在完成風險評鑑後,接下來的重點就是:
根據評估結果,選擇適合的風險處理方式。
處理風險就像面對一場可能的危機:要不要修?要不要避開?能不能分擔?還是先放著觀察?
以下介紹四種常見的風險處理方法,搭配簡單例子說明:
① 風險修改(降低風險)
這是最常見的做法,就是找出方法來降低風險,讓它變得不那麼危險。
- 如果你是用「高階風險評鑑」,可以依照風險等級(低、中、高)選擇政府制定好的防護標準(資通安全責任等級辦法)來處理。
- 如果你是用「詳細風險評鑑」,就要針對每一項風險,一一挑選對應的控制措施,參考像是「安全控制措施詳細說明」等資源。
舉例: 如果帳號密碼風險太高,可以改用兩步驟驗證來降低駭客入侵機率。
② 風險保留(接受風險)
有些風險雖然存在,但它很小,或是其他三種選擇也無法有效處理風險時,那就可以選擇接受它,什麼都不做。
不過要記得:
- 被保留的風險稱為殘留風險(剩餘風險)
- 必須定期檢查這些風險,確保它們真的還在可接受範圍內
- 建議搭配「業務持續計畫」,萬一發生問題時也能迅速應對
舉例: 某系統偶爾會斷線 1 分鐘,但不會影響整體服務,就可以選擇暫時保留這個小風險。
③ 風險避免
如果某項活動的風險太高又不好控制,乾脆不要做或退出,這就是風險避免。
舉例: 機關擔心社交工程攻擊,因此加強員工訓練與演練,降低受騙風險;或者乾脆取消一些高風險操作流程。
④ 風險分擔(轉移風險)
有些風險可以「轉嫁」出去,交由第三方幫你負責,這就叫做風險分擔。
- 常見的做法像是投保資安保險、與外包廠商簽約讓對方承擔部分風險。
舉例: 與雲端服務商簽約,規定一旦資料外洩由對方負責處理並賠償。
小小總結!
