🎯 今日學習重點

經過第一天的概念建立，第二天的複習，我開始深入風險管理的核心架構。這是ISO 27001 的心臟部分，也是考試的重中之重！(老師是這樣說...)

🔍 風險的定義與本質

ISO 31000:2018 標準定義

風險 = 不確定性對目標的影響

這個定義包含三個關鍵要素：

1. 不確定性：我們無法完全預測的因素
2. 目標：組織想要達成的結果
3. 影響：可能是正面或負面的偏離

正確認知 vs 常見誤解

• ✅ 風險可能帶來機會，也可能帶來威脅
• ✅ 風險管理是為了合理控制，不是完全消除
• ❌ 風險不是單純的威脅或脆弱性
• ❌ 風險管理不是消除所有風險

⚖️ 風險處理的四個選項

這張圖就是 ISO 27005 的風險處理決策模型：

考試重點：

• 接受 Accept → 在容忍度內，必須文件化
• 規避 Avoid → 乾脆不做，但要評估對業務影響
• 轉移 Transfer → 丟給保險/外包，但監督責任還在
• 降低 Reduce → 最常見，要上控制措施

📌 考點提醒：殘餘風險 (Residual Risk) 一定要記錄，且需經過「充分性評估」。

📊 風險評鑑完整流程

Step 1: 風險識別

• 資產盤點：資訊資產、支援資產、流程活動
• 威脅分析：內部、外部、環境威脅
• 脆弱性評估：技術、程序、人員面向

Step 2: 風險分析

• 定性分析：高/中/低、矩陣法、專家判斷
• 定量分析：SLE、ARO、ALE

Step 3: 風險評估

• 排序：決定處理優先級
• 容忍度比較：與組織的風險胃納比對
• 處理策略決定：選擇接受/規避/轉移/降低

🏗️ ISMS 結構金字塔

下面的金字塔圖就是 ISO 27001 的骨架，把 10 個章節壓縮成三層：

三層架構解析

• 策略層 → 高層承諾、政策、風險規劃
• 管理層 → 資源、支援、營運控制
• 改善層 → 績效評估、內稽、改善行動

📌 考點提醒：

• 規劃一定要在營運之前
• 支援貫穿全程，不是獨立
• 改善必須依據績效評估結果

⚡ 記憶口訣：PDCA = 規支營績改

🎯 SMART 資安目標範例

• 具體：降低釣魚郵件成功率至 1% 以下
• 可衡量：100% 員工完成年度資安訓練
• 可達成：重大資安事件 4 小時內啟動應變
• 相關性：依業務需求建立存取控制政策
• 時效性：6 個月內建立完整弱點管理流程

📌 考點提醒：資安目標必須與 Annex A 控制措施掛勾。

📝 Day 2 學習檢核

• [ ] 能解釋 ISO 31000 風險定義
• [ ] 清楚記得四種處理選項
• [ ] 熟記 ISMS 三層架構與 PDCA 對應
• [ ] 熟練風險評鑑三步驟
• [ ] 能運用 SMART 原則制定資安目標

💡 考試秘訣

常考重點

• 風險定義三要素
• 四種處理選項適用情境
• PDCA 與章節對應
• 風險評鑑正確順序

記憶口訣

• 風險處理：接 → 規 → 轉 → 降
• PDCA：規支營績改