1. Risk Identification

Chhōe-chhut 可能對一个組織造成 negative 影響的風險。
風險管理的三个關鍵因素：

• Risk：
  一个事件發生造成財務損失抑是無辦法提供服務的 probability。就是系統可能予 hacker 侵入抑是資料 hông 偷提去。
• Threat：
  想欲利用 vulnerability 造成組織損失的人抑是物件。hacker 想欲偷提一个公司的資料。
• Vulnerability：
  Vulnerability 是任何可幫助 hacker 侵入系統的弱點。伊可能是軟體 package 內底的弱點抑是 firewall 錯誤的設定。

2. Risk Assessment

發現、分析佮評估可能的風險。
無仝款的 risk assessment：

• Ad hoc risk assessment
  必要的時陣才執行，回應特別的事件抑是環境的改變。
• Recurring risk assessment
  定期執行 保證 continuing 風險偵測。
• One-time risk assessment
  Tī 特別的情形時陣，像 system implementation 抑是組織改變時陣。
• Continuous risk assessment
  Ongoing 偵測佮評估風險因素。

3. Risk Analysis

發現佮管理對組織有不利影響的可能風險。
無仝款的型態的 Risk Analysis：

• Qualitative risk analysis：
  用 subjective 判斷 kā 風險分成 high、medium、low，注重可能的影響，像 likelihood of occurrence。
• Quantitative risk analysis：
  使用數值預測風險的 probability 佮可能的影響。