在資訊安全中,「風險」不是指運氣不好或倒楣,而是指:
某個威脅,利用了相對應的弱點(脆弱性),導致資訊資產受到衝擊的可能性。
舉個例子:
當你的密碼太簡單(脆弱性),駭客進行暴力破解(威脅),入侵系統竊取客戶資料(資訊資產),導致公司聲譽受損與資料外洩(衝擊)。
- 脆弱性:你的登入密碼是「123456」,非常容易猜到
- 威脅:有駭客在網路上大量掃描弱密碼帳號,進行暴力破解攻擊
- 資訊資產:你在系統裡儲存的員工個資與顧客聯絡資料
- 衝擊:駭客成功登入後,下載了整份客戶名單,造成公司資料外洩,信譽受損,甚至可能被罰錢
風險怎麼判斷「嚴不嚴重」?
風險的嚴重程度,通常看兩個面向:
- 可能性高不高?(這件壞事有多容易發生?)
- 衝擊大不大?(如果真的發生,損失會多大?)
這就像颱風一樣,有些路線是「可能會登陸」、有些是「一定會帶來強風豪雨」。
所以,什麼是風險管理?
風險管理的目標就是:
在有限的成本下,做出最有效的資安保護,讓風險控制在可以接受的範圍內。
但要記住:⚠️ 風險永遠無法完全歸零,只能降低!
風險管理流程,一步步來以下是資安中常見的風險管理步驟,用白話一點的說法幫你解釋:
- 全景建立(建立背景)
→ 先了解我們有哪些資產、面對哪些威脅,評估整體環境。 - 風險評鑑
→ 評估風險有多大?可能性多高?損失有多嚴重? - 風險處理
→ 要處理這些風險嗎?是降低、轉移、接受還是避免? - 風險接受
→ 有些風險太小,或處理成本太高,可以選擇「接受」它。 - 風險溝通與諮詢
→ 和相關人員(員工、主管、顧客)說明風險狀況與對策。 - 風險監督與審查
→ 定期檢查與修正,確保風險控管持續有效。
*參考CNS 27005風險管理流程
小小總結!
資安風險管理就像防颱準備,知道風會從哪裡來、有多大,才知道該不該補窗、搬盆栽或請假不上班。
管理風險,不是要完全消滅風險,而是「用聰明的方法,把損害降到最低」。
