一致架構來評估管理風險
確保以結構化的方式處理潛在風險
能以潛在影響和可能性行優先排序
核心
組織使用標準化方式進行評估風險
紀錄風險 → 預先定義標準 →排序
措施
以量化進行分析且說明機率和損失
使用一致的風險類別清單進行彙總
紀錄含描述、損失、處理、所有權
紀錄的目的為追蹤與監控風險變化
排序後將資源分配給最關鍵的風險
例子
使用 FAIR 資訊風險因素分析方法
建立風險登記冊 (Risk Register)
標準化記錄所有已識別風險
可能性、影響、評級、應對
GV.RM-07
納入
策略性機會
目的
戰略機遇:正面風險,納入討論
過去風險討論通常是減輕負面事件
針對識別正面風險,善用可創優勢
核心
將策略機會納為風險管理流程一環
識別 + 評估 → 制定計畫利用機會
措施
定義並傳達識別機遇併入風險討論
確認機會延伸目標目的為推動創新
紀錄正面後與負面風險共同排序
例子
決定投資威脅偵測功能並改進流程
以下關於 GV.RM-05 建立溝通管道的敘述,何者錯誤?
a) 目的在於建立組織內部和外部 (包含供應商) 的資安風險溝通管道。
b) 需要定期向高階主管更新組織資安狀態,例如透過簡報或 Dashboard。
c) 資安風險小組的組成必須由各部門主管擔任,才能有效執行。
d) 明確的溝通流程有助於讓所有部門了解潛在威脅漏洞,並促進協調。
答案
c
GV.RM-06 標準化風險評估方法旨在:
a) 統一風險評估方法,方便不同部門採用相同的工具和流程。
b) 以量化分析為主,將所有風險轉換為明確的財務損失數字。
c) 建立風險登記冊,並強制要求所有部門使用 FAIR 方法進行風險評估。
d) 透過一致的架構評估和管理風險,確保以結構化方式處理,並依據潛在影響和可能性進行優先排序。
答案
d
以下哪個最符合 GV.RM-07 納入策略性機會核心概念?
a) 將負面風險轉化為正面機會,例如將資安事件視為改進安全的契機。
b) 在風險討論中,不僅關注負面風險,更要積極識別和利用正面風險,以創造優勢。
c) 將所有資源集中於追求策略性機會,因為正面風險帶來的收益通常高於負面風險的損失。
d) 策略性機會的評估應優先於負面風險,因為機會稍縱即逝。
答案
b
組織在決定風險承受度時,應考慮哪些因素?
a) 組織的預算和資源限制。
b) 相關法律法規和合規要求。
c) 組織的戰略目標和風險偏好。
d) 以上皆是。
答案
d
以下哪個例子最能體現 GV.RM-05 建立溝通管道的目標?
a) 公司制定嚴格的資訊安全政策,並要求所有員工簽署同意書。
b) 公司定期舉辦資安意識培訓,並透過內部平台分享最新的資安威脅情報。
c) 公司聘請外部資安顧問團隊,進行全面的網路安全風險評估。
d) 公司投資部署最新的防火牆和入侵偵測系統,以強化網路防禦能力。
答案
b
iThome鐵人賽
看影片追技術