風險處理

「風險處理（Risk Treatment）」是一個非常關鍵的步驟。當我們已經識別出潛在的資安風險，並對其可能造成的損害進行評估後，接下來就要決定如何應對這些風險。這就是風險處理的目的：採取適當的策略，降低風險對組織造成的傷害。

四大風險處理策略

1️⃣ 風險降低（Reduce / Mitigate）

透過各種控制手段來降低風險，例如降低資料外洩的機率，或是減輕攻擊帶來的損害。

📌 例子：

• 建立存取控制機制

• 安裝資安防護軟體

• 建置多重備援系統（備份、災難復原）

2️⃣ 風險接受（Accept）

當風險的影響或機率非常小，或風險處理成本過高時，可以選擇接受風險，不採取額外措施。

📌 例子：

• 一個小型網站在非營利架構下，不另外做入侵偵測系統，視為可容忍風險。

3️⃣ 風險轉移（Transfer）

將風險的財務或營運影響轉嫁給第三方承擔，常見方式是購買保險或外包。

📌 例子：

• 購買資安保險，轉嫁駭客攻擊造成的法律責任

• 委外雲端儲存服務，並簽署 SLA 協議保障資料可用性

4️⃣ 風險避免（Avoid）

直接取消或改變原本的活動，從根本上「避免」風險發生。

📌 例子：

• 發現某舊系統有重大資安漏洞，乾脆淘汰不用

• 不導入高風險的新技術或功能