風險管理概念簡介

什麼是風險！？傳統觀念上風險是一種負面的名詞，意思是我有可能損失一些東西；更進一步，風險感覺起來有一種不確定性，未來不確定是否會發生的事件機率；另一種積極的角度，風險是一種機會，一種可以令企業獲取競爭優勢、增加股東權益的機會。因此，風險本身應該是一種中性名詞，你有可能因為風險而造成損失，但也可能因為控制得當而獲利。例如，當企業決定要不要使用資訊系統時，因為外在環境，如競爭者都已經使用資訊系統，所以不使用資訊系統有可能被淘汰；另一方面，有可能競爭者使用了資訊系統，因為導入不順利導致組織適應不良，造成更大的虧損。因此重點在於企業如何適當的管控風險，而不是一味的想要完全消除風險。

企業在面對外在環境的不斷變化，各種新的、不同的風險一一浮現，風險的管理是更加的困難。整個風險管理的主要過程是以達成組織的目標，創造股東的權益為主。主要的目的不是消除所有的風險，而是適當評估與管理風險，以創造企業本身的優勢。

風險的定義

風險的識別與測量，根據不同的專業領域有不同的說法或定義，有工程上的、保險精算上的、數學上的及財務上的等等。根據澳大利亞標準第4360號定義風險為影響達成目標的事件發生機會，它是透過結果與可能性來衡量。我們可以定義風險如下：風險是未來不確定性的事件，該事件有可能影響組織目標的達成，包括策略、作業、財務或其他一致性的目標。另外英國會計師協會也提到風險是生而俱來的，雖然這些風險的性質或範圍可能不同，但無論對小企業或跨國性大企業而言，風險都是存在的。公司有可能未追求獲利的機會而承擔較大的風險，因此在風險與報酬間取得平衡是極大化股東利潤的關鍵範例：希望利用引進新產品增加公司的營收，以危機的角度，對於該目標的達成有下列風險考量：

1. 可能找不到足夠的銷售員；

2. 對新進銷售人員的訓練有可能不足；

3. 或是我們的市場調查無法反應實際現況。

因此，當我們評估一個企業的風險時，我們應該適當考量下面這些問題：

1. 機會：藉由分析風險的過程，是否有任何方法可以增加企業的機會？

2. 不確定性：企業如何防止負面事件的發生？

3. 危機：當有危險事件發生時，企業的緊急應變方案為何？

當我們再回到上個案例，為了增加營收企業引進新的產品，並且雇用許多新的銷售員，針對該策略我們可以探討許多觀點：以不確定性的觀點：我們應該設計一套先進的銷售員雇用及訓練課程；以危機的觀點：我們應該接受該方案失敗的可能性，也就是有可能我們無法雇用足夠的銷售員，因此我們針對此項風險擬定應變計畫，透過不同方法來銷售新產品，如透過策略聯盟伙伴幫忙銷售。最後，以機會的觀點：也許因為我們透過策略聯盟伙伴的銷售，開發了更多企業未曾接觸的潛在的市場。

由上面的例子我們可以得知，風險應該是個中性的名詞，不只有負面的影響，同樣具有正面的價值，端視組織如何去因應它。因應的好公司有可能獲得重大突破，應付不好有可能組織因此而喪失競爭力，所以我們談的是如何去管理風險，而不是去消除風險；若將所有風險都消除了，意謂著利潤消失了。

資訊風險

資訊科技對企業的衝擊，不言而喻。伴隨著資訊科技的引進，相關的風險也就隨之而來。組織如何面對資訊風險就是現今最熱門的話題之一，資訊風險並不是因為資訊科技所引起的，不使用任何資訊科技也同樣存在資訊風險，重點在於公司越依賴資訊科技時，資訊風險也會隨之增加。例如，在純粹紙張作業的時代，業務上的資訊（如報價單）、研發成果等等相關資訊，其實都存在遺失、損毀、竄改或被竊取等風險。可是一旦公司使用資訊科技之後，傳真機、網路種種管道暢通無阻時，都可以讓貴單位的重要資產-資訊產生重大損失，甚至等公司發現時為時已完。

因此，資訊是公司的一項資產，這是大家都知道的一種概念，可是如何保護這項資產，卻甚少重視。如果公司現在進口一台重要機器設備，公司會小心的保護它。會把它鎖在安全的地方、會派警衛看守、會向保險公司索賠等等；可是您的資訊資產呢？您除了裝置防火牆、防毒軟體或使用帳號密碼管控外，您還為它做了什麼防護措施呢？再回想一下，您對這些資訊資產都已適當評估過了嗎？例如，這項資訊資產的量化價值或風險等級。若是高風險，這是保護措施是足夠的嗎？若是公開的資訊，那這些保護是不是多餘的。因此，資訊安全的重要觀念是使用適當的成本來保護我們資訊資產，而不是追求一百分的安全性。

資訊資產的等級

一般而言，組織應有專責單位負責資訊的安全，該單位協助組織內成員評估各項資訊風險等級。通常我們將資訊分成三種等級，一是公開資訊、二是提供客戶或供應商所使用的資訊、三是內部所使用的資訊；當然依照組織自行的規劃，如高風險性資訊、中風險性資訊及低風險性資訊也可。或是不只有三種等級，可依照組織需求再適當予以調整。

資訊風險特性

風險評估分析是針對資訊資產的安全性進行定義的過程，基本上基於下列三種資訊的特性：機密性（Confidentiality）、完整性（Integrity）、可用性（Availability），同時涵蓋針對資訊安全作法上如何確保所有資訊資產都被適當辨別、證明及維護的控制方法。風險分析的主要目的是辨認及分析資訊資產的相關風險，並決定適當的保護措施及控制方法，以減低風險之層級及其可能之影響。

* 機密性（Confidentiality）：例如薪資資料、研發單位的成果等等。

* 完整性（Integrity）：資訊是不是完整的？是不是有被竄改等等。

* 可用性（Availability）：當要使用資訊時，該系統是否可以適時提供等等。

資訊風險的評估

風險評估被認為是評估資訊系統安全之重要步驟，以引導出資訊安全之警覺性，進而提供適當機制來衡量風險之大小，並協助評估及選擇適當之安全措施。風險評估之過程不是一段時間的工作，而是隨著科技及組織變化之持續改善過程。方法如(圖一)。

《圖一　　風險評估方法論》

對於每個系統或邏輯資料的存取，建議資訊安全專責單位協助組織之資訊擁有者或對於資訊資產熟悉的人員進行下列分析：

何謂BS7799標準

BS7799是一套資訊安全管理系統的標準，該標準係由業界相關領導廠商共同開發而成，並於1995年正式成為英國的國家標準。目前包括澳大利亞、紐西蘭、荷蘭、挪威及瑞典都相繼採用BS7799成為各國的國家標準。其他國家，如瑞士、南非和加拿大也都正在研究該標準。BS7799也已經被送至國際標準組織（ISO）審核，預計成為ISO的標準。是否要取得BS7799的認證，是管理上的一個議題，而該認證的價值亦取決於客戶及交易伙伴對此認證的態度。組織應適當分析此認證之成本與效益，並在適當時點取得認證。

總結

適當的執行資訊風險評估不僅可排除各項可能之威脅，同時也確認未受保護之區域。資訊安全的相關成本可藉由風險評估之過程適當考量，並決定資訊安全建置之必要性，例如建置資訊安全的成本不應比所要保護的資產價值更多才對。

另外，資訊安全是全體組織成員責無旁貸的責任，任何一些疏忽都有可能造成組織的重大損失，試想如果因為您的報價單資料不小心被競爭者取得，那您報價單上的總額度就是您這點小疏忽所造成的損失，您說不可怕嗎？(作者任職於普華資安公司)