管理資訊系統(MIS)

風險管理近幾年在資訊管理的考題中出現頻率越趨頻繁，而風險管理本身也是一門非常艱深，且可深可廣的科目，要在短短十幾堂資管課程裡面涵蓋完實屬不易，所以我今天想用幾篇文章的篇幅簡單介紹一些風險管理在考試中常見的考題。

從架構上我們可以將風險管理的重點分成以下：

1. 風險管理架構與理論基礎
   1. 風險辨識 (Risk Identification)
   2. 風險分析 (Risk Analysis)
   3. 風險評估與排序 (Risk Prioritization)
   4. 風險處置 (Risk Treatment)
   5. 風險監控 (Risk Monitoring and Control)
2. 風險管理方法與工具應用
   近幾年高普考越來越強調資訊風險管理的工具與方法，像是：
   1. 定性與定量風險分析方法（如風險矩陣、模擬分析）。
   2. 常見標準框架應用，如ISO 31000、COBIT 或 NIST 標準等。
   3. 針對資安風險的管理，包括身份認證、存取控制、加密技術等措施。
3. 資訊安全風險管理趨勢
   隨著全球資通安全議題日益嚴重，考試趨勢逐漸朝向資訊安全的風險管理，考察範圍包括：
   1. 等級防護制度（如分級防護需求、合規性要求）。
   2. 資安事件管理（如如何應對 DDoS 攻擊、資料洩露等風險）。
   3. 資訊系統供應鏈管理風險，考量第三方外包服務可能帶來的潛在風險。
4. 實務應用與案例分析
   趨勢逐漸從單純理論知識轉向實務情境應用，尤其強調政府機關或企業組織如何在實務上落實風險管理。題目常會模擬實際場景，例如系統開發風險、資料遺失風險或雲端部署風險，要求考生提出合理的風險辨識與處理策略。
5. 新興科技風險管理議題
   近幾年隨著數位轉型、大數據、人工智慧（AI）、物聯網（IoT）等科技的應用，考試逐漸將新興科技所帶來的風險納入考量，例如：
   1. 資料隱私風險（GDPR 法規要求）。
   2. 漏洞風險與零信任架構。
   3. 雲端運算的資安風險。

我們今天針對「風險管理架構與理論基礎」的步驟做詳細的分解與說明：

風險辨識是風險管理的第一步，目的是找出可能影響組織目標的風險因素。這些風險可能來自內部或外部，也可能是已知或未知的事件。

• 腦力激盪法（Brainstorming）：利用團隊討論來廣泛蒐集可能的風險。
• 訪談法（Interviews）：訪談專案成員或利害關係人，蒐集專案或系統可能面臨的風險。
• 檢核清單法（Checklists）：使用過去案例或標準框架中的風險清單，逐項檢視是否存在相關風險。
• 流程分析法（Process Analysis）：透過系統分析業務流程，找出可能的瓶頸與風險點。
• SWOT 分析：針對系統或專案的優勢（Strengths）、劣勢（Weaknesses）、機會（Opportunities）和威脅（Threats）進行分析，以辨識風險。

風險分析是在辨識風險後，對各風險進行深入分析，了解其發生的可能性及影響程度，以提供後續決策依據。風險分析可分為定性與定量兩種方法：

• 風險矩陣法（Risk Matrix）：依風險的「發生機率」與「影響程度」將風險分成不同等級（例如：高風險、中風險、低風險）。
• 分級排序法：將風險依嚴重性進行分級排序，以找出最需要優先處理的風險。

• 預期貨幣價值法（EMV）：根據風險的發生機率與損失金額計算風險的金額影響，公式為：
  EMV = 發生機率 × 影響金額。
• 敏感度分析（Sensitivity Analysis）：針對風險因素變動對專案目標的影響程度進行分析，找出最敏感的風險因子。
• 模擬法（例如蒙地卡羅法）：透過大量數據模擬不同風險情境，量化風險結果。

風險評估與排序是根據風險分析的結果，對風險進行優先順序的排列，以確定哪些風險需要優先處理。

• 風險的發生機率：風險事件發生的可能性有多高？
• 風險的影響程度：風險一旦發生，對系統或組織目標造成的損失有多大？
• 風險應對的成本：解決或降低風險所需投入的時間、人力與資源成本。
• 風險的可接受程度：組織能否承受該風險帶來的後果？

• 風險矩陣法：將風險依「高、中、低」分類排序。
• 風險分數法：計算每個風險的風險值（發生機率 × 影響程度），風險值越高則處理優先順序越高。
• Pareto 法則（80/20 法則）：將 20% 造成最大影響的風險找出來，並優先處理。

風險處置是根據風險的優先順序，採取適當的處理策略來降低風險的可能性或影響程度。

• 風險避免（Avoidance）：避免進行會引發高風險的活動或決策。例如：停止使用容易造成資安漏洞的軟體或服務。
• 風險減輕（Mitigation）：採取措施降低風險發生的機率或影響程度。例如：加強系統加密、定期更新防火牆等安全措施。
• 風險轉移（Transfer）：將風險轉嫁給第三方，例如購買保險或外包服務。
• 風險承擔（Acceptance）：若風險處置成本高於風險損失，則選擇承擔風險。

風險監控是風險管理的最後一個階段，目的是持續追蹤風險狀態，確保風險處置措施有效，並隨時調整應對策略。

• 定期檢討風險清單：確保新風險能被及時辨識並納入管理範疇。
• 監控風險指標（KRI，Key Risk Indicators）：設定關鍵指標來預測風險的變化趨勢，例如系統異常次數、資安事件發生率等。
• 更新風險應對計畫：當風險狀態改變時，調整風險應對策略與計畫。
• 定期報告與溝通：將風險管理成果與狀態向管理階層或利害關係人報告。

風險管理架構是一個循環的過程，從辨識風險、分析風險到風險處置及監控，確保系統或專案風險能夠被有效管控，降低其對組織目標的影響。在考試中，考生需掌握每個階段的定義、方法及實務應用，才能全面地解答相關考題。