今日實作:用Excel 製作 Impact × Likelihood 表

風險矩陣製作 – Impact × Likelihood 表重點整理 Excel 實作

前言

在醫院資訊室裡，我們經常面臨各式各樣的資訊安全風險。從釣魚信、勒索病毒，到網路設備故障或內部人員誤用，每一項都有可能造成影響。但並不是所有風險都一樣嚴重，有些幾乎不會發生，有些一旦發生卻是災難性後果。

因此，我們需要一個工具，幫助我們快速評估風險的重要性，並決定處理優先順序。這就是 風險矩陣（Risk Matrix）。在這篇文章，我將示範如何用 Excel 製作一個簡單的 Impact × Likelihood 表，幫助醫院更直觀地看清楚資安風險。

一、風險矩陣的概念

風險矩陣是一個 二維表格，橫軸通常代表「發生可能性（Likelihood）」，縱軸則代表「影響程度（Impact）」。

• Impact：事件發生後，對醫院的影響有多大？
  例如：病歷系統癱瘓 → 高影響。印表機故障 → 低影響。
• Likelihood：事件發生的可能性有多高？
  例如：釣魚信 → 高可能性。地震破壞機房 → 低可能性。

矩陣的交叉點，會告訴我們風險的等級：

• 高影響 + 高可能性 → 重大風險（紅色）
• 高影響 + 低可能性 → 需注意（橘色）
• 低影響 + 高可能性 → 中等風險（黃色）
• 低影響 + 低可能性 → 低風險（綠色）

二、Excel 製作步驟

1. 設定矩陣座標

在 Excel 中建立一個 5×5 的表格：

• 橫軸：Likelihood（1 = 低，5 = 高）
• 縱軸：Impact（1 = 低，5 = 高）

2. 插入條件格式

在每個格子中，輸入「Impact × Likelihood」的分數，並利用條件格式設定顏色，例如：

• 1～5 = 綠色
• 6～10 = 黃色
• 11～15 = 橘色
• 16～25 = 紅色

這樣一來，表格就能自動顯示風險等級。

3. 加入風險項目

把常見的醫院資安風險放入矩陣，例如：

• 勒索軟體攻擊 → Impact = 5，Likelihood = 4
• 病歷外洩 → Impact = 5，Likelihood = 3
• 釣魚郵件 → Impact = 3，Likelihood = 5
• 網路中斷 → Impact = 4，Likelihood = 3

三、範例表格

以下是範例 Excel 表的內容：

四、風險矩陣圖示

Excel 也能利用「散佈圖」或「氣泡圖」繪製視覺化矩陣：

• 橫軸：Likelihood
• 縱軸：Impact
• 點的大小或顏色：代表風險程度

例如：

• 勒索軟體 → 紅色大點（高風險）
• 病歷外洩、釣魚信 → 橘色點（中高風險）
• 帳號濫用 → 黃色點（中等風險）
• 伺服器當機 → 綠色小點（低風險）

這樣的圖表比單純表格更容易說服主管，因為一眼就能看到風險分布。

五、實務應用

在醫院資訊室的日常管理中，風險矩陣的用途有：

1. 制定優先順序
   有限的人力與預算，應該優先處理「高 Impact、高 Likelihood」的事件。

2. 定期檢討
   每半年更新一次矩陣，反映新的駭客手法或醫院環境改變。

3. 對外報告
   資訊室在向院方報告時，利用風險矩陣作為視覺化工具，更容易爭取資源。

總結

風險矩陣是一個簡單卻強大的工具，能夠幫助醫院把複雜的資安風險清楚呈現。透過 Impact × Likelihood 的量化評估，我們能更科學地分配資源，不再只是憑感覺做決策。

對我而言，最大的體會是：風險管理不是避免所有事件，而是把有限的資源放在最重要的地方。當資訊室能用數據化的方式解釋風險，資安就不再是「看不到的黑洞」，而是一套可管理、可溝通的流程。