iT邦幫忙

2025 iThome 鐵人賽

DAY 10
0
佛心分享-IT 人自學之術

每天一點點資安黑魔法系列 第 10

Day 10 | 風險處理四法

  • 分享至 

  • xImage
  •  

風險處理

「風險處理(Risk Treatment)」是一個非常關鍵的步驟。當我們已經識別出潛在的資安風險,並對其可能造成的損害進行評估後,接下來就要決定如何應對這些風險。這就是風險處理的目的:採取適當的策略,降低風險對組織造成的傷害。

四大風險處理策略

1️⃣ 風險降低(Reduce / Mitigate)

透過各種控制手段來降低風險,例如降低資料外洩的機率,或是減輕攻擊帶來的損害。

📌 例子:

  • 建立存取控制機制

  • 安裝資安防護軟體

  • 建置多重備援系統(備份、災難復原)

2️⃣ 風險接受(Accept)

當風險的影響或機率非常小,或風險處理成本過高時,可以選擇接受風險,不採取額外措施。

📌 例子:

  • 一個小型網站在非營利架構下,不另外做入侵偵測系統,視為可容忍風險。

3️⃣ 風險轉移(Transfer)

將風險的財務或營運影響轉嫁給第三方承擔,常見方式是購買保險或外包。

📌 例子:

  • 購買資安保險,轉嫁駭客攻擊造成的法律責任

  • 委外雲端儲存服務,並簽署 SLA 協議保障資料可用性

4️⃣ 風險避免(Avoid)

直接取消或改變原本的活動,從根本上「避免」風險發生。

📌 例子:

  • 發現某舊系統有重大資安漏洞,乾脆淘汰不用

  • 不導入高風險的新技術或功能


上一篇
Day9 | 備份與還原:方式比較與效能分析
下一篇
Day11 | 身分認證三要素與多因子驗證解析
系列文
每天一點點資安黑魔法30
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言