風險指的是可能受到的危脅或破壞，這些不確定性因素我們應做好事前評估及因應對策，風險在我們生活當隨處可見，小至個人及團體，大至企業及國家安全，任何人、事、地、物都有其風險存在性，當然在資訊安全範疇內，風險管理扮演著非常重要的角色。目前 ISO 國際標準組織內 27005 是專為資訊安全風險管理所訂製的標準。一般在完成風險評鑑之後，應確實執行風險處理計畫，使規劃之鑑別維持一定安全標準。

風險處理計畫應包含：

• 時間表
• 優先順序
• 工作計畫內容
• 執行控制措施與權責

風險管理的主要內容包含：

• 風險評估 ( Risk Assessment )
• 風險轉移 ( Risk Mitigation )
• 風險估算 ( Risk Evaluation )

以資訊安全為例，任何會造成資訊資產危害之事件都可稱為威脅，通常威脅可分為：

• 人為因素：資料誤植、操作錯誤、道德規範等。
• 網路與系統因素：木馬程式、駭客入侵、資訊系統未定期更新等。
• 不可抗拒天然災害：停電、地震、颱風等。

• 計畫 ( Plan ) - 建構 ISMS

1.確定範疇

2.風險評鑑

3.規劃風險處理計畫

4.接受風險準則

• 執行 ( Do ) - 實行 ISMS

5.實施風險處理計畫

• 考核 ( Check ) - 管控與稽核 ISMS

6.持續監控與審查風險

• 改善 ( Act ) - 維護與修正 ISMS

7.維護與改善資安風險管理

• 業務準則
• 法規層面
• 營運
• 技術
• 財務 / 會計
• 社會環境與人為因素

每一項資產都應編予相關識別及用途，並指派所有人擔任資產保管人，承擔資產的生產、開發、維護、使用及安全維護之責任，但此人並不一定是資產所有權人。

1. 風險管理是指?

A. 一種預測工具，用於分析輔助。

B. 可能受到威脅或破壞的評估與因應。

C. 網路管理的一種評估工具，用於程式開發管理。

D. 實體設備的安全性評估與安檢。

2. 以下何者資產需要編予識別性標籤? (請選擇兩個答案)

A. 印表機

B. 滑鼠墊

C. 伺服器

D. 原子筆

3. ISO/ IEC 27005 設定風險接受準則應考慮? (請選擇兩個答案)

A. 技術

B. 顧問意見

C. 營業額

D. 法規層面