「風險處理(Risk Treatment)」是一個非常關鍵的步驟。當我們已經識別出潛在的資安風險,並對其可能造成的損害進行評估後,接下來就要決定如何應對這些風險。這就是風險處理的目的:採取適當的策略,降低風險對組織造成的傷害。
透過各種控制手段來降低風險,例如降低資料外洩的機率,或是減輕攻擊帶來的損害。
📌 例子:
建立存取控制機制
安裝資安防護軟體
建置多重備援系統(備份、災難復原)
當風險的影響或機率非常小,或風險處理成本過高時,可以選擇接受風險,不採取額外措施。
📌 例子:
將風險的財務或營運影響轉嫁給第三方承擔,常見方式是購買保險或外包。
📌 例子:
購買資安保險,轉嫁駭客攻擊造成的法律責任
委外雲端儲存服務,並簽署 SLA 協議保障資料可用性
直接取消或改變原本的活動,從根本上「避免」風險發生。
📌 例子:
發現某舊系統有重大資安漏洞,乾脆淘汰不用
不導入高風險的新技術或功能