在弓箭手村的資安修練第 4 天，來到村外的「風險荒原」，這裡危機四伏，據說每一個事件的背後，都藏著一個叫做「風險」的魔物。它不會自己出現，但只要威脅和弱點一碰面，就會召喚出它的身影，對我們的資產發動攻擊！
今天的任務：學會辨識風險的來源、分析它的破壞力，並選擇正確的處置策略──避免它、轉移它、緩解它，或勇敢地接受它。只有掌握風險管理的口訣「1234」，我們才能在這片荒原中活下來，！

風險是指影響目標達成的不確定因素。在資訊安全中，風險通常是指某個威脅（Threat）利用某個弱點（Vulnerability），導致資產（Asset）受損的可能性。

風險 = 威脅 × 弱點
在 Common Criteria（CC）標準中，若缺少任一要素，則不構成風險。

資產 Asset

• 需要保護的對象
  • 資料
  • 系統
  • 設備
  • 人員

漏洞 Vulnerability

• 系統或流程中的缺陷，可能被威脅利用造成損害。
• 弱點本身不會直接造成傷害，但若未妥善管理，將成為風險來源。
  • 配置錯誤
  • 軟體漏洞
  • 使用者疏忽
  • 弱密碼
  • 未加密的資料

威脅 Threat

• 可能造成傷害的事件或行為。
  • 駭客攻擊
  • 自然災害
  • 內部人員疏失

風險產生了，那下一步應該如何處置。

風險管理口訣1234：
一大目標：控制風險至「可接受的程度」
二大程序：風險評鑑與風險處置
評鑑三步驟：識別、分析、評估
處置四作法：避免、轉移、緩解、接受

1. 一大目標：可接受的風險是指在不影響目標達成、營運穩定或法規遵循的前提下，組織所能容忍的風險範圍。
   • 可接受風險水平，由高級管理層制定
2. 二大程序
   • 評鑑：找出風險並分析其嚴重性。
   • 處置：採取行動降低風險影響。
3. 評鑑三步驟
   • 風險識別：找出可能影響資產的風險來源。
     • 資產盤點（如：資料、系統、人員）
     • 威脅識別（如：駭客攻擊、自然災害、人為疏失）
     • 弱點分析（如：未更新的系統、弱密碼）
     • 風險事件的可能性與來源
   • 風險分析：評估風險的影響（Impact）與發生機率（Likelihood）。
     • Qualitative定性分析：使用風險矩陣（高、中、低）來判斷風險等級
       • 例如：德爾菲法(Delphi Method、匿名問卷)
     • Quantitative定量分析：以數字方式估算損失金額、機率等。
   • 風險評估：做決策⼀⼑切，決定是否要處置風險，以及採取何種處置方式。
     • 判斷風險是否在「可接受範圍」內
     • 選擇處置策略（避免、降低、移轉、接受）
     • 制定風險處置計畫與追蹤機制
4. 處置四作法
   • 避免 (Avoid)：完全消除風險來源，避免風險發生。
     • 停用一個存在重大漏洞的系統
   • 緩解 (Mitigate)：採取控制措施來降低風險的發生機率或影響程度。
     • 安裝防毒軟體、加密資料、定期備份、補釘
   • 移轉 (Transfer)：將風險責任轉移給第三方。
     • 購買資安保險、委外給雲端服務商
   • 接受 (Accept)：在風險可接受的情況下選擇不採取行動。
     • 小型網站接受低機率的DDoS攻擊風險

風險承受能力：組織或個人在特定情境下，可以接受風險所帶來損失的程度。

• 財務能力：能承受多少損失而不影響營運？
• 營運彈性：系統或流程中斷多久是可接受的？
• 法規要求：是否有明確的合規底線？
• 聲譽風險：品牌或信任度受損的容忍程度？
• 人員安全：是否涉及人身安全或健康風險？

風險優先級：在多個風險中，根據其影響程度與發生機率排序處理順序。

• 風險的影響程度（Impact）：如果風險發生，會造成多大的損害？
• 風險的發生機率（Likelihood）：這個風險發生的可能性有多高？

風險矩陣：將風險依照「影響」與「機率」分類，協助判斷優先處理順序。

• 高優先級風險：立即處理，通常需採取「降低」或「避免」策略。
• 中優先級風險：可納入中期改善計畫。
• 低優先級風險：可考慮接受，或列入長期觀察。