管理資訊系統(MIS)

本文章為資訊管理學科中「風險管理」主題的最終篇，整合理論與實務觀點，剖析新興科技帶來的風險挑戰與因應策略。隨著數位轉型與科技創新加速，企業享受大數據、人工智慧（AI）、物聯網（IoT）等技術紅利的同時，也面臨前所未見的資安與治理風險。尤其在近年生成式AI、邊緣運算與區塊鏈等新興科技快速商業化的背景下，企業風險管理的複雜度與挑戰同步升高。以下三個風險類型為高普考熱門議題，考生應熟悉並能舉例說明：

大數據與 AI 普及化讓組織能蒐集大量個人行為與偏好資料，然而也伴隨個資外洩與法遵風險。歐盟《一般資料保護規則》（GDPR）對資料蒐集、處理、儲存與刪除皆設嚴格規範，企業若違規可能面臨高額罰鍰與商譽損失。企業在處理個人資料時，應遵循資料最小化原則與預設保護機制，並在蒐集前取得當事人明確同意，確保個資使用具合法性與透明度。若企業未能落實如「資料可攜權」、「被遺忘權」等規定，不僅違法，也會損害使用者信任。

目前台灣《個人資料保護法》在制度設計上與 GDPR 尚有差距，例如缺乏獨立監管機關及跨境資料傳輸明確規範，考生應熟悉兩者異同並能結合實務個案進行比較分析。舉例來說，醫療機構在導入健康數據 AI 分析時，若未進行去識別化或未經個人同意即將資料用於研究或商業用途，即可能違反資料保護原則。考生應能說明企業可採用的防護技術如 DLP（資料防洩漏系統）、資料分類與敏感度標記、員工資安訓練等，以具體應對風險。

新興技術快速發展，使得企業大量採用第三方或開源技術（如 AI 模型、IoT 設備）。這些元件雖降低建置成本、提升彈性，但其不穩定性與模糊的責任邊界，也為資安治理帶來挑戰。一旦發生資安事件，責任歸屬不清將造成法律與商譽風險。例如 AI 模型因訓練資料偏誤而產生歧視性結果，究竟應由開發商、資料提供者還是最終使用者承擔責任，往往爭議不斷。

因此，企業應建立 SBOM（Software Bill of Materials）制度，清楚記錄所採用的元件與來源，以對應供應鏈資安風險。IoT 設備則常因出廠預設密碼、無韌體更新機制或缺乏加密傳輸而成為駭客入侵破口。開發流程中導入 DevSecOps 架構，能將資安檢核前置化，於持續整合（CI）與部署（CD）過程中即時攔截風險，同時與供應商簽訂 SLA／SLO 協議，清楚定義資安事故發生時的應變與賠償責任，亦是不可或缺的措施。

考生在作答時，建議結合「資安責任共享模型（Shared Responsibility Model）」與實際情境，如電力公司導入智慧電表（IoT）或銀行使用 AI 信用評分系統，說明在技術故障或外洩事件發生時，各方應承擔的風險與責任。具體案例的掌握與分析是得分關鍵。

雲端環境因其高可用性、彈性與即時擴展性，成為企業 IT 策略主流，但也衍生出諸多資安風險。最常見的問題包括存取權限設定錯誤、帳號權限過大、缺乏多因子驗證，以及資料儲存地點不明造成法遵風險。例如某知名飯店業者因將客戶個資置於未加密的雲端空間且設定為公開，導致數百萬筆資料外洩，嚴重衝擊品牌聲譽。

對此，企業應採用「零信任架構（Zero Trust Architecture）」，強調不預設信任、持續驗證使用者身份與設備狀態，並實施最小權限原則，僅授予必要操作權限。同時應強化金鑰管理，確保加密資料的安全性不受雲端服務商掌控。為提升雲端可視性與行為監控，可導入 CASB（Cloud Access Security Broker）系統，即時掌握異常存取行為與資料流向，防堵資料外洩。

在法遵層面，考生應掌握不同地區對於雲端資料儲存的要求，例如中國強調「數據本地化」、歐盟施行 GDPR 對資料跨境傳輸有嚴格規範。企業若採多雲或混合雲架構，更需考慮地理與法律風險的綜合評估。高普考常以企業採雲轉型為案例情境，要求考生從風險評估、技術架構設計與管理制度面提出具體建議。

高普考資訊管理科目愈來愈重視實務趨勢與風險應對能力，新興科技風險的議題將持續成為命題焦點。考生應熟悉相關專有名詞、法律架構與控制方法，並能靈活運用於個案情境分析中，如企業導入生成式 AI 或串接外部開源模組時，如何從風險辨識、評估到處理提出具體解法。建議可從 CIA 三要素（Confidentiality、Integrity、Availability）、風險矩陣評估模型、資安治理架構（如 NIST CSF、ISO/IEC 27001）切入，提升答案邏輯性與理論深度。

本系列專欄共五篇，涵蓋風險管理理論、工具應用、資安趨勢、實務案例與新興議題，建議考生可作為整體複習架構與寫作訓練之用，提升應試深度與答題邏輯力。預祝各位順利上榜！