清流雙月刊 NO.29

20 清流雙月刊 護問題，然資安防護沒有百分之百，不同 資通環境，都存在不同的弱點與威脅，只 有透過不斷精進，確實做好風險管理，才 能將資安風險降到最低，因此，無論是公、 私部門或個人，都應確實認識強化資安風 險管理，管理步驟有四： 首先，應先識別風險，不論是公務機 關、私人機構或個人，均應對其本身及所 屬部門之資安風險全貌確實掌握，雖然各 部門業務、作業差異甚鉅，可能潛存的風 險因子不盡相同，然仍應審酌不同業務屬 性，做出可識別的異質性資安風險因子， 做好風險識別，是管理的基礎，也是最重 要的一個步驟。 其次，進行風險評估，針對資訊資產 可能存在的每個資安風險，逐一分析，分 析要項包含評估曝險係數、發生可能性、 發生時之影響程度、損失預期範圍及處理 之優先順序等，確實風險分析與評估，以 為後續有效之管理與因應。 第三，深入檢視風險成因，瞭解可能 之外在威脅與本身潛存之弱點，透過確實 認識可能造成資訊設備、系統危害或威脅 之外在影響因素，如系統內容遭駭或遭植 入惡意程式，致機密資料遭竊取、竄改， 或造成原有之服務不得不中斷等；以及掌 握資訊系統或資訊設備本身可能存在的弱 點，例如硬體設計存有缺陷、無防火牆設 受疫情影響，遠距視訊軟體開始廣泛使用， 其中 Zoom 視訊軟體資安疑慮遭連環踢爆。 （ Photo Credit: Project Kei, https://upload.wikimedia. org/wikipedia/commons/2/23/Video_Conference_ Using_Laptop.jpg ） 後疫情時代之闇黑勢力入侵