CNS 27005 2013 資訊技術－安全技術－資訊安全風險管理

I CS 35.
040 －1－
中華民國國家標準
資訊技術－安全技術－總號 2 7005
CNS 資訊安全風險管理類號 X6072
Information technology − Security techniques − Information security risk

management
目錄
節次頁次
本標準由標準檢驗局授權中華電信資訊技術分公司銷售下載帳號 73189890 下載時間 2024/04/02 14:36:34 下載位置 106.64.121.126
前言 .................................................................................................................... 3
簡介 .................................................................................................................... 3
1 . 適用範圍 .......................................................................................................... 4
2 . 引用標準 .......................................................................................................... 4
3 . 用語及定義 ...................................................................................................... 4
4 . 本標準之結構 ................................................................................................... 7
5 . 背景 ................................................................................................................ 8
6 . 資訊安全風險管理過程概觀 .............................................................................. 8
7 . 全景建立 ......................................................................................................... 12
7 . 1 一般考量 ....................................................................................................... 12
7 . 2 基本準則 ....................................................................................................... 12
7 . 3 範圍及邊界 ................................................................................................... 13
7 . 4 資訊安全風險管理之組織 ............................................................................... 14
8 . 資訊安全風險評鑑 ........................................................................................... 14
8 . 1 資訊安全風險評鑑之一般描述 ........................................................................ 14
8 . 2 風險識別 ....................................................................................................... 15
8 . 3 風險分析 ....................................................................................................... 18
8 . 4 風險評估 ....................................................................................................... 21
9 . 資訊安全風險處理 ........................................................................................... 21
9 . 1 風險處理之一般描述 ...................................................................................... 21
9 . 2 風險修改 ....................................................................................................... 23
9 . 3 風險保留 ....................................................................................................... 24
9 . 4 風險避免 ....................................................................................................... 24
9 . 5 風險分擔 ....................................................................................................... 24
1 0 . 資訊安全風險接受 ......................................................................................... 25
11 . 資訊安全風險溝通及諮詢 ............................................................................... 25
1 2 . 資訊安全風險監視及審查 ............................................................................... 26
確認日期: 108 年 11 月 7 日 (共 58 頁)
公布日期修訂公布日期
99 年 2 月 8 日經濟部標準檢驗局印行 102 年 10 月 31 日
印行年月 102 年 10 月本標準非經本局同意不得翻印
CNS 27005, X 6072 －2－
1 2 . 1 風險因素之監視及審查 ................................................................................26
1 2 . 2 風險管理監視、審查及改善 ..........................................................................27
附錄 A( 參考 ) 定義資訊安全風險管理過程之範圍及邊界 .........................................28
附錄 B ( 參考 ) 資產之識別與估價及衝擊評鑑 ..........................................................32
附錄 C( 參考 ) 典型威脅之範例 ...............................................................................40
附錄 D( 參考 ) 脆弱性及脆弱性評鑑之方法 .............................................................43
附錄 E( 參考 ) 資訊安全風險評鑑作法 ....................................................................47
附錄 F ( 參考 ) 風險修改之限制條件 ........................................................................53
名詞對照 ............................................................................................................55
參考資料 ............................................................................................................58
－3－ CNS 27005, X 6072
前言
本標準係依據 2 0 1 1 年發行之第 2 版 I SO/I E C 2 7 0 0 5，不變更技術內容，制定成為中華
民國國家標準者。
本標準係依標準法之規定，經國家標準審查委員會審定，由主管機關公布之中華民國
國家標準。
依標準法第四條之規定，國家標準採自願性方式實施。但經各該目的事業主管機關引
用全部或部分內容為法規者，從其規定。
本標準並未建議所有安全事項，使用本標準前應適當建立相關維護安全與健康作業，
並且遵守相關法規之規定。
本標準之部分內容，可能涉及專利權、商標權與著作權，主管機關及標準專責機關不
負責任何或所有此類專利權、商標權與著作權之鑑別。
簡介
本標準提供組織內之資訊安全風險管理的指導綱要，支援依據 CNS 2 7 0 0 1 之資訊安全
管理系統 ( info r matio n secur ity management system, I SMS)的特定要求。然而，本標準並
不提供任何資訊安全風險管理之特定方法。組織可自行依據如 ISMS、風險管理之全
景或產業別等範圍，定義其風險管理作法。有數種現存方法論，能在本標準描述之框
架下使用，以實作 ISMS 之要求。
本標準與組織內從事資訊安全風險管理之管理者及工作人員相關，適當情況下，尚包
含支援此類活動之外部各方。
CNS 27005, X 6072 －4－
1. 適用範圍
本標準提供資訊安全風險管理之指導綱要。
本標準支援 CNS 2 7 0 0 1 所規定之一般觀念，並設計以協助基於風險管理作法之資訊
安全的滿意實作。
描述於 CNS 2 7 0 0 1 及 CNS 2 7 0 0 2 之觀念、模型、過程及用語等知識，對本標準的完
整瞭解是重要的。
本標準適用於欲管理可能危及組織資訊安全之風險的所有型式組織 ( 例：商業企業、
政府機構、非營利組織 )。
2. 引用標準
下列標準因本標準所引用，成為本標準之一部分。下列引用標準適用最新版 ( 包括補
充增修 )。
CNS 2 7 0 0 0 資訊技術－安全技術－資訊安全管理系統－概觀及詞彙
CNS 2 7 0 0 1 資訊技術－安全技術－資訊安全管理系統－要求事項
3. 用語及定義
CNS 2 7 0 0 0 所規定及下列用語及定義適用於本標準。
3 . 1 後果 ( co nsequence)
影響目標的事件 (3.3)之結果。
[ CNS 1 4 8 8 9 ]
備考 1 .事件能導致一連串後果。
備考 2 .後果可能為確定或不確定，於資訊安全之全景中通常是負面的。
備考 3 .後果可以定性或定量表達。
備考 4 .初始後果能經由連鎖效應而逐步升級。
3 . 2 控制措施 ( c o nt ro l )
修改風險 (3.9)之措施。
[ CNS 1 4 8 8 9 ]
備考 1. 資訊安全的控制措施包括所有過程、政策、程序、指導綱要、實務或組織
的結構，本質上可以是行政管理、技術、管理或法令之修改資訊安全風險。
備考 2.控制措施並非總是發揮其意欲或假設的修改效應。
備考 3.控制措施也用作保全或對策的同義字。
3 . 3 事件 ( e v e nt )
一組特定情況之發生或變動。
[ CNS 1 4 8 8 9 ]
備考 1 .事件可一或多次發生，且能具有數種原因。
備考 2 .事件可含有未發生之事物。
備考 3 .事件有時可稱為〝事故〞或〝意外〞。
3 . 4 外部全景 (ext ernal context)
組織尋求達成其目標之外部環境。
[ CNS 1 4 8 8 9 ]
備考：外部全景可包括：
－5－ CNS 27005, X 6072
－無論國際、國家、區域抑或當地，其文化、社會、政治、法令、法規、
財政、技術、經濟、天然及競爭環境。
－對組織目標具有影響之主要驅動者與趨勢。
－與外部利害相關者之關係，以及外部利害相關者之感受及價值。
3 . 5 內部全景 (internal context)
組織尋求達成其目標之內部環境。
[ CNS 1 4 8 8 9 ]
備考：內部全景可包括：
－治理、組織結構、角色及可歸責性。
－政策、目標，以及達成該等政策及目標之已就緒策略。
－由資源及知識 (例：資金、時間、人員、過程、系統及技術 )觀點所理解
之能力。
－資訊系統、資訊流及決策過程 (正式及非正式兩者 )。
－與內部利害相關者之關係，以及內部利害相關者之感知及價值。
－組織文化。
－組織所採用之標準、指導綱要及模型。
－契約關係之形式及範圍。
3 . 6 風險等級 (level of risk)
風險 (3.9)之大小，以後果 (3.1)及其可能性 (3.7)之組合表示之。
[ CNS 1 4 8 8 9 ]
3 . 7 可能性 (likeliho o d)
事物發生之機會。
[ CNS 1 4 8 8 9 ]
備考：在風險管理用語中，〝可能性〞一詞用以稱事物發生之機會，不論其是否
已定義、經量測或以客觀或主觀、定性或定量地決定，並使用一般用語或
數學方式 (諸如機率或給定期間之頻率 )描述。
3 . 8 殘餘風險 (residual risk)
風險處理 ( 3 . 1 7 ) 後剩餘之風險 ( 3 . 9 )。
[ CNS 1 4 8 8 9 ]
備考 1. 殘餘風險可包含未識別之風險。
備考 2 . 殘餘風險亦被稱為〝留存風險 (retained risk) 〞。
3 . 9 風險 (risk)
不確定性對目標之效應。
[ CNS 1 4 8 8 9 ]
備考 1 . 效應為對預期之偏離－正面及 /或負面。
備考 2 . 目標可具有不同層面 ( 諸如財務、保健與生命財產安全、資訊安全及環境目
標 )，並可適用於不同層級 (諸如策略、整體組織、專案、產品及過程 )。
備考 3 . 風險通常透過對潛在事件 (3.3)及後果 (3.1)，或此等之組合的參照予以特性化。
備考 4. 資訊安全風險通常以資訊安全事件之後果及發生之相關可能性 (3.7)的組
CNS 27005, X 6072 －6－
合表示之。
備考 5. 不確定性乃是對事件的理解或知識，其後果或可能性等有關資訊缺乏，甚
至於不完整的狀態。
備考 6. 資訊安全風險與潛在之威脅有關，其將利用資訊資產或一群資訊資產之脆
弱性，進而導致對組織的損害。
3 . 1 0 風險分析 ( r isk a na ly sis)
理解風險之本質並決定風險等級 (3.6)的過程。
[ CNS 1 4 8 8 9 ]
備考 1 .風險分析提供風險評估及有關風險處理決策之基礎。
備考 2 .風險分析包括風險估計。
3 . 11 風險評鑑 ( risk a ssessment )
風險識別 ( 3 . 1 5 ) 、風險分析 ( 3 . 1 0 )及風險評估 ( 3 . 1 4 ) 之整體過程。
[ CNS 1 4 8 8 9 ]
3 . 1 2 風險溝通及諮詢 ( r i sk c o mmunic a t i o n a nd c o nsult a t i o n)
組織施行持續及迭代之過程，用以提供、分享或取得資訊，並與利害相關者 ( 3 . 1 8 )
就風險 (3.9)管理進行對話。
[ CNS 1 4 8 8 9 ]
備考 1 .資訊可能與風險之存在、本質、形式、可能性、顯著性、評估、可接受性
及處理有關。
備考 2 .諮詢為組織與其利害相關者間，針對議題作成決策或決定方向之前，情資
溝通的雙向過程。諮詢為：
透過影響力而非權力，影響決策之過程。
供決策之輸入，而非聯合作決策。
3 . 1 3 風險準則 (risk criteria)
用以評估風險 (3.9)顯著性之對照條文。
[ CNS 1 4 8 8 9 ]
備考 1 .風險準則係以組織目標及外部與內部全景為基礎。
備考 2 .風險準則可由標準、法律、政策及其他要求衍生。
3 . 1 4 風險評估 (risk evalua tion)
將風險分析 (3.10)結果與風險準則 (3.13)相比較，以決定風險及 /或其大小是否為
可接受或可容許之過程。
[ CNS 1 4 8 8 9 ]
備考：風險評估協助有關風險處理之決策。
3 . 1 5 風險識別 (risk identification)
發現、辨識及描述風險之過程。
[ CNS 1 4 8 8 9 ]
備考 1 .風險識別涉及風險源、事件、其原因與其可能後果之識別。
備考 2 .風險識別可涉及歷史資料、理論分析、知情者及專家之意見，以及利害相
關者的需求。
－7－ CNS 27005, X 6072
3 . 1 6 風險管理 (risk ma nagement)
就風險協調各項活動以指導與控管組織。
[ CNS 1 4 8 8 9 ]
備考：本標準使用〝過程〞描述整體之風險管理。風險管理過程內的元件稱為〝活
動〞。
3 . 1 7 風險處理 (risk treatment)
修正風險之過程。
[ CNS 1 4 8 8 9 ]
備考 1 .風險處理可包括：
－決定不起動或持續會引起風險之活動以規避風險。
－承擔或增加風險以尋求機會。
－移除風險源。
－改變可能性。
－改變後果。
－與另一或多個團體分擔風險 (包含契約與風險財務處理 )。
－藉由知情選擇留存風險。
備考 2 .應付負面後果之風險處理有時稱為〝風險減緩 (risk mitigatio n) 〞、〝風險
消弭 (risk eliminatio n) 〞、〝風險預防 (risk prevention) 〞及〝風險降低 (risk
red uctio n) 〞。
備考 3 .風險處理可能創造新風險或修改現有風險。
3 . 1 8 利害相關者 (stakeho lder)
能影響、受影響或感知其本身會受決策或活動影響之個人或組織。
[ CNS 1 4 8 8 9 ]
備考：決策者可為利害相關者。
4. 本標準之結構
本標準包含資訊安全風險管理過程及其活動之描述。
第 5 節提供背景資訊。
第 6 節為資訊安全風險管理過程之概觀。
第 6 節中所提及的所有資訊安全風險管理活動依序描述於下列節次中。
－第 7 節全景建立
－第 8 節風險評鑑
－第 9 節風險處理
－第 10 節風險接受
－第 11 節風險溝通
－第 12 節風險監視及審查
資訊安全風險管理活動之額外資訊列於各附錄內。附錄 A( 定義資訊安全風險管理過
程之範圍及邊界 ) 支援全景建立。附錄 B 討論資產之識別及估價與衝擊評鑑，附錄 C
給予典型威脅之範例，以及附錄 D 討論脆弱性與脆弱性評鑑之方法。資訊安全風險
評鑑作法之範例列於附錄 E。
CNS 27005, X 6072 －8－
風險修改之限制條件列於附錄 F。
第 7 節至第 12 節之所有風險管理活動之結構如下。
輸入：識別履行活動所需之所有資訊。
行動：描述活動。
實作指引：提供履行活動之指引。某些指引可能不適用於所有情況，因此其他履行
活動之方法可能更為合適。
輸出：識別履行活動後所衍生之所有資訊。
5. 背景
資訊安全風險管理須有系統化作法，以識別組織關於資訊安全要求之需要，並建立
有效之資訊安全管理系統 (ISMS) 。此作法宜適合組織之環境，特別是宜與整體企業
風險管理一致。安全工夫 (effort) 宜以有效與及時之方式於所需之時間及地點闡明風
險。資訊安全風險管理宜為所有資訊安全管理活動整體的一部分，且宜適用於 ISMS
之實作及其後續運作上。
資訊安全風險管理宜為一持續之過程。該過程使用風險處理計畫以實作建議與決
策，宜建立內部與外部全景、評估風險及處理風險。風險管理於決定宜在何時做何
事之前，要先分析會發生何事及可能之後果，以降低風險至可接受等級。
資訊安全風險管理宜對下列各項有所助益。
－識別風險。
－依其對營運造成之後果與其發生之可能性，以評鑑風險。
－溝通並瞭解此風險之可能性與後果。
－建立風險處理之優先序。
－降低風險發生措施之優先序。
－在做風險管理決策時使利害相關者參與，並將風險管理狀態告知。
－風險處理監視之有效性。
－定期監視及審查風險與風險管理過程。
－為改善風險管理作法所擷取之資訊。
－管理者及員工須受有關風險及減緩措施之教育訓練。
資訊安全風險管理過程能適用於整個組織、組織任一個別部分 ( 例：部門、實體位置、
服務 )、任一資訊系統、現有或已規劃或特定控制之層面 (例：營運持續規畫 )。
6 .資訊安全風險管理過程概觀
風險管理過程的高階觀點規定於 I SO 3 1 0 0 0 並顯示於圖 1 。
－9－ CNS 27005, X 6072
全景建立
風險評鑑
風險識別風
風險
險監
溝視
通及
及風險分析審
諮查
詢
風險評估
風險處理
圖 1 資訊安全風險管理過程
圖 2 顯示本標準如何適用於風險管理過程。
資訊安全風險管理過程包含建立全景 (第 7 節 )、風險評鑑 (第 8 節 )、風險處理 (第 9
節 ) 、風險接受 ( 第 1 0 節 ) 、風險溝通及諮詢 ( 第 11 節 ) 、風險監視及審查 ( 第 1 2 節 ) 。
CNS 27005, X 6072 －10－
全景建立
風險評鑑
風險識別
風風
險風險分析險
溝監
通視
及及
諮風險評估審
詢查
風險決策點 1 否
評鑑是否合意
是
風險處理
風險決策點 2 否
處理是否合意
是
風險接受
初次迭代或後續迭代之結束
圖 2 資訊安全風險管理過程之圖示
如圖 2 所說明，資訊安全風險管理過程之風險評鑑及 /或風險處理活動能為迭代式。
以迭代作法施行風險評鑑能在每一迭代中增加評鑑之深度與詳細度。迭代作法提供
在最小化花費於識別控制項之時間與工夫間之良好平衡時，仍能確保高風險被適當
評鑑。
首先建立全景。然後施行風險評鑑。若此提供充分資訊以有效地決定修正風險至可
接受等級所需之措施，則評鑑工作完成，隨後並展開風險處理。若資訊不充分，則
施行具修訂全景 (例：風險評估準則、風險接受準則或衝擊準則 )之風險評鑑的另一
迭代，此迭代可能僅及於整體範圍之局部 (參照圖 2，風險決策點 1)。
風險處理之有效性依風險評鑑結果而定。
注意風險處理涉及下列之循環過程。
評鑑風險處理。
－11－ CNS 27005, X 6072
決定是否可接受殘餘風險等級。
若風險等級不可接受，則產生新的風險處理。
評鑑該風險處理之有效性。
風險處理可能並不能立即導致殘餘風險降至可接受等級。於此種情況下，若需要，
可能需要具變更全景參數 (例：風險評鑑、風險接受或衝擊準則 )之另一次風險評鑑
迭代，後隨更進一步之風險處理 (參照圖 2，風險決策點 2)。
風險接受活動必須確保殘餘風險被組織管理者明確地接受。此於控制措施之實作
(例：因成本 )被省略或延後之情形下，特別重要。
於整個資訊安全風險管理過程期間，風險及其處理被溝通至適當之管理者及作業人
員是重要的。即使是在風險處理之前，已識別之風險資訊對管理事故會是非常有價
值，且可能有助於降低潛在損害。管理者及員工對於風險之認知、合適於減輕風險
之控制措施的本質及組織之關切領域，有助於以最有效方式處理事故及未預期事
件。資訊安全風險管理過程之每一活動與來自二個風險決策點之每一活動的詳細結
果宜予以文件化。
CNS 2 7 0 0 1 規定 ISMS 範圍、邊界及全景內所實作之控制措施需植基於風險。資訊
安全風險管理過程之應用能滿足此要求。許多作法均可在組織內成功地實作過程。
組織對過程之每一特定應用宜使用最適合其環境的作法。
於 ISMS 中，建立全景、風險評鑑、發展風險處理計畫及風險接受等，係〝規劃〞
階段之全部。於 ISMS 之〝執行〞階段，降低風險至可接受等級所需之行動及控制
措施依據風險處理計畫實作。於 ISMS 之〝檢查〞階段，管理者將按照事故及環境
之變化決定風險評鑑及風險處理之修改需要。於〝行動〞階段，包括額外資訊安全
風險管理過程之應用在內，任何需要之行動均會被履行。
下表彙總與 ISMS 過程 4 個階段有關之資訊安全風險管理活動。
表 1 ISMS 與資訊安全風險管理過程之校準
ISMS 過程資訊安全風險管理過程
建立全景
風險評鑑
規劃
發展風險處理計畫
風險接受
執行風險處理計畫之實作
檢查持續監視及審查風險
行動維持及改善資訊安全風險管理過程
CNS 27005, X 6072 －12－
7. 全景建立
7.1 一般考量
輸入：所有與資訊安全風險管理全景建立有關之組織相關資訊。
行動：宜建立資訊安全風險管理之內部與外部全景，此包含設定資訊安全風險管
理必要之基本準則 (7.2)、定義範圍及邊界 (7.3)，以及建立運作資訊安全風
險管理之適切組織 (7.4)。
實作指引
決定資訊安全風險管理之目的係必要的，因其特別會影響整體過程及全景建立。
此目的如下。
－支援 ISMS。
－遵循法令與正當調查程序 (d ue d iligence)之證據。
－營運持續計畫之準備。
－事故回應計畫之準備。
－產品、服務或機制之資訊安全要求的描述。
支援 ISMS 所需之全景建立元件的實作指引將在下列 7.2、 7.3 及 7.4 中進一步討論。
備考： CNS 2 7 0 0 1 並不使用〝全景〞一詞。然而，整個第 7 節均與規定於 CNS 2 7 0 0 1
中之〝定義 ISMS 之範圍及邊界〞( 4 . 2 . 1 ( a ) )、
〝定義 I S M S 之政策〞( 4 . 2 . 1 ( b ) )
與〝定義風險評鑑作法〞 (4.2.1(c))之要求有關。
輸出：資訊安全風險管理過程之基本準則的規格、範圍及邊界，以及組織。
7.2 基本準則
7.2.1 風險管理作法
依據風險管理之範圍及目標，可採用不同的作法。於每一迭代中作法亦可能不同。
宜選擇或發展適切之風險管理作法而強調基本準則，諸如：風險評估準則、衝
擊準則、風險接受準則。
此外，組織宜評估是否有必要之資源可用以如下。
－履行風險評鑑及建立風險處理計畫。
－定義及實作政策及程序，包括所選擇控制措施之實作。
－監視控制措施。
－監視資訊安全風險管理過程。
備考：關於 ISMS 實作及運作之資源提供參照 CNS 2 7 0 0 1 ( 5 . 2 . 1 ) 。
7.2.2 風險評估準則
宜發展風險評估準則以評估組織之資訊安全風險，考量下列項目。
－營運資訊過程之策略價值。
－所涉及資訊資產之關鍵性。
－法令及法規要求，以及契約義務。
－可用性、機密性及完整性之運作及營運重要性。
－利害相關者之期望與感受，以及對商譽與聲譽之負面後果。
此外，風險評估準則得用以規定風險處理之優先序。
－13－ CNS 27005, X 6072
7.2.3 衝擊準則
宜發展及規定衝擊準則，就資訊安全事件導致組織的損害程度或成本而論，可
考量下列項目。
－受衝擊的資訊資產之分類等級。
－資訊安全之危害 (例：機密性、完整性及可用性之損失 )。
－運作之受損 (內部或第三方 )。
－營運和財務價值之損失。
－計畫之中斷及截止日期。
－聲譽之損害
－法令、法規或契約要求之違反。
備考：關於識別對機密性、完整性及可用性之損失的衝擊準則請參照 CNS
27001(4.2.1(d)(4))。
7.2.4 風險接受準則
宜發展及規定風險接受準則。風險接受準則通常依組織政策、目的、目標及利
害相關者之利益而定。
組織宜定義其本身對風險接受等級之程度。於發展時宜考量下列項目。
－風險接受準則可包括多重臨限，具有期望之風險標的等級，但亦對資深管理
者在已定義環境下接受高於此等級之風險有所準備。
－風險接受準則可表示為所估計利潤 (或其他營運利益 )對所估計風險之比率。
－不同風險接受準則可適用於不同類別風險，例：若為契約所規定之要求，如
不接受可能導致不遵循法規或法律之風險時，則可允許接受高風險。
－風險接受準則可包括未來額外處理之要求，例：若已核准並承諾在已定義期
間內採取行動以減低風險至可接受等級，則可接受該風險。
風險接受準則可依據預期風險存在時間長短而不同，例：風險可能與暫時或短
期的活動有關。宜考量下列項目，設定風險接受準則。
－營運準則。
－法令及法規層面。
－運作。
－技術。
－財務。
－社會及人道主義因素。
備考：風險接受準則相對應於〝接受風險及識別風險可接受等級之準則〞規定
於 CNS 2 7 0 0 1 ( 4 . 2 . 1 ( c ) ( 2 ) ) 。
更多資訊如附錄 A 所述。
7.3 範圍及邊界
組織宜定義資訊安全風險管理之範圍及邊界。
需定義資訊安全風險管理過程之範圍，以確保風險評鑑已考量所有相關資產。此
外，需識別 ( 請參照 CNS 2 7 0 0 1 ( 4 . 2 . 1 ( a ) ) ) 邊界，以闡述透過此等邊界可能產生之該
CNS 27005, X 6072 －14－
等風險。
宜收集關於組織之資訊，以決定其運作之環境及其對資訊安全風險管理過程之相
關性。
當定義範圍及邊界時，組織宜考量下列項目。
－組織之策略性營運目標、策略及政策。
－營運過程。
－組織之功能及結構。
－適用於組織之法令、法規及契約要求。
－組織之資訊安全政策。
－組織之整體風險管理作法。
－資訊資產。
－組織之位置及其地理特性。
－影響組織之限制條件。
－利害相關者之期望。
－社會文化環境。
－介面 (亦即與環境間之資訊交換 )。
此外，組織宜提供所有排除於範圍外事項之理由。
風險管理範圍之範例可能是組織內 I T 應用系統、I T 基礎建設、營運過程或組織中
已定義之部分。
備考：資訊安全風險管理之範圍及邊界與 CNS 2 7 0 0 1 之 4 . 2 . 1 ( a ) 所要求之 ISMS 的
範圍及邊界相關。
進一步資訊如附錄 A 所述。
7.4 資訊安全風險管理之組織
宜設立及維護資訊安全風險管理過程之組織及責任。下列為該組織之主要角色及
責任。
－發展適合於組織之資訊安全風險管理過程。
－識別及分析利害相關者。
－定義組織內部與外部所有各方之角色及職責。
－建立組織與利害相關者間所要求之關係，與組織高階風險管理功能 (例：運作
風險管理 )之介面，以及與其他相關專案或活動之介面。
－定義決策提報路徑。
－將保留的紀錄之規格。
此組織宜經組織內適切之管理者核准。
備考： CNS 2 7 0 0 1 要求建立、實作、運作、監視、審查、維護及改善 I SM S( 5 . 2 . 1 ( a ) )
所需資源之決定與提供。風險管理運作之組織可視為 CNS 2 7 0 0 1 所要求資
源之一。
8. 資訊安全風險評鑑
8.1 資訊安全風險評鑑之一般描述
－15－ CNS 27005, X 6072
備考：風險評鑑活動於 CNS 2 7 0 0 1 中稱為過程。
輸入：建立中之資訊安全風險管理過程的組織、基本準則，以及範圍與邊界。
行動：宜識別風險、定量風險或定性的描述風險，並依風險評估準則及與組織相
關之目標訂優先序。
實作指引
風險為由發生非所欲事件之後果及該事件發生之可能性的組合。風險評鑑定量風
險或定性的描述風險，並使管理者可依其所感受之嚴重性或其他已建立之準則訂
優先序。
風險評鑑包括下列活動。
－風險識別 (8.2)。
－風險分析 (8.3)。
－風險評估 (8.4)。
風險評鑑決定資訊資產之價值、識別適用之存在 (或可能存在 )的威脅與脆弱性、
識別既存之控制措施以及其對已識別風險之效應、決定潛在後果，最後依全景建
立中所設定之風險評估準則訂定衍生風險之優先序並排序之。
風險評鑑通常於兩個 (或更多 )迭代中施行。首先實施高階評鑑以識別保證作進一
步評鑑之潛在高風險。下一迭代能涉及對初始迭代所揭露之潛在高風險作更深度
考量。若此迭代未能提供充分資訊以評鑑該風險，則要施行更詳細分析，可能對
整個範圍的某部分，也可能使用不同的方法。
完全由組織依據目標及風險評鑑之標的，以選擇其自身之風險評鑑作法。
資訊安全風險評鑑作法之討論如附錄 E 所述。
輸出：依風險評估準則評鑑出風險之優先序清單。
8.2 風險識別
8.2.1 風險識別簡介
風險識別之目的係決定何者可能發生以導致潛在之損失，並獲得對如何、何處
及為何該損失可能發生的洞察。 8.2 後續節次中所描述之步驟宜收集風險分析活
動之輸入資料。
風險識別宜包括不論其來源是否在組織控管下之風險，即使該風險來源或起因
可能不明顯。
備考：後續節次中描述之活動可依適用之方法以不同次序施行。
8.2.2 資產識別
輸入：風險評鑑施行之範圍及邊界，以及由擁有者、位置、功能等所組成之清單。
行動：宜識別所建立範圍內之資產 ( 與 CNS 2 7 0 0 1 之 4 . 2 . 1 ( d ) ( 1 ) 相關 ) 。
實作指引
資產係指對組織有價值之任何事物，故需保護。對資產識別，宜切記資訊系統
不僅包含硬體及軟體。
宜以適當等級的細節程度執行資產識別，以提供風險評鑑之充分資訊。資產識
別使用的細節程度將影響在風險評鑑中所收集的資訊整體數量。等級能於風險
CNS 27005, X 6072 －16－
評鑑的下一迭代中精細化。
宜識別每一項資產之擁有者，以提供該資產之責任及可歸責性。資產擁有者可
能不具資產之財產權，但對資產之生產、開發、維護、使用及安全有適當的責
任。資產之擁有者通常是最適合決定該資產對組織之價值者 (資產評估參照
8.3.2)。
審查之邊界是資訊安全風險管理過程所定義要管理的組織資產之周界。
更多與資訊安全相關之資產識別及估價的資訊如附錄 B 所述。
輸出：受風險管理之資產清單，以及與資產及其相關物有關之營運過程清單。
8.2.3 威脅識別
輸入：由事故審查、資產擁有者、使用者及其他來源，包括外部威脅目錄所取
得之威脅的資訊。
行動：宜識別威脅及其來源 ( 與 CNS 2 7 0 0 1 之 4 . 2 . 1 ( d ) ( 2 ) 相關 ) 。
實作指引
威脅具有危害諸如資訊、過程、系統等資產之潛在性，故亦可能危害組織。威
脅可能來自天然或人為，可能是意外或蓄意。宜識別意外及蓄意二種威脅之來
源。威脅可能由組織內或組織外引起。宜依屬別及依型式 (例：未經授權行動、
實體損害、技術失誤 ) 識別各威脅，並於適當時於同屬類別 (generic class)中識別
個別威脅。此意謂並未忽略包括未預期威脅在內之任何威脅，但可限制所需工
作量。
有些威脅可影響一項以上之資產。此等情況下，依受影響之資產為何者而引發
不同衝擊。
對威脅識別之輸入及發生之可能性的估計 ( 參照 8.3.3) 可自資產擁有者或使用
者、人力資源職員、設施管理及資訊安全專業人員、實體安全專家、法務部門，
以及包括法人、氣象局、保險公司及政府機關等其他組織取得。因應威脅時，
亦宜考量環境及文化層面。
來自事故之內部經驗與過去之威脅評鑑宜於目前評鑑中考量。於有相關時，可
能值得諮詢其他威脅目錄 ( 可能特定於組織或營運 ) 以完成屬別威脅之清單。威脅
目錄及統計資料可自產業團體、政府機關、法人、保險公司等取得。
當使用威脅目錄，或先前威脅評鑑之結果時，宜認知相關威脅之持續變化，特
別是當營運環境或資訊系統變更時。
更多威脅型式之資訊如附錄 C 所述。
輸出：具識別威脅型式及來源之威脅清單。
8.2.4 既存控制措施之識別
輸入：文件化之控制措施、風險處理實作計畫。
行動：宜識別既存及已規劃之控制措施。
實作指引
宜識別既存之控制措施，以避免不必要之工作或成本，例：重複之控制措施。
此外，於識別既存之控制措施時，宜檢查以確保控制措施係正確運作－對已存
－17－ CNS 27005, X 6072
在之 ISMS 稽核報告的參引宜限制於此工作上所花之時間。若控制措施不如預期
般運作，可能會導致脆弱性。宜考量當某一選定之控制措施 (或策略 )運作失敗，
以致於需要補充性控制措施以有效因應所識別風險之情況。於 ISMS 中，依據
CNS 2 7 0 0 1，此部分由控制措施有效性之量測支援。估計控制措施效果的方法之
一係視其如何降低威脅之可能性及脆弱性之易被利用性，或事故之衝擊。管理
審查及稽核報告亦提供關於既存控制措施有效性之資訊。
對於依據風險處理實作計畫規劃將實作之控制措施，宜將該等控制措施及已實
作之控制措施給予同等的考量。
既存或已規劃之控制措施可能被識別為無效，或不足，或是不合理。若是不合
理或不足，宜檢查該控制措施以決定是否要移除，置換為另一更適切之控制措
施，或者例如是否為成本理由仍宜保留。
下列活動有助於識別既存或已規劃之控制措施。
－審查包含關於控制措施之資訊 (例：風險處理實作計畫 )的文件。若資訊安全
管理過程已妥善記錄，則應可取得所有既存或已規劃之控制措施及其實作之
狀態。
－與負責資訊安全之人員 ( 例：資訊安全官及資訊系統安全官、建物管理者或操
作管理者 ) 及使用者核對，對於考量中之資訊過程或資訊系統，哪些控制措施
已真正實作。
－施行實體控制措施之現場審查，比對已實作者與應存在之控制措施的清單，
並核對已實作之控制是否正確與有效的運作。
－審查稽核之結果。
輸出：所有既存及已規劃之控制措施、其實作及使用狀態之清單。
8.2.5 脆弱性識別
輸入：已知威脅清單、資產及既存控制措施清單。
行動：宜識別可被威脅利用以導致對資產或組織危害之脆弱性 ( 與 CNS 2 7 0 0 1 之
4.2.1(d)(3)相關 )。
實作指引
脆弱性可於下列領域識別。
－組織。
－過程及程序。
－管理例行工作。
－人員。
－實體環境。
－資訊系統組態。
－硬體、軟體或通訊設備。
－對外部團體之依賴。
脆弱性之出現，其本身不會導致危害，因需有威脅出現以利用之。無相對應威
脅之脆弱性可不需實作控制措施，但宜識別及監視其變化。宜注意不正確實作
CNS 27005, X 6072 －18－
或機能失常之控制措施或被不正確使用之控制措施本身即是脆弱性。控制措施
依其運作之環境可為有效或無效。相反的，無相對應脆弱性之威脅可能不會造
成風險。
脆弱性可與資產之某些性質相關，而此等性質之使用方式或目的並非資產購入或
製造時所欲者。需考量來自不同來源之脆弱性，例：資產之內在或外來脆弱性。
脆弱性之範例及脆弱性評鑑之方法如附錄 D 所述。
輸出：與資產、威脅及控制措施有關之脆弱性清單；與任何已識別威脅無關之
脆弱性清單供審查。
8.2.6 後果識別
輸入：資產清單、營運過程清單，以及威脅及脆弱性清單，適當時與資產及其
相關物連結。
行動：宜識別資產上可能喪失機密性、完整性及可用性之後果 ( 參照 CNS 2 7 0 0 1
之 4.2.1(d)(4))。
實作指引
後果可為喪失有效性、不利之營運狀況、失去生意、聲譽、損害等。
此活動識別可能由事故情景所導致對組織之損害或後果。事故情景係於資安事
故中，對威脅利用某項脆弱性或一組脆弱性之描述 ( 參照 CNS 2 7 0 0 2 第 1 3 節 ) 。
事故情景之衝擊係由考量全景建立活動期間所定義之衝擊準則所決定。其可能
影響單一或多項資產或部分資產。故資產可由財務成本以及若遭損壞或破解造
成之營運後果二者指定其價值。資產毀壞情況之後果可為暫時性或永久性。
備考： CNS 2 7 0 0 1 將事故情景之發生描述為〝安全失效〞。
組織宜依 (但不限於 )下列項目識別事故情景之運作後果。
－調查及修復時間。
－ (工作 )時間流失。
－機會喪失。
－保健及生命財產安全。
－修復損害之特定技能的財務成本。
－形象聲譽及商譽。
技術脆弱性評鑑詳如附錄 B.3 衝擊評鑑所述。
輸出：與資產及營運過程相關之事故情景及其後果的清單。
8.3 風險分析
8.3.1 風險分析方法論
風險分析可依據資產之關鍵性、已知脆弱性大小、先前涉及組織之事故等以不
同之細節程度進行。風險分析方法論依狀況可為定性或定量、或定性及定量之
組合。實務上，定性分析通常先用以取得風險等級之一般指示，並揭露主要風
險。其後或需對主要風險進行更特定或定量之分析，係因通常執行定性分析比
定量分析較不複雜且較便宜。
分析之形式宜與發展作為建立全景一部分之風險評估準則一致。
－19－ CNS 27005, X 6072
更詳細之分析方法論描述如下。
(a) 定性風險分析
定性風險分析使用限定屬性之尺度描述潛在後果強度 (例：低、中及高 )，以
及後果發生之可能性。定性分析優點在於易為所有相關人員瞭解，缺點則是
易受尺度之主觀選擇所左右。
尺度能調適或調整以適合環境，且可對不同風險使用不同描述。下列可用定
性風險分析。
－作為識別風險之初始篩選活動有必要更詳細的分析。
－當此種分析適用於決策時。
－當數字資料或資源不足以做定量風險分析時。
定性分析宜使用可用之事實資訊及資料。
(b) 定量風險分析
定量風險分析使用多種來源之資料，將數值尺度 (而非定性風險分析使用之
描述尺度 ) 用於後果及可能性二者。分析之品質取決於數值正確性及完整性，
以及所使用模型之有效性。大多數情況中，定量風險分析使用過往事故資
料，其優點為可直接與資訊安全目標及組織考量事項相關聯，缺點則是缺乏
新風險或資訊安全弱點之資料。定量作法之缺點可能發生於無法取得事實、
可稽核資料時，因而產生對風險評鑑價值及準確度之錯覺。
闡述後果及可能性之方式，以及將其組合以提供級風險之方式，將依使用風
險型式及風險評鑑輸出之目的而不同。分析中宜考量後果及可能性二者之不
確定性及變動性，並有效溝通。
8.3.2 後果評鑑
輸入：已識別相關事故情景之清單，包括對資產及營運過程之威脅、脆弱性、
受影響資產、後果等之識別。
行動：宜評鑑可能或實際之資訊安全事故所導致之組織營運衝擊，亦考量資訊
安全遭破壞之後果，諸如喪失資產之機密性、完整性或可用性等 ( 與 CNS
2 7 0 0 1 之 4 . 2 . 1 ( e ) ( 1 )相關 ) 。
實作指引
識別所有資產皆受審查後，評鑑後果時宜顧及指定給此等資產之價值。
營運衝擊之值可以定性及定量形式表示，但任何指定金錢價值之方法通常可提
供更多決策資訊，因而有助於更有效率之決策過程。
資產估價始於根據資產對滿足組織營運目標之重要性，依資產之關鍵性將其分
類。接著，使用下列 2 種措施決定估價。
－資產之置換價值：復原清理及置換資訊 (儘可能 )之成本。
－資產喪失或受損之營運後果，諸如因資訊及其他資訊資產之揭露、修改、不
可用及 /或毀損，所導致潛在不利營運及 /或違反法令或法規之後果。
此估價可由營運衝擊分析所決定。該價值由營運後果決定，通常明顯高於簡單
重置成本，取決於資產對組織對達成其營運目標之重要性。
CNS 27005, X 6072 －20－
資產估價係事故情景之衝擊評鑑中的關鍵因素，因事故可能影響一個以上之資
產 ( 例：附屬資產 )，或僅影響部分資產。不同威脅及脆弱性對資產將有不同衝擊，
諸如喪失機密性、完整性或可用性。後果評鑑因而基於營運衝擊分析而與資產
估價相關。
後果或營運衝擊可藉由塑模事件或一組事件之結果，或藉由外推實驗性研究或
過去資料加以決定。
後果可就金錢、技術或人員衝擊準則或其他與組織相關之準則表示之。某些情
況中，須有多於 1 個數值詳細說明不同時間、地點、群組或情況之後果。
時間及財務後果之量測宜採威脅可能性及脆弱性之相同作法。定性與定量作法
有必要維持一致。
更多資產估價及衝擊評鑑二者之資訊如附錄 B 所述。
輸出：事故情景之已評鑑後果清單，依資產及衝擊準則闡述之。
8.3.3 事故可能性評鑑
輸入：已識別相關事故情景之清單，包括對資產及營運過程之威脅、受影響資
產、被利用之脆弱性及後果等之識別。再者，所有既存及已規劃之控制
措施、其有效性、實作及使用狀況之清單。
行動：宜評鑑事故情景之可能性 ( 與 CNS 2 7 0 0 1 之 4 . 2 . 1 ( e ) ( 2 ) 相關 ) 。
實作指引
識別事故情景後，有必要使用定性或定量分析技術評鑑所發生各情景及衝擊之
可能性。此宜將威脅發生頻率及脆弱性被利用之容易程度納入考慮，考量如下。
－威脅可能性之經驗及適用之統計資料。
－蓄意之威脅來源：動機及能力隨時改變、可能攻擊者可用資源，以及可能攻
擊者對資產吸引力及脆弱性之感受。
－意外之威脅來源：地理因素 (例：鄰近化學或石油工廠 )、極端天氣情況之機
率，以及可能影響人為錯誤及設備故障之因素。
－個別及聚集兩者之脆弱性。
－既存控制措施及其如何有效地降低脆弱性。
舉例而言，資訊系統可能具有受假冒使用者身分及誤用資源威脅之脆弱性。由
於欠缺使用者鑑別，假冒使用者身分之脆弱性可能高。另一方面，雖欠缺使用
者鑑別，但因誤用資源之方法受限，故誤用資源之可能性可能低。
取決於準確度之需要，資產可分組，或有必要將資產分割為其元件並將情景關
聯至該元件。例：跨越地理位置，對同型式資產威脅之本質可能改變，或是既
存控制措施之有效性可能不同。
輸出：事故情景之可能性 (定性或定量 )。
8.3.4 決定風險等級
輸入：事故情景連同其與資產及營運過程關聯之後果，以及其可能性 (定性或定
量 )的清單。
行動：宜就所有相關事故情景決定風險等級 ( 與 CNS 2 7 0 0 1 之 4 . 2 . 1 ( e ) ( 4 ) 相關 ) 。
－21－ CNS 27005, X 6072
實作指引
風險分析指定值給風險之可能性及後果。此等值可為定性或定量。風險分析係基
於評鑑之後果及可能性。此外，恰當的風險評估，可考慮成本效益、利害相關者
關切事項，以及其他變數。估計之風險係事故情景之可能性及其後果的組合。
不同之資訊安全風險估計方式及作法的範例如附錄 E 所述。
輸出：具指定值等級之風險清單。
8.4 風險評估
輸入：具指定值等級及評估準則之風險清單。
行動：風險等級宜與風險評估準則及風險接受準則比較 ( 與 CNS 2 7 0 0 1 之
4.2.1(e)(4)相關 )。
實作指引
建立全景時即已決定關乎風險評估決策之本質，以及將被用以做該等決策之風險
評估準則。當更瞭解所識別之特定風險時，宜於此階段更詳細地再次審視此等決
策及全景。為評估風險，組織宜比較所估計風險 (使用附錄 E 所討論及選擇之方式
或作法 )及全景建立期間所定義之風險評估準則。
用以做決策之風險評估準則宜與已定義之外部及內部資訊安全風險管理全景一
致，並將組織目標及利害相關者之觀點等納入考量。風險評估活動中所做之決策
主要基於風險之可接受等級。然而，亦宜考量風險識別及分析中之後果、可能性
及信心度。多個低度或中度風險之聚集可能導致較高之整體風險，需據以因應。
宜考量下列項目。
－資訊安全性質：若一準則與組織無關 (例：喪失機密性 )，則所有衝擊此準則之
風險可能皆無關。
－由特定資產或一組資產支援之營運過程或活動的重要性：若該過程決定為低重
要性，則給予其關聯風險之考量宜低於衝擊更重要過程或活動之風險。
風險評估使用風險分析所獲得對風險之瞭解，做關於未來行動的決策。決策宜包
括如下。
－是否宜進行該活動。
－考量已估計之風險等級，對風險處理訂優先序。
於風險評估階段，除所估計之風險外，契約、法令及法規要求係宜納入考慮之因素。
輸出：依據風險評估準則與導致該等風險之事故情景的關係，訂優先序之風險清單。
9. 資訊安全風險處理
9.1 風險處理之一般描述
輸入：依據風險評估準則與導致該等風險之事故情景的關係，訂優先序之風險清單。
行動：宜選擇降低、保留、避免或分擔風險之控制措施，並定義風險處理計畫。
實作指引
風險處理有 4 個可用選項：風險修改 ( 參照 9 . 2 )、風險保留 ( 參照 9 . 3 )、風險避免 ( 參
照 9 . 4 )及風險分擔 ( 參照 9 . 5 )。
備考： CNS 2 7 0 0 1 之 4 . 2 . 1 ( f) ( 2 ) 使用〝風險接受〞取代〝風險保留〞。
CNS 27005, X 6072 －22－
圖 3 說明圖 2 所呈現之資訊安全風險管理過程中的風險處理活動。
風險評鑑結果
評鑑是
否合意
風險決策點 1
風險處理
風險處理選擇
風險風險風險風險
修改保留避免分擔
殘餘風險
風險決策點 2
處理是
否合意
圖 3 風險處理活動
風險處理選項之選擇宜基於風險評鑑結果、實作此等選項之預期成本及此等選項
之預期利益。
當風險之大幅降低可用相對低之支出取得時，宜實作此種選項。改善之進一步選
項可能不經濟，並需進行判斷以決定其是否合理。
一般而言，宜使風險之不利後果儘量合理可行的低，且與任何絕對準則無關。管
理者宜考量稀有但嚴重之風險。此種情況中，可能需實作嚴格經濟基礎上不合理
之控制措施 (例：營運持續控制措施被視為可涵蓋特定高風險 )。
風險處理之 4 個選項並非互不包含。有時組織能經由諸如降低風險可能性、降低
其後果及分擔或保留任何殘餘風險等選項之組合而實質地獲益。
某些風險處理能有效因應多項風險 (例：資訊安全訓練及認知 )。宜定義風險處理
－23－ CNS 27005, X 6072
計畫，其清楚識別個別風險處理宜被實作之優先順序及時間表。可使用多種不同
技術建立優先順序，包括風險排序及成本效益分析。組織管理者有責任為平衡控
制措施之實作成本與預算分配做抉擇。
依據成本比較，既存控制措施之識別可能判定既存控制措施超出目前需要，包括
維護。若考量移除冗餘或非必要之控制措施 ( 特別是若該控制措施具高維護成本 ) ，
宜將資訊安全和成本因素納入考量。因控制措施可能相互影響，移除冗餘控制措
施可能降低目前整體安全。此外，將冗餘或非必要之控制措施留在原處可能比移
除更便宜。
風險處理選項宜將下列各項納入考量。
－受影響各方如何感受風險。
－溝通受影響各方之最適切方法。
全景建立 (參照 7.2－風險評估準則 )提供組織需遵循之法令及法規要求資訊。對未
能遵循之組織風險，宜實作處理選項以限定此之可能性。風險處理期間，宜將全
景建立活動期間所識別之所有關於組織、技術、結構等的限制條件納入考量。
一旦已定義風險處理計畫，則需決定殘餘風險。考量所提議風險處理之預期效果，
此涉及風險評鑑之更新或再迭代。萬一殘餘風險仍未能滿足組織之風險接受準
則，則繼續進行風險接受前，可能需更進一步的風險處理迭代。更多資訊如 CNS
27002 之 0.3 所述。
輸出：以組織管理者之接受決策為準之風險處理計畫及殘餘風險。
9.2 風險修改
行動：宜經由施行、移除或改變控制措施以管理風險等級，使殘餘風險得被重新
評定為可接受。
實作指引
宜選擇適切及已衡量之控制措施，以符合風險評鑑和風險處理所識別出之要求。
此選擇宜考量風險接受準則與法令、法規及契約要求。此選擇亦宜考量控制措施
實作之成本與時間表，或技術、環境及文化層面。適當地選擇資訊安全控制措施
通常可降低系統總擁有成本。
一般而言，控制措施可提供下列之一或多種型式之保護：矯正、消弭、預防、衝
擊最小化、制止、偵測、復原、監視及認知。於控制措施選擇期間，權衡控制措
施之獲取、實作、行政管理、運作、監視及維護等成本，與受保護資產之價值作
比較是重要的。再者，宜就風險降低與開發新營運機會之潛力的投資報酬以考量
某些控制措施。此外，宜考量定義及實作新控制措施或修改既存控制措施可能需
要之專業技巧。
CNS 2 7 0 0 2 提供控制措施之詳細資訊。
有許多影響選擇控制措施之限制條件。技術限制條件，諸如：效能要求、可管理
性 (操作條件支援要求 )與相容性議題，可能阻礙某些控制措施之使用或可能導致
人為錯誤，如無效控制措施，給人一種虛假的安全感，甚至是增加風險使其過高
而不須該控制措施 (例：要求複雜之通行碼而無適當訓練，導致使用者寫下通行
CNS 27005, X 6072 －24－
碼 )。而且，控制措施可能影響效能。管理者宜試圖識別一解決方案能滿足效能要
求，同時保證充分的資訊安全。本步驟之結果是產出具有成本、利益及實作優先
序之可能控制措施的清單。
於選擇控制措施及實作過程中宜考量各種限制條件。通常考量下列項目。
－時間限制條件。
－財務限制條件。
－技術限制條件。
－運作限制條件。
－文化限制條件。
－道德倫理限制條件。
－環境限制條件。
－法令限制條件。
－易於使用。
－人事限制條件。
－整合新生及既有控制措施之限制條件。
更多關於風險修改之限制條件之資訊如附錄 F 所述。
9.3 風險保留
行動：無進一步行動而保留風險之決策，宜依據風險評估而定。
備考： CNS 2 7 0 0 1 之 4 . 2 . 1 ( f) ( 2 )〝若其明顯的符合組織的政策與風險接受準則，則
知悉與客觀地接受此等風險〞描述相同的活動。
實作指引
若風險等級符合風險接受準則，則不需實作額外之控制措施，且該風險能被保留。
9.4 風險避免
行動：造成增加特定風險之活動或情況宜避免之。
實作指引
當所識別風險被視為太高時，或實作其他風險處理選項之成本超過利益時，可作
出決定以完全避免風險，藉由從已規劃或既有活動或一組活動中退出，或變更活
動運作之情況。舉例而言，對大自然所引起的風險，最具成本效益之替代方案就
是將資訊處理設施實體地搬移到風險不存在或在控制下的地點。
9.5 風險分擔
行動：宜依據風險評估，將風險分擔至最能有效管理該特定風險之另一方。
實作指引
風險分擔涉及作出與外部團體分擔某些風險之決策。風險分擔能產生新的風險或
修改既存、已識別風險。因此，可能需要額外之風險處理。
分擔可藉由支援後果之保險，或是藉由分包給合作夥伴，其角色為監視資訊系統，
並於造成已定義之損害等級前，採取立即行動以阻止攻擊。
宜注意的是可能可以分擔管理風險之責任，但通常不可能分擔衝擊之賠償責任。
客戶通常將不利衝擊歸因於組織的錯誤。
－25－ CNS 27005, X 6072
10. 資訊安全風險接受
輸入：以組織管理者之接受決策為準的風險處理計畫及殘餘風險評鑑。
行動：宜作成接受風險之決策及決策之責任，並正式記錄之 ( 此與 CNS 2 7 0 0 1 之
4 . 2 . 1 ( h) 相關 ) 。
實作指引
風險處理計畫宜描述將如何處理評定之風險，以滿足風險接受準則 ( 參照 7 . 2 . 4 )。
審查及核准所提議之風險處理計畫及產生之殘餘風險，並記錄與該核准相關連之
所有條件，對須負責之管理者而言是重要的。
風險接受準則可能比只決定殘餘風險是否落於單一臨限之上或之下更為複雜。
於某些情況中，殘餘風險之等級可能不符合風險接受準則，因為該準則於適用時，
未考量當時之環境。例：可能可主張因為伴隨風險之利益非常有吸引力，或是因
為風險修改之成本太高，而必須接受風險。此種環境指出風險接受準則不恰當，
若可能宜加以修訂。然而，並非總是可即時地修訂風險接受準則。於該等情況中，
決策者可能必須接受不符合常態風險接受準則之風險 (normal risk acceptance
criteria)。若此為必要，決策者宜明確地在該風險上註解並包含無視常態風險接受
準則之決策的衡量理由。
輸出：接受風險之清單，對不符合組織常態風險接受準則者，列出衡量理由。
11 . 資訊安全風險溝通及諮詢
輸入：自風險管理活動獲得之所有風險資訊 (參照圖 2)。
行動：關於風險之資訊宜於決策者與其他利害相關者間交換及 /或分享。
實作指引
風險溝通是決策者與其他利害相關者藉由交換及 /或分享風險資訊於如何管理風
險上達成協議之活動。資訊包括 ( 但不限於 )：風險之存在、本質、形式、可能性、
嚴重性、處理及接受度。
由於可能對必須作的決策有重大衝擊，利害相關者間之有效溝通是重要的。溝通
將確保該等負責實作風險管理及該等既得利益者瞭解決策之基礎與為何需要特定
的行動。溝通係雙向的。
當利害相關者論及風險或討論議題時，由於假設、觀念與需求、議題與關切等之
差異，對風險感受可能有所不同。利害相關者傾向基於其對風險感受而對風險之
可接受性作出判斷。因此對於要確保利害相關者對風險之感受及其對利益之感
受，能被識別與文件化，與清楚的瞭解及說明其相關理由，是特別的重要。
宜執行風險溝通以達下列目的。
－對組織風險管理結果提供保證。
－收集風險資訊。
－分享風險評鑑結果並提出風險處理計畫。
－避免或降低因決策者及利害相關者間缺乏相互瞭解而導致資訊安全漏洞之發
生與後果。
－支援決策。
CNS 27005, X 6072 －26－
－取得新的資訊安全知識。
－與他方協調並規劃降低任何事故後果之回應。
－給予決策者及利害相關者對風險之責任感。
－改善認知。
組織宜發展正常運作與緊急情況下之風險溝通計畫。因此，風險溝通活動宜持續
履行。
主要決策者與利害相關者間之協調可藉由成立委員會而達成，委員會內能進行有
關風險、優先順序及與適當處理與接受等之辯論。
在組織內與合適之公關或溝通部門合作，以協調所有關於風險溝通的任務是重要
的。例：對特別事故回應之危機溝通行動之事件中此是關鍵的。
輸出：對組織資訊安全風險管理過程及結果之持續瞭解。
12. 資訊安全風險監視及審查
12.1 風險因素之監視及審查
輸入：自風險管理活動中獲得之所有風險資訊 (參照圖 2)。
行動：宜監視及審查風險與其因素 (亦即資產價值、衝擊、威脅、脆弱性及發生
的可能性 )，以在早期階段識別組織全景中之任何變化，並維持風險全貌
之概觀。
實作指引
風險非靜態。威脅、脆弱性、可能性或後果可無徵兆地突然變化。故不斷監視以偵
測此等變化係必要的。亦可由提供關於新威脅或脆弱性資訊之外部服務支援之。
組織宜確保持續監視下列項目。
－包含於風險管理範圍內之新資產。
－資產價值之必要修改，例：由於改變之營運要求。
－活躍於組織外部與內部且未評定之新威脅。
－新生或增加的脆弱性可能允許威脅利用此等新生或變更的脆弱性之可能性。
－識別脆弱性以確定其已暴露於新的或再出現之威脅中。
－評定之威脅、脆弱性及風險經聚集，導致無法接受等級之風險所增加之衝擊或
後果。
－資訊安全事故。
先前評定為低風險者，因新威脅、脆弱性或變更可能性或後果而增加其風險。對
低風險及已接受風險之審查，宜分別考量各風險，亦要將所有該等風險聚集在一
起考量，以評定其潛在累積衝擊。若風險未落入低或可接受風險種類，宜使用第
9 節中所考量之一或多個選項處理。
影響威脅發生之可能性與後果的因素，及影響各種處理選項之適當性或成本的因
素均可能變化。影響組織的重大變化宜作為更具體審查之理由。因此，風險監視
活動宜定期地重覆，且所選擇的風險處理選項宜週期性地審查。
風險監視活動之結果可輸入至其他風險審查活動。組織宜定期審查所有風險，且
發生重大變化時亦同 ( 依據 CNS 2 7 0 0 1 之 4 . 2 . 3 ) 。
－27－ CNS 27005, X 6072
輸出：風險管理與組織營運目標及與風險接受準則之持續調校。
12.2 風險管理監視、審查及改善
輸入：自風險管理活動中獲得之所有風險資訊 (參照圖 2)。
行動：宜於必要及合適時，持續監視、審查及改善資訊安全風險管理過程。
實作指引
為確保全景、風險評鑑和風險處理之結果及管理計畫，仍保持對環境之相關性及
合適性，持續之監視及審查是必要的。
組織宜確認資訊安全風險管理過程及相關活動於現今環境中仍為合適，並被遵
循。任何對過程遵循性改善是必要之合意改善的過程或行動，宜通知適切的管理
者，以確保未忽略或低估風險或風險元件，且採取必要的行動與做決策，以提供
實際的風險瞭解和回應能力。
此外，組織宜定期查證用以量測風險與其元件之準則仍然有效並與營運目標、策
略及政策一致，同時營運全景之變更於資訊安全風險管理過程中要充分地納入考
量。此監視及審查活動宜闡明 (但不限於 )下列。
－法令及環境全景。
－競爭全景。
－風險評鑑作法。
－資產價值及種類。
－衝擊準則。
－風險評估準則。
－風險接受準則。
－總擁有成本。
－必要資源。
組織宜確保風險評鑑和風險處理資源在審查風險、因應新生或變更之威脅或脆弱
性上持續可用，以及依此向管理階層建議。
風險管理監視能依據下列導致修改或增加所使用之作法、方法論或工具。
－已識別之變更。
－風險評鑑迭代。
－資訊安全風險管理過程之目標 ( 例：營運持續性、對事故之恢復力 ( r esi l i e n c e ) 、
遵循性 )。
－資訊安全風險管理過程之標的 ( 例：組織、營運單位、資訊處理、其技術實作、
應用系統及網際網路之連結 )。
輸出：資訊安全風險管理過程對組織營運目標之持續關聯或更新過程。
CNS 27005, X 6072 －28－
附錄 A
(參考 )
定義資訊安全風險管理過程之範圍及邊界
A.1 組織之研究
評估組織：對組織之研究會找回定義組織身分之特性元素。此關係到此組織之目
的、營運、任務、價值及策略。此等事項宜與造成其發展之元素 (例：
分包 )一起識別。
此活動之困難在於確切的瞭解組織如何建構。識別其真實之結構將提供在達到組
織目標時對每一部門的角色與重要性之瞭解。
例：資訊安全管理者向最高管理者而非 I T 管理者報告的事實，可顯示高階管理者
參與資訊安全。
組織之主要目的：組織之主要目的可定義為其存在的理由 (其活動領域、市場區隔
等 )。
組織之營運：組織之營運由組織員工之技術及實際知識所定義，使其能達成其任
務。其對組織之活動領域而言為特定的，且通常定義其文化。
組織之任務：組織藉由完成任務以達成其目的。要識別其任務，宜識別關於終端
使用者被提供之服務及 /或製造之產品。
組織之價值：價值係用於營運運作之主要原則或良好定義之行為準則。此可能關
係到人員、與外部執行者 (客戶等 )之關係、所供應之產品或所提供
的服務之品質。
例：組織之目的為公共服務，其營運為運輸，任務包括運送孩童來回學校。其價
值可能為服務之準時與運送中之安全。
組織之結構：有不同型式之結構。
－部門結構：各部門置於部門管理者職權之下，負責關於該單位之策略、管理及
運作決策。
－功能結構：功能職權在程序、工作本質以及有時是決策或規劃 ( 例：生產、 I T 、
人力資源、市場等 )上運作。
備註：
－組織內具部門結構之部門可被組織為功能結構，反之亦然。
－組織若具有兩種型式結構之元件，可說成具有矩陣結構。
－任何組織結構均可區分下列之層級。
－決策層級 (策略導向之定義 )。
－領導層級 (協調及管理 )。
－運作層級 (生產及支援活動 )。
組織圖：在組織圖中組織結構以綱要式呈現。其呈現宜強調回報路線與授權，但
其亦宜包括其他關係，因為即使不基於任何正式權責，其仍係資訊流之
動線。
－29－ CNS 27005, X 6072
組織策略：需組織之指導原則的正式表達。組織之策略決定所需的方向和發展，
以由利害攸關議題以及其規劃之重大變更中受益。
A.2 影響組織之限制條件清單
宜考量所有影響組織與決定其資訊安全導向的限制條件。其來源可能是在組織
內，於此情況中組織對其有些控制；或是組織之外，而對此通常無商量餘地。資
源限制 (預算、人事 )與緊急限制條件是其中最重要的。
組織設定其目標 (關於其營運、行為等 )與承諾其發展路徑，可能是長期的。組織
定義其想要變成之狀況與將需實作之措施。於規定此路徑時，組織考量技術和實
際知識的發展、使用者與客戶明確的願望等等。此目標可表示為營運或發展策略
的形式，而瞄準如縮減營運成本、改善服務品質等。
此等策略很可能包括在其應用系統中協助之資訊及資訊系統。所以關於組織之身
分、任務和策略的特性於分析問題時係為基礎之元件，因為資訊安全層面之危害
可能導致重新思考此等策略之目標。此外，資訊安全要求之提議與組織內有效之
規則、使用和手段保持一致，是必要的。
限制條件清單包括但不限於下列。
政策本質之限制條件
此等可能影響到政府行政機構、公眾機構或更普遍地必須實施政策決定的任何組
織。其通常是由政府部門或決策團體所作的策略或營運導向的決定，且宜遵行。
例：發票或行政管理文件之電腦化引發資訊安全問題。
策略本質之限制條件
限制條件可由組織結構或導向之已規劃或可能的變更所引起。其在組織之策略或
營運計畫中明白表示。
例：於分享敏感性資訊之國際合作中，可能需要有關於安全交換的協議。
疆域之限制條件
組織之結構及 /或目的可能引發如在整個國家疆域或國外分佈場域之特定限制條件。
例：該範例包括郵政服務、大使館、銀行、大企業團體的子公司等。
由經濟與政治氛圍引起之限制條件
組織之營運可由如罷工或國家與國際危機等特定事件而重大的改變。
例：即使在嚴重的危機期間，某些服務宜能夠持續。
結構化限制條件
組織結構 (部門、功能或其他 )之本質可導致適用於該結構的特定資訊安全政策與
安全組織。
例：國際結構宜能調和每一國家特定的安全要求。
功能化限制條件
功能化限制條件直接來自組織之一般或特定任務。
例：全時運作之組織宜確保其資源為持續可用的。
關於人員之限制條件
此等限制條件之本質有很大的差別。其鏈結到：責任等級、召募、資格、訓練、
CNS 27005, X 6072 －30－
安全認知、動機、可用性等。
例：國防組織的全部人員宜有處置高度機密資訊的授權。
來自組織行事曆之限制條件
此等限制條件可能產生於具某些截止期限之重新結構或設定新的國家或國際政策。
例：安全部門之創立。
與方法有關之限制條件
適用於組織實際知識的方法將需要加諸於如專案規劃、規格、發展等等層面。
例：此類之典型限制條件為將組織的法令義務併入安全政策的需求。
文化本質之限制條件
在某些組織中，工作習慣或主要營運項目造成組織內特定的〝文化〞，可能與安
全控制措施不相容。該文化係人員之一般參照框架且可能由許多層面決定，包括
教育、指導、職業經驗、業外經驗、意見、哲學、信念、社會地位等。
預算限制條件
所建議之安全控制措施有時可能要非常高的成本。雖然將安全投資植基於成本效
益不一定永遠適切，但組織之財務部門通常要求經濟的正當理由。
例：在私部門及某些公共組織內，安全控制措施總成本不宜超過風險潛在後果成
本。因此，如欲避免安全成本過高，高階管理階層宜評定及承擔可能的風險。
A.3 適用於組織之法令與法規參考清單
宜識別適用於組織之法規要求。其可以是法律、命令、組織領域內之特別法規或
內部 /外部法規。此亦與有關於契約及協議以及更為一般法令或法規意旨上之所有
義務。
A.4 影響範圍之限制條件清單
藉由識別限制條件，能列出對範圍有衝擊之限制條件的清單，並決定仍然合適於
行動之限制條件。此等限制條件可能修改後加入上述已決定之組織限制條件。下
列各段落代表非窮舉之限制條件的可能型式清單。
源自先前既存過程之限制條件
應用系統專案不必要同時開發。某些依存於先前既有之過程。儘管過程可被拆解
成子過程，然而過程不必然會被另一過程之所有子過程所影響。
技術限制條件
與基礎建設有關之技術限制條件通常源自已安裝之硬體及軟體，以及供過程放置
之房間或場域。
－檔案 (關於組織、媒介管理、存取規則管理等之要求 )。
－一般架構 ( 關於拓樸 ( 集中式、分散式、客戶伺服器架構 )、實體架構等之要求 ) 。
－應用軟體 (關於特定軟體設計、市場標準等之要求 )。
－套裝軟體 (關於標準、評估等級、品質、遵循規範、安全等之要求 )。
－硬體 (關於標準、品質、遵循規範等之要求 )。
－通訊網路 (關於覆蓋率、標準、容量、可靠度等之要求 )。
－建築之基礎建設 (關於土木工程、營建、高電壓、低電壓等之要求 )。
－31－ CNS 27005, X 6072
財務限制條件
安全控制措施之實作通常受組織能承諾之預算的限制。雖然，因分配給安全之預
算能基於安全研究而協商，財務之限制條件仍宜為待考量之最後一個限制條件。
環境限制條件
環境限制條件來自於過程實作所在的地理或經濟環境：國家、氣候、天然風險、
地理情況、經濟氛圍等。
時間限制條件
實作安全控制措施所需之時間宜依與升級資訊系統的能力之關係考量；若實作時
間非常長，所設計之控制措施的風險可能已改變。時間為選擇解決方案與優先順
序之決定性因素。
與方法有關之限制條件
宜使用適合於組織專門知識 ( kno w-ho w) 的方法於專案規劃、規格、開發等。
組織限制條件
許多限制條件源自組織之要求。
－運作 (關於前置時間、服務供應、監督、監視、緊急計畫、降級運作等之要求 )。
－維護 (關於事故之疑難排解、預防性措施、快速矯正等之要求 )。
－人力資源管理 ( 關於操作者和使用者訓練、如系統管理員或資料管理員的職位資
格等之要求 )。
－行政管理 (關於責任等之要求 )。
－開發管理 ( 關於開發工具、電腦輔助軟體工程、驗收計畫、待建立的組織等之要
求 )。
－外部關係管理 (關於第三方關係之組織、契約等之要求 )。
CNS 27005, X 6072 －32－
附錄 B
(參考 )
資產之識別與估價及衝擊評鑑
B.1 資產識別之範例
為履行資產估價，組織首先需要識別其資產 (以適當的細節等級 )，可區分為以下
兩種。
－主要資產。
－營運過程及活動。
－資訊。
－各種型式之支援資產 (範圍之主要元件所依賴者 )。
－硬體。
－軟體。
－網路。
－人員。
－場域。
－組織結構。
B.1.1 主要資產之識別
為更精確地描述範圍，本活動包括識別主要資產 ( 營運過程及活動、資訊 )。識別
由代表過程之混合工作群組 (管理者、資訊系統專業人員及使用者 )執行。
主要資產通常是範圍內活動之核心過程及資訊。其他諸如組織過程之主要資產
亦可考慮，將更適合描繪資訊安全政策或營運持續計畫。依目的，某些研究不
需徹底分析所有構成範圍之元件。於此情況中，研究邊界可限定於範圍之關鍵
元件。
主要資產有兩種型式。
1– 營運過程 (或子過程 )及活動，例：
－喪失或降級將造成組織無法實行其任務之過程。
－包含秘密過程或涉及專有技術之過程。
－若經修改，會大幅影響組織任務完成之過程。
－對組織遵循契約、法令或法規要求所需之過程。
2– 資訊。
－對組織任務或營運之運行是極為必要的資訊。
－可明確依國家法律關於隱私之意旨定義之個人資訊。
－為達成策略導向決定之目標所必要的策略性資訊。
－其收集、儲存、處理及傳輸需要長時間及 /或涉及高取得成本之高成本資訊。
此活動過後，未被識別為敏感性之過程及資訊，在其後之研究將不具已定義之
分類。此表示即使該過程或資訊受到危害，組織仍會成功地完成任務。
然而，組織通常將承續已實作之控制措施，以保護被識別為敏感之過程和資訊。
－33－ CNS 27005, X 6072
B.1.2 支援資產之清單與描述
宜識別及描述範圍所包括之資產。此等資產具可被威脅利用以危害範圍之主要
資產 (過程及資訊 )之脆弱性。各種型式如下。
硬體
硬體型式包括支援過程之所有實體元件。
資料處理設備 (主動 )
自動化資訊處理設備，包括獨立運作所需之品項。
可運送設備
可攜式電腦設備。
例：筆記型電腦、個人數位助理 (p erso nal d igital assistant, P DA)。

固定設備
使用於組織場所之電腦設備。
例：伺服器，作為工作站之微電腦。
周邊處理設備
經由通訊埠 (串列、並列鏈路等 )連接至電腦，用以輸入、載送或傳輸資料之
設備。
例：印表機、可移除式磁碟機。
資料媒介 (被動 )
用以儲存資料或程式函式之媒介。
電子媒介
可連接至電腦或電腦網路以儲存資料之資訊媒介。雖然尺寸小巧，但此等媒
介可容納大量資料。其可與標準電腦設備一起使用。
例：磁碟片、光碟片、備份卡匣、可移除式硬碟、隨身碟、磁帶。
其他媒介
容納資料之靜態、非電子式媒介。
例：紙張、幻燈片、投影片、文件、傳真。
軟體
軟體包含所有用於資料處理設備之操作的程式。
作業系統
此包括組成運作基礎之所有電腦程式，其他程式 (服務或應用系統 )皆在此基
礎上執行。其包括內核 (kernel) 及基本功能或服務。作業系依其架構統可以是
單獨的，或是由微內核 (micro-kernel) 及一組系統服務所組成。作業系統之主
要元件係所有的設備管理服務 ( CP U、記憶體、磁碟及網路介面 )、工作或過程
管理服務及使用者權限管理服務。
服務、維護或管理軟體
此種軟體之特性係其僅補充作業系統服務而非直接服務使用者或應用系統
(即使其通常對總體資訊系統之運作是必要的或甚至是不可或缺的 )。
套裝軟體或標準軟體
CNS 27005, X 6072 －34－
標準軟體或套裝軟體係以完整產品行銷 (而非一次性或特定開發 )並具實體媒
介、版次與維護。其對使用者和應用系統提供服務，但不若商用軟體般個人
化或特定化。
例：資料庫管理軟體、電子訊息軟體、群組軟體、目錄軟體、網頁伺服器軟
體等。
商用軟體
標準商用軟體
此為設計給使用者於其專業領域中從其資訊系統直接存取所需之服務和功
能的商用軟體。領域之範圍非常廣泛，理論上無限制。
例：會計軟體、機器工具控制軟體、客服軟體、人力資源管理軟體、行政
管理軟體等。
特定商用軟體
此為在不同層面 (主要是支援、維護、升級等 )有特定開發以給使用者從其
資訊系統直接存取所需要之服務和功能的軟體。領域之範圍非常廣泛，理
論上無限制。
例：電信業者客戶之發票管理，火箭發射之即時監視應用軟體。
網路
網路型式包括用以互相實體地連接遠端電腦或資訊系統元件之所有電信裝置。.
媒介及支援
主要特性藉由設備 (點對點、廣播 )之實體及技術特性與通訊協定 (網路連結－開
放系統互連 (OSI)7 層模型的第 2 層及第 3 層 )決定之通訊及電信媒介或設備。
例：公眾交換電話網 (P ST N) 、乙太網路、 Gigab itEthernet、 ADSL、無線協定
規格 ( 例： WiFi 8 0 2 . 11 ) 、藍牙、 Fir e Wir e。
被動或主動的中繼
此子型式包括所有傳輸之非邏輯終接裝置 (IS 觀點 )而是中介或中繼的裝置。
中繼有支援的網路傳輸協定之特性。基本的中繼之外，其通常包括選路及過
濾功能和服務、利用傳輸交換器和有過濾器之路由器。通常可由遠端管理且
具能產生日誌的能力。
例：橋接器、路由器、集線器、交換器、自動交換機。
通訊介面
處理單元之通訊介面連接到處理單元但藉由媒介及支援協定、任何已安裝之
過濾、日誌或警示產生功能及容量、遠端管理的可能性和要求等區分其特性。
例：通用封包無線電服務 (General P acket Radio Service, GP RS)、乙太網路配
接器。
人員
人員型式包括所有涉及資訊系統之人員群組。
決策者
決策者為主要資產 (資訊和功能 )之擁有者及組織或特定計畫之管理者。
－35－ CNS 27005, X 6072
例：高階管理階層、計畫主持人。.
使用者
使用者係在其活動之全景中處理敏感性元件且在此層面有特別責任之人員。
可能對資訊系統有特別的存取權限以執行其日常工作。
例：人力資源管理階層、財務管理階層、風險管理者。
維運人員
負責維運資訊系統之人員。對資訊系統有特別之存取權限，以執行其日常工作。
例：系統管理員、資料管理員、後備人員、客服人員、應用系統部署操作員、
安全官。
開發人員
開發人員負責開發組織之應用系統。有部分資訊系統的高階權利存取權限，
但不對線上資料採取任何行動。
例：營運應用系統開發人員。
場域
場域型式由所有包含範圍或部分範圍之地點，以及使其能運作之實體工具所組成。
位置
外在環境
此涉及所有不能適用組織安全措施之位置。
例：員工住宅、另一組織之場所、場域外之環境 (郊區、危險區域 )。
場所
直接與外界接觸之組織邊界臨接地點。可為藉由在建物周圍建立實體障礙或
監視方法所實體保護之邊界。
例：設施、建物。
管制區
管制區係由以實體保護邊界形成組織作業場所內區隔所形成。由在組織的資
訊處理基礎設施周圍建立實體障礙而獲得。
例：辦公室、限制進出管制區、安全管制區。
基本服務
組織設備運作所需之所有服務。
通訊
電信業者提供之電信服務及設備。
例：電話線、用戶專用自動交換機 (PAB X) 、內部電話網路。
公用服務之設施
提供電力給資訊技術設備及周邊之服務和手段 (來源及線路 )。
例：低壓供電、變流器 (inverter)、電路頭端。
供水。
廢棄物處理。
空氣冷卻及淨化之服務和手段 (設備、控制措施 )。
CNS 27005, X 6072 －36－
例：冷卻水管、空調設備。
組織
組織型式描述組織之架構，包括指派任務之所有人員結構與控制該等結構之程序。
權責機構
此為該組織藉以衍生其權責的組織。其可為法令上附屬的或外部的，該組織
依規章、決策及行動方案加以限制。
例：行政管理單位、組織之總部。
組織結構
包括在組織管理控制下之各種分支機構，包含跨部門的活動。
例：人力資源管理、 IT 管理、採購管理、營運單位管理、建物安全服務、消
防服務、稽核管理。
專案或系統組織
此涉及為特定專案或服務所設立的組織。
例：新應用系統開發專案、資訊系統移植專案。
分包商 /供應商 /製造商
此為依契約有義務為組織提供服務或資源之組織。
例：設施管理公司、委外公司、顧問公司。
B.2 資產估價
資產識別後之下一步為同意基於估價所使用之尺度，以及為各資產賦予該尺度特定
位置之準則。因為在大多數組織中資產的多樣性，很可能有些具有已知金錢價值的
資產會以當地貨幣單位定價，其他具較高定性價值者可能會被指定為範圍值，例：
從〝非常低〞到〝非常高〞。使用定性尺度或定量尺度的決策實際上取決於組織之
偏好，但宜與受估價之資產有關。此二種估價型式皆可使用於同一資產。
作為資產定性估價之典型用語，包括諸如：可忽略 (negligible)、非常低 (very low)、
低 (low)、中 (medium)、高 (high)、非常高 (very high)及關鍵性 (critical)等詞。適用於
組織的用語選擇範圍與組織對安全、組織大小的需要，以及其他的組織特定因素極
為相關。
準則
作為指定各資產價值基礎之準則宜使用明確之用語寫出。此通常為資產估價最困
難的層面之一，因為有些資產的價值可能必須主觀決定，也因為似乎由許多不同
的個人做此決定。用於決定資產價值的可能準則包括其原始成本、其置換成本或
重建成本或其價值可能係抽象的，例：組織聲譽之價值。
資產估價的另一基礎是因事故而喪失機密性、完整性及可用性所發生的成本。適
當時亦宜考量不可否認性、可歸責性、鑑別性及可靠性。該估價將提供資產價值
除置換成本外之重要基礎維度，其係基於估計來自一組假設之環境下安全事故不
利之營運後果。要強調的是，本作法說明需納入為風險評鑑之因素之後果。
估價過程中許多資產可能被指定數個值。例：營運計畫可依發展該計畫所花費的
勞力而定價值、可基於輸入資料之勞力而定價值，亦可依其對競爭者之價值而估
－37－ CNS 27005, X 6072
價。每個所指定之值將大不相同。所指定之值可為所有可能值之最大值，或可能
為某些或所有可能值之總和。在最後分析時，宜小心決定指定給資產之單一值或
數個值，因為所指定之最後值，進入保護該資產將花費之資源的決策中。
降低至共同基礎
最終，所有資產估價需降低到共同基礎。此可藉由遵循準則之協助而達成。準則
可用以評鑑資產之機密性、完整性、可用性、不可否認性、可歸責性、鑑別性或
可靠性損失後之可能後果。
－違犯法令或法規。
－損害營運效能。
－喪失商譽 /名譽上之負面印象。
－侵犯相關之個人資訊。
－危及人員生命財產安全。
－執法之不利影響。
－破壞機密性。
－破壞公共秩序。
－財務損失。
－營運活動受到擾亂。
－危及環境安全。
評鑑後果之其他方面有下列情形。
－服務中斷。
－不能提供服務。
－客戶信任之喪失。
－內部資訊系統信用之喪失。
－名譽損害。
－內部運作之擾亂。
－組織本身之擾亂。
－額外之內部成本。
－第三方運作之擾亂。
－第三方與組織交易之擾亂。
－各種型式之傷害。
－違犯法律 /法規。
－不能履行法律義務。
－違反契約。
－不能履行契約義務。
－危及人員 /使用者生命財產安全。
－對組織人員 /使用者有危險。
－對使用者私人生活之攻擊。
－財務之損失。
CNS 27005, X 6072 －38－
－緊急事件修復之財務成本。
－依人員。
－依設備。
－依研究、專家報告。
－損失貨物 /基金 /資產。
－流失客戶、流失供應商。
－司法訴訟與刑罰。
－失去競爭優勢。
－失去科技 /技術領先。
－失去有效性 /信任。
－失去技術名譽。
－減弱協商能力。
－產業危機 (罷工 )。
－治理危機。
－解雇。
－物料損害。
此等準則係資產估價待考量議題之範例。要執行估價，組織需要選擇有關其營運
和安全要求之準則。此可能意味上述某些準則並不適用，而清單可能需要加入其
他準則。
尺度
建立待考量之準則後，組織宜同意用於全組織之一致尺度。第一步係決定將使用
之等級數。關於最適切之等級數並無規則。越多等級提供更大程度之細緻度，但
有時太細之區分會使得整個組織一致之指定變得困難。通常只要與組織在整個風
險評鑑過程中所使用的作法一致，可使用任何介於 3(例：低、中、高 )和 10 之間
的等級數。
組織可定義其自身對資產價值之限制，如〝低〞、〝中〞或〝高〞。此等限制宜
依所選擇的準則 (例：對可能之財物損失宜賦予金錢價值，但考量諸如危及人員生
命財產安全，金錢估價可能很複雜且不適合於所有組織 )評定。最後，完全由組織
決定何者被視為〝低〞或〝高〞之後果。對小組織之災難性後果，對非常大的組
織可能是低或甚至是可忽略的後果。
依賴性
某資產所支援之營運過程越相關且越眾多，該資產之價值越大。由於此可能影響
資產之價值，故宜識別資產對營運過程和其他資產之依賴性。例：宜在資料之整
個生命週期，於所有階段，包括儲存與處理，均保持其機密性，亦即，資料儲存
和處理程式的安全需求宜直接與代表所儲存和所處理資料之機密性的價值相關。
而且，若營運過程依賴某些由程式所產生資料之完整性，則該程式之輸入資料宜
有適切之可靠度。此外，資訊之完整性將依賴於用以儲存和處理其之硬體和軟體。
而且，硬體將依賴電力供應，且可能依賴空氣調節。因此關於依賴性之資訊將有
－39－ CNS 27005, X 6072
助於識別威脅以及特別之脆弱性。此外，其將有助於確保將資產真實價值 (經由依
賴關係 )賦予資產，由此指示保護之適當等級。
其他資產依賴的資產之價值可以下列方式修改。
－若依賴資產 (例：資料 )之價值低於或相等於所考量之資產 (例：軟體 )，則其價
值保持相同。
－若依賴資產 (例：資料 )之價值高於所考量之資產 (例：軟體 )，則宜依據下列方
式增加。
－依賴之程度。
－其他資產之價值。
組織可能有某些資產可利用超過一次，像軟體程式之複本或相同型式之電腦用於
大多數的辦公室。考量何時做資產估價是重要的。一方面，此等資產容易被忽略，
所以宜小心地識別所有資產；另一方面，其可用以降低可用性問題。
輸出
本步驟之最後輸出為一資產與其關於揭露 (維持機密性 )、修訂 (維持完整性、可鑑
別性、不可否認性及可歸責性 )、不可用性與破壞 (維持可用性和可靠度 )、置換成
本之價值清單。
B.3 衝擊評鑑
資訊安全事故可衝擊多個資產或某個資產之部分。衝擊與事故之成功程度有關。
就後果而言，資產價值和來自事故之衝擊有很重大的不同。衝擊被視為若非有立
即 (運作面 )效應就是有未來 (營運面 )效應，包括財務及市場後果。
立即 (運作面 )衝擊非直接則間接。
直接
(a) 喪失 (部分 )資產之財務置換價值。
(b) 新資產或備份之取得、參數設定及安裝等之成本。
(c) 因事故而中止運作至由資產所提供服務回復之成本。
(d) 導致資訊安全危害之衝擊。
間接
(a) 機會成本 (更換或修理資產所需之財務資源，其本可用於別處 )。
(b) 運作中斷之成本。
(c) 經由安全破壞所取得之資訊的潛在濫用。
(d) 違反法定或法規之義務。
(e) 違反倫理道德規範。
如此，首次評鑑 (無任何類型之控制措施 )將估計出非常接近於所考量之資產 (或數
項資產合併 )的價值之衝擊。對於任何此 (此等 )資產之下一迭代，因所實作控制措
施之出現和其有效性，該衝擊將會不同 (通常更低 )。
CNS 27005, X 6072 －40－
附錄 C
(參考 )
典型威脅之範例
下表列出典型威脅之範例。此清單可用於威脅評鑑過程。威脅可為蓄意、意外或環境 (自

然 )的，可導致如基礎服務之損害或喪失。下列清單指出與 D(蓄意 )、 A(意外 )、 E(環境 )
相關之各威脅型式。D 用於所有針對資訊資產之蓄意行動，A 用於所有意外損害資訊資
產之人為行動，E 用於所有非基於人為行動之事故。威脅之群組並無優先次序。
型式威脅來源
火 A、D、E
水損 A、D、E
污染 A、D、E
實體損害
重大意外 A、D、E
設備或媒介之破壞 A、D、E
灰塵、腐蝕、結凍 A、D、E
氣候現象 E
地震現象 E
自然事件火山現象 E
氣象現象 E
水災 E
空調或水供應系統故障 A、D
漏失基礎服務電力供應喪失 A、D、E
電信設備故障 A、D
電磁輻射 A、D、E
輻射擾動熱輻射 A、D、E
電磁脈衝 A、D、E
破解干擾訊號之攔截 D
遠端刺探 D
竊聽 D
媒介或文件之失竊 D
設備之失竊 D
由回收或廢棄媒介之資料擷取 D
資訊之危害
揭露 A、D
來自不受信賴來源之資料 A、D
竄改硬體 D
竄改軟體 A、D
位置偵測 D
－41－ CNS 27005, X 6072
型式威脅來源
設備故障 A
設備機能異常 A
技術上之失效資訊系統飽和 A、D
軟體機能異常 A
資訊系統可維護性之破壞 A、D
未經授權的使用設備 D
軟體之欺詐複製 D
未經授權之行動使用偽造或複製之軟體 A、D
資料毀損 D
非法處理資料 D
使用錯誤 A
濫用權限 A、D
功能之危害偽造權限 D
行動之否認 D
人員可用性之破壞 A、D、E
宜特別注意人為威脅來源。特別於下表逐項列出。
威脅來源動機可能的後果
挑戰
駭侵
自我
駭客 (hacker)、社交工程
反抗
劊客 (cracker) 系統入侵、闖入
地位
未經授權之系統存取
金錢
電腦犯罪 (例：網路跟蹤 )
資料之破壞欺詐動作 (例：重演、假冒、攔
非法之資訊揭露截)
電腦犯罪
金錢之取得資訊賄賂
未經授權之資料更改網路詐騙
系統入侵
勒索
炸彈 /恐怖行動
破壞
資訊戰爭
利用
恐怖份子系統攻擊 (例：分散式阻絕 )
報復
系統滲透
政治獲益
系統竄改
媒體報導
防禦優勢
政治優勢
經濟剝削
工業間諜活動 (情報、公資訊竊取
競爭優勢
司、外國政府、其它政府個人隱私之入侵
經濟間諜活動
利益) 社交工程
系統滲透
未經授權之系統存取 (存取機
密、私有及 /或技術相關資訊 )
CNS 27005, X 6072 －42－
威脅來源動機可能的後果
攻擊員工
勒索
瀏覽私有資訊
電腦濫用
好奇
欺騙及盜竊
自我
資訊賄賂
情報
內部人員 ( 訓練不良、不高輸入偽造與已毀損資料
金錢之取得
興、惡意、疏忽、不誠實、攔截
或已解雇之員工) 報復
惡意碼 (例：病毒、邏輯炸彈、
非故意之錯誤和疏忽木馬)
(例：資料輸入錯誤、
兜售個人資訊
程式錯誤)
系統錯誤
系統入侵
系統破壞
未經授權之系統存取
－43－ CNS 27005, X 6072
附錄 D
(參考 )
脆弱性及脆弱性評鑑之方法
D.1 脆弱性之範例
下表列出在不同安全領域中脆弱性之範例，包括可能利用此等脆弱性之威脅範
例。此清單可在威脅及脆弱性評鑑中提供協助，決定相關之事故情境。此處特別
強調某些情況中，其他威脅亦可能利用此等脆弱性。
型式脆弱性之範例威脅之範例
儲存媒介之維護不足 /錯誤安裝危害資訊系統可維護性
缺乏定期更換方案設備或媒介破壞
對濕度、灰塵、髒污之耐受度灰塵、腐蝕、結凍
對電磁輻射之敏感性電磁輻射
缺乏有效的組態變更控制使用錯誤
硬體
對電壓變化之耐受度電力供應喪失
對溫度變化之耐受度氣象現象
未受保護之儲存體媒介或文件失竊
汰除時疏於看顧媒介或文件失竊
未受控制之複製媒介或文件失竊
軟體無或不充分之軟體測試濫用權限
軟體上眾所週知之缺點濫用權限
離開工作站時未〝登出〞濫用權限
汰除或再使用未適當抹除之儲存媒介濫用權限
欠缺稽核存底濫用權限
存取權限配置錯誤濫用權限
廣泛散佈之軟體資料毀損
將應用程式應用於時間錯誤之資料資料毀損
複雜之使用者介面使用錯誤
欠缺文件使用錯誤
不正確之參數設定使用錯誤
不正確之日期使用錯誤
欠缺識別及鑑別機制，如使用者鑑別偽造權限
未受保護之通行碼偽造權限
不良之通行碼管理偽造權限
啟動非必要服務非法處理資料
不成熟或新軟體軟體功能失常
對發展者不清楚或不完整之規格軟體功能失常
欠缺有效之變更控制軟體功能失常
未受控制之下載及使用軟體軟體竄改
欠缺備份複本軟體竄改
欠缺對建物、門窗之實體保護媒介或文件失竊
CNS 27005, X 6072 －44－
未能產生管理報告未經授權使用設備
欠缺發送或接收訊息之證明行動之否認
未受保護之傳輸線竊聽
未受保護之敏感性訊務竊聽
不良之電纜接合電信設備失效
單點故障電信設備失效
網路
欠缺發送者或接收者之識別及授權偽造權限
不安全之網路架構遠端刺探
以明文傳送通行碼遠端刺探
不適當之網路管理 (選路之恢復力 ) 資訊系統飽和
未受保護之公用網路連接未經授權使用設備
人員之缺乏危害人員可用性
不適當之招募程序設備或媒介破壞
安全訓練不足使用錯誤
不正確使用硬體及軟體使用錯誤
人員
欠缺安全認知使用錯誤
欠缺監視機制非法處理資料
外部或清潔人員未受監督之工作媒介或文件失竊
欠缺正確使用電信媒介及傳訊之政策未經授權使用設備
對建築物及房間不適當或草率之實體存
設備或媒介破壞
取控制
場域位於易有水災之地區水災
不穩定之電網電力供應漏失
欠缺建築物、門窗之實體保護設備失竊
組織欠缺使用者註冊與註銷之正式程序濫用權限
欠缺存取權限審查 (監督 )之正式程序濫用權限
客戶及 /或第三方契約中關於安全之條款
濫用權限
欠缺或不足
欠缺監控資訊處理設施之正式程序濫用權限
欠缺定期稽核 (監視 ) 濫用權限
欠缺風險識別及評鑑程序濫用權限
欠缺記錄於管理員及操作員日誌之錯誤
濫用權限
報告
不適當之服務維護回應危害資訊系統可維護性
欠缺或不充分之服務等級協議危害資訊系統可維護性
欠缺變更控制程序危害資訊系統可維護性
欠缺 ISMS 文件控制之正式程序資料毀損
欠缺 ISMS 紀錄監督之正式程序資料毀損
欠缺公開資訊授權之正式過程資料來自不可信賴來源
欠缺資訊安全責任之適當配置行動之否認
欠缺持續計畫設備故障
欠缺電子郵件使用政策使用錯誤
－45－ CNS 27005, X 6072
欠缺引進軟體至運作中系統之程序使用錯誤
欠缺管理員及操作員日誌之紀錄使用錯誤
欠缺機密資訊處理之程序使用錯誤
工作說明中欠缺資訊安全責任使用錯誤
員工契約中關於資訊安全之條款欠缺或
非法處理資料
不足
欠缺已定義之資訊安全事故懲處過程設備失竊
欠缺行動電腦使用之正式政策設備失竊
欠缺作業場所外資產之控制設備失竊
欠缺或不足之〝桌面淨空及螢幕淨空〞政策媒介或文件失竊
欠缺資訊處理設施授權媒介或文件失竊
未建立安全危害監視機制媒介或文件失竊
欠缺定期管理階層審查未經授權使用設備
欠缺通報安全弱點之程序未經授權使用設備
欠缺遵循智慧財產權條款之程序使用偽造或複製之軟體
D.2 技術脆弱性之評鑑方法
主動方法諸如資訊系統測試，取決於資通訊技術 ( I nfo r matio n and Co mmunicatio ns
T echno lo gy, I CT ) 系統之關鍵性與可用資源 ( 例：配置資金、可用技術、具有實施
測試專門技術之人員 )，能用以識別脆弱性。測試方法包括如下。
－自動化脆弱性掃描工具。
－安全性測試及評估。
－滲透測試。
－程式碼審查。
自動化脆弱性掃描工具係用於掃描一群主機或網路之已知脆弱服務 ( 例：系統允許
匿名檔案傳輸協定 ( file tr a nsfe r p r o to c o l, FT P ) 、電子郵件轉送 ) 。然而，宜注意自
動化掃描工具所識別之某些潛在脆弱性在系統環境全景中可能不代表真實脆弱
性。例如，某些掃描工具評估潛在脆弱性時未考慮場域之環境及要求。有些自動
化掃描軟體所標明之脆弱性可能實際上對某特殊場域並非脆弱，係因環境要求而
可如此設定組態。因此，測試方法可能產生誤判為正 (false p o sitive)。
安全性測試及評估 (security testing and evaluatio n, ST E) 係在風險評鑑過程中能用
以識別 I CT 系統脆弱性之另一技術。其包括測試計畫 ( 例：測試腳本、測試程序及
預期測試結果 ) 之擬訂及執行。系統安全測試之目的在測試 I CT 系統安全控制措施
應用於運作環境中之有效性。其目標係確保所應用之控制措施滿足核准之軟硬體
安全規格並實作組織安全政策或滿足產業標準。
滲透測試能用以補充安全控制措施之審查並確保 I CT 系統之不同層面均為安全。
用於風險評鑑過程時，滲透測試能用以評定 I CT 系統抵擋蓄意規避系統安全意圖
之能力。其目標是從威脅來源之觀點測試 I CT 系統，並識別 I CT 系統保護方案之
潛在失效處。
CNS 27005, X 6072 －46－
程式碼審查係最徹底 (然亦最昂貴 )之脆弱性評鑑方法。
此等型式之安全測試結果將有助於識別系統之脆弱性。
重要的是要注意除非脆弱性遭成功利用，滲透工具及技術可能給出錯誤結果。如
欲利用特殊脆弱性，需要知道在受測系統上所安裝之確切系統 /應用系統 /修補程
式。若測試時不知該等資料，則可能無法成功利用特殊脆弱性 (例：遠端反向使用
外殼程式 )，不過，仍可能使受測過程或系統當機或重開。在此情況，受測物件亦
宜視為脆弱。
方法可包括下列活動。
－與人員及使用者晤談。
－問卷調查。
－實體檢驗。
－文件分析。
－47－ CNS 27005, X 6072
附錄 E
(參考 )
資訊安全風險評鑑作法
E.1 高階資訊安全風險評鑑
高階評鑑允許定義行動之優先等級及其時間表。因各種理由 (例：預算 )可能無法
同時實作所有控制措施，而僅有最關鍵之風險能通過風險處理過程解決。同樣，
可預料若僅實作一或二年後即開始詳細之風險管理可能為時過早。為達此目標，
高階評鑑可由後果之高階評鑑開始，而非以威脅、脆弱性、資產及後果之系統化
分析開始。
另一以高階評鑑開始之理由為與其他與變更管理 (或營運持續 )有關的計畫同步。
舉例而言，若某系統或應用程式計畫於最近委外，雖可能仍值得為定義委外契約
而執行風險評鑑，然無法完全保護其安全。
高階評鑑迭代之特性可包括下列。
－考量技術層面為獨立於營運議題之外，高階風險評鑑可從更整體視野闡明組
織及其資訊系統。藉此，全景分析更集中於營運及作業環境而非技術元件之上。
－高階風險評鑑可闡明更限定之威脅清單，及依已定義領域而群組之脆弱性或，
為加速此過程，其可專注於風險或攻擊情境而非風險或攻擊元件之上。
－高階風險評鑑中呈現之風險通常為較一般之風險領域而非特定之已識別風
險。由於情境或威脅係依領域群組，風險處理提議該領域中之控制措施清單。
風險處理活動於是首先嘗試提議及選擇橫跨整個系統均有效之共同控制措施。
－然而，因高階風險評鑑甚少闡明技術細節，其更適合提供組織性及非技術性之
控制措施與技術性控制措施之管理層面，或諸如備份及防毒等具關鍵性與共同
技術之保護措施。
高階風險評鑑之優點如下。
－併入初始簡單作法可能獲得風險評鑑計畫之接受。
－可能構築出組織資訊安全計畫之策略圖，亦即，其可成為良好的規劃輔助。
－資源與金錢能應用於最有利之處，可能在最需要保護之處的系統將首先被闡明。
由於初始風險分析為高階，潛在地較不精確，唯一潛在缺點為可能未將某些營運過
程或系統識別成需第二次詳細之風險評鑑。若組織及其資訊與系統之所有層面均有
適切資訊，包括從評估資訊安全事故取得之資訊，則能避免之。
高階風險評鑑從組織營運觀點考量資訊資產之營運價值與風險。在第一決策點 (參
照圖 2)，數個因素協助決定是否高階評鑑足以處理風險，此等因素可包括下列。
經由使用各種資訊資產所要達成之營運目標。
－組織營運依賴各資訊資產之程度，亦即，組織視為對其生存或有效實施營運為
關鍵的功能，是否係依賴於各資產，或是在該資產上儲存及處理資訊之機密
性、完整性、可用性、不可否認性、可歸責性、鑑別性及可靠度。
CNS 27005, X 6072 －48－
－於各資訊資產上投資之程度，從發展、維護或置換該資產的角度考量。
－組織直接指定價值之資訊資產。
評鑑過此等因素後，決策變得較為容易。若某資產之目標對組織營運之進行極為重
要，或若資產為高風險，則宜針對該特定資訊資產 (或其部分 )進行第二次迭代詳細
之風險評鑑。
適用之通用規則為：若欠缺資訊安全能對某組織、其營運過程或其資產導致重大不
利後果，則有以更詳細等級之第二次迭代風險評鑑識別潛在風險之必要。
E.2 詳細之資訊安全風險評鑑
詳細之資訊安全風險評鑑過程包含深入的資產識別與估價、威脅對該等資產之評
鑑、及脆弱性評鑑。此等活動之結果再用以評鑑風險並識別風險處理。
詳細之步驟通常需要相當多的時間、工夫 (effo rt) 及專門技術，並因而最適合處在
高風險之資訊系統。
詳細之資訊安全風險評鑑最後階段係評定整體風險，為本附錄之重點。
後果可以許多方法評鑑，包括使用定量 (例：金額 )與定性之方法 (其可為基於使用
諸如中等或嚴重等形容詞者 )，或二者之結合。欲評鑑威脅發生之可能性，宜建立
資產於其上具價值或需被保護之時框。特定威脅發生之可能性受下列影響。
－資產之吸引力或可能衝擊，適用於考量蓄意之人為威脅時。
－將利用資產脆弱性轉換成獎賞之容易程度，適用於考量蓄意之人為威脅時。
－威脅者之技術能力，適用於蓄意之人為威脅。
－脆弱性被利用之耐受度，技術性與非技術性脆弱性二者皆適用。
許多方法使用表格，並結合主觀及經驗上之量測。組織使用組織覺得舒適、組織對
其有信心且會輸出可重覆結果的方法是重要的。以下為一些表格式技術之範例。
更多可作為詳細之資訊安全風險評鑑的技術指引，參照 IEC 31010。
下列範例使用數字描述定性評鑑。此等方法之使用者宜認知到使用由定性風險評鑑
方法產生之定性結果數字履行更進一步之數學運算可能是無效的。
E.2 . 1 例 1 ：具預先定義值之矩陣
於本型式之風險評鑑方法中，實際或所提議之實體資產係依置換或重建成本 (即
定量量測 )估價。此等成本接著轉換成如用於資訊之相同定性尺度 (參照下述 )。
實際或所提議之軟體資產以所識別的購買或重建成本依實體資產之相同方法估
價，再轉換成如用於資訊之相同定性尺度。此外，若發現任何應用系統軟體有
其自身對機密性或完整性之內在要求 ( 例：若源碼本身為商業上敏感的 )，依用於
資訊之相同方法估價。
資訊之價值由與所選定之營運管理階層 (〝資料擁有者〞) 晤談而取獲得，其具有
說明資料、決定實際正使用，或將被儲存、處理或存取之資料的價值及敏感性
之權威。依據不利之營運後果可合理預期發生的最壞情況之情境，晤談可促進
對資訊之價值與敏感性的評鑑。此不利之營運後果係由未經授權之揭露、未經
授權之修改、對變動時間期間之不可用性，以及毀損所導致。
估價藉由使用資訊估價指引而完成，涵蓋如下議題。
－49－ CNS 27005, X 6072
－個人生命財產安全。
－個人資訊及隱私。
－法令及法規義務。
－執法。
－商業及經濟利益。
－財務損失 /活動中斷。
－公共秩序。
－營運政策及運作。
－商譽損失。
－與客戶之契約或協議。
該指引有助於數值尺度上之值的識別，諸如下例之矩陣所顯示的 0 至 4 尺度，
可在可能與合邏輯時能識別定量的值，以及在不可能有定量值時識別定性的
值，例：對人類生命的危害。
下一主要活動係完成對每一威脅型式、對每一威脅型式相關之資產群組的配對
問卷，以便能評鑑威脅等級 (發生之可能性 )與脆弱性等級 (被威脅利用而導致不
利後果之容易程度 )。每一問題答案產生一個分數。此等分數經由知識庫累積並
與各範圍比較。如此可同時識別比如說高至低階威脅等級與脆弱性等級，如下
列範例矩陣所示 0 至 4 尺度，區分相關的後果型式。宜從與合適的技術性、
人事及庶務人員晤談、實體地點視察，以及文件審查收集可完成問卷之資訊。
相關於各式後果之資產價值，以及威脅及脆弱性等級，均配對於矩陣 (諸如以下
所顯示者 )，以識別風險之相關量測的各組合，尺度由 0 至 8。矩陣內以結構化
方式放置該尺度值。如下例。
表 E.1 ( a )
發生可能
低中高
性－威脅
易被利用低中高低中高低中高
0 0 1 2 1 2 3 2 3 4
1 1 2 3 2 3 4 3 4 5
資產
2 2 3 4 3 4 5 4 5 6
價值
3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7 8
對各資產，考量相關之脆弱性及其對應之威脅。若有一脆弱性無對應之威脅，
或一威脅無對應之脆弱性，則目前無風險 ( 但若此情況改變，則宜注意 )。現以資
產值識別矩陣中適當之列，且以威脅發生之可能性及被利用之容易程度識別適
當之欄。例：若資產值為 3、威脅為〝高〞，則風險之量測為 5 。
、脆弱性為〝低〞
例：假設資產值為 2、威脅等級為〝低〞、被利用之容易程度為〝高〞，則風險之
CNS 27005, X 6072 －50－
量測為 4。依據威脅可能性種類數、被利用之容易程度的種類數及資產估價種類
數而定之矩陣大小，可依組織之需要調整。額外之欄及列將須額外之風險量測。
本作法之價值在於排序待因應之風險。
表 E.1(b)顯示之類似矩陣，係於考量事故情境之可能性後產生，其係依所評估
之營運衝擊對映列出。事故情境之可能性係依威脅利用脆弱性之可能性列出。
此表列出此可能性與相關於事故情境之營運衝擊的對映。產生之風險以可依風
險接受準則評估之 0 至 8 尺度量測。此風險尺度亦可對映至簡單整體風險分級，
例如：
－低風險： 0 -2 。
－中風險： 3 -5 。
－高風險： 6 -8 。
表 E.1 ( b)
事故情境非常低低中高非常高

之可能性 (非常不可能) (不可能) (有可能) (可能) (經常)
非常低 0 1 2 3 4
低 1 2 3 4 5
營運衝擊中 2 3 4 5 6
高 3 4 5 6 7
非常高 4 5 6 7 8
E.2 . 2 例 2 ：依風險之量測排序威脅
顯示於諸如表 E.2 之矩陣或表格可用以將後果 ( 資產價值 ) 之因素與威脅發生之
可能性 (將脆弱性層面納入考量 )相關聯。第 1 個步驟為依預先定義之尺度，例
如： 1 至 5，評估各受威脅資產 ( 表內的〝 b 〞欄 ) 之後果 ( 資產價值 )。第 2 個步驟
為依預先定義之尺度，例如： 1 至 5 ，評估各威脅 ( 表內的〝 c〞欄 ) 之威脅發生
可能性。第 3 個步驟係藉由相乘 (b x c) 計算風險之量測。最後可依其風險之相關
量測順序排序威脅。注意於此例中，1 被視為最低之後果及最低之發生可能性。
－51－ CNS 27005, X 6072
表 E.2
後果(資產) 威脅發生
威脅描述詞風險量測威脅排序
值可能性
(a) (d) (e)
(b) (c)
威脅 A 5 2 10 2
威脅 B 2 4 8 3
威脅 C 3 5 15 1
威脅 D 1 3 3 5
威脅 E 4 1 4 4
威脅 F 2 4 8 3
如上所顯示，此為允許具不同後果及發生可能性之不同威脅相互比較並依優先
序的順序排列之程序，如此處所示。於某些實例中，有必要將金錢價值與此處
所使用之實驗尺度相關聯。
E.2 . 3 例 3 ：評定風險之可能性及可能後果之值
於此例中，重點在於資訊安全事故之後果 ( 亦即：事故情境 )，以及決定哪些系統
宜賦予優先序。此係由評定每一資產及風險之二值完成，其組合將決定每一資
產之分數。當系統之所有資產分數加總後，即決定該系統之風險的量測。
首先，各資產被指定一值。此值與若資產受威脅時而引發之潛在不利後果相關。
對資產適用之各威脅，此資產值被指定至資產。
其次，評定可能性值。此值由威脅發生之可能性及脆弱性被利用之容易程度的
組合所評定，參照表 E.3 表示事故情境之可能性。
表 E.3
威脅可能性低中高
脆弱性等級低中高低中高低中高
事故情境之可
0 1 2 1 2 3 2 3 4
能性值
接著，藉由找出表 E.4 中資產值與可能性值交點以指定資產 /威脅之分數。合計資
產 /威脅之分數以產生資產之總分數。此分數可用以區分形成系統之部分的資產。
CNS 27005, X 6072 －52－
表 E.4
資產值 0 1 2 3 4
可能性值
0 0 1 2 3 4
1 1 2 3 4 5
2 2 3 4 5 6
3 3 4 5 6 7
4 4 5 6 7 8
最後步驟係就系統之各資產加總所有的資產總分，產生系統分數。此可用以區分
系統並決定哪個系統之保護宜賦予優先序。
下列範例中所有值均為隨機選擇。
假設系統 S 有 3 項資產 A1、A2 及 A3。亦假設有兩個威脅 T 1 及 T2 適用於系統 S。
使 A1 之值為 3，同樣地使 A2 之資產值為 2，而 A3 之資產值為 4。
若對 A1 及 T1 而言，威脅可能性為低，脆弱性被利用之容易程度為中，則可能性
值為 1(參照表 E.3)。
資產 /威脅分數 A1/T1 可由表 E.4 中資產值 3 及可能性值 1 的交點得出，亦即 4。
同樣的，對 A1/T2，使威脅可能性為中而脆弱性被利用之容易程度為高，產生 A1/T2
之分數為 6。
目前資產總分數 A1T 可計算得出，即 10。總資產分數由每一資產及適用之威脅
計算出。總系統分數由計算 A1T +A2T+A3T 加總得出 ST。
現在不同的系統可作比較以建立優先序，而一系統中之不同資產亦然。
上例顯示就資訊系統而論，不管如何，相似作法能套用於營運過程。
－53－ CNS 27005, X 6072
附錄 F
(參考 )
風險修改之限制條件
於考量風險修改限制條件時宜考量下列限制條件。
時間之限制條件：
可有許多型式之時間限制條件。例：宜在組織管理者可接受之時間期間內實作控制措
施。另一型式之時間限制條件係於資訊或系統的生命期中是否可實作控制措施。第 3
種型式之時間限制條件可能係組織管理者決定之時間期間為將暴露於特定風險之可
接受期間。
財務之限制條件：
控制措施之實作或維護不宜比其設計欲保護之風險的價值更昂貴，除非遵循性係必備
(例：法令規定 )。經由使用控制措施，宜盡所有努力以不超出所指定之預算並達成財
務優勢。然而，於某些情況中，可能因預算之限制條件而不可能達成所欲之安全及風
險接受等級。因此，解決此情況成為組織管理者之決策。
若預算降低實作之控制措施的數目或品質時宜非常注意，因為此可導致比所規劃風險
更大之隱含保留之的風險。控制措施之既定預算宜相當謹慎地僅用作限制因素之一。
技術之限制條件：
像程式或硬體相容性等技術問題，若在選擇控制措施期間納入考量，則可輕易地避免。
此外，對既有過程或系統之控制措施的追溯實作 (retro sp ective imp lementatio n) 通常會
受技術限制條件所阻礙。此等困難可能將控制措施之平衡移向安全之程序性及實體層
面。修訂資訊安全計畫以達成安全目標可能是必要的。此可能發生於當控制措施無法
符合降低風險而不降低生產力之預期結果時。
運作之限制條件：
諸如需 2 4 x7 維運而仍要履行備份之運作限制條件，除非從一開始就納入設計，否則
可能產生複雜及昂貴之控制措施實作。
文化之限制條件：
對控制措施之選擇的文化限制條件可能是特定於國家、產業、組織或甚至組織內之部
門。並非所有控制措施均可適用於所有國家。例：實作背包搜查在某些歐洲國家也許
可行，但在某些中東國家則否。文化層面不可忽略，因為許多控制措施依賴員工之主
動支援。若員工不瞭解控制措施之需要或未發現其於文化上可接受，則控制措施隨時
間經過將變成無效。
倫理道德之限制條件：
倫理道德之限制條件在控制措施上可有重大的涵義，因為倫理道德之變化植基於社會
規範。此在某些國家可能阻止諸如電子郵件掃描之控制措施的實作。資訊隱私亦可能
依據地區或政府之倫理道德標準而變化。某些產業可能比其他產業更顧慮此點，例：
政府及保健。
環境之限制條件：
CNS 27005, X 6072 －54－
環境因素可能影響控制措施之選擇，諸如空間可用性、極端的氣候狀況、周圍的自然
及都會地理。例：防震在有些國家可能為必要，但在其他國家則不需要。
法律之限制條件：
法律因素，諸如個人資料保護法或刑法對資訊處理之條款，可能影響控制措施之選擇。
法令及法規之遵循性能強制實施某些型式之控制措施，包括資料保護及財務稽核；其亦
可能禁止某些控制措施之使用，例：加密。其他法律及法規，諸如勞動關係法、消防單
位、衛生及生命財產安全，以及經濟部門所立之法規等，亦能影響控制措施之選擇。
容易使用：
不良之人類－技術介面將導致人為錯誤並可能使控制措施無效。宜選擇控制措施以提
供優化之易用性，同時對營運之殘餘風險達成可接受等級。難以使用之控制措施將對
其有效性產生影響，因為使用者可能力圖規避或忽略之。組織內複雜之存取控制可能
鼓勵使用者尋找替代的、未經授權的存取方式。
人員之限制條件：
宜考量實作控制措施之專門技能組合的可用性及薪資成本，以及於不利的運作條件下
於不同地點間調動人員的能力。實作所規劃控制措施之專門知識或許非備妥可用，或
者專門知識對組織而言可能過於昂貴。其他層面，諸如某些員工有差別對待其他未經
安全篩選之員工的傾向，可能對安全政策及實務有重大的涵義。此外，對為工作聘雇
適當人員以及找到適當人員的需要，可能導致安全篩選完成前就雇用。必須於聘雇前
完成安全篩選之要求係正常且最安全之實務。
整合新的與既有的控制措施之限制條件：
新控制措施於既有基礎建設中之整合，以及控制措施間之相互耦合性經常被忽視。新
控制措施若與既有控制措施不調和或不相容，可能不易實作。例：使用生物量測符記
(b io metric to ken) 於實體存取控制之計畫，可能引起與既有之個人識別碼鍵盤 (P I N-p a d)
式存取控制系統衝突。由既有控制措施變更至所規劃控制措施的成本，宜包括將新增
至風險處理整體成本之元件。由於既有控制措施之干擾，或許不可能實作所選擇之控
制措施。
－55－ CNS 27005, X 6072
名詞對照
−A−
acceptance 驗收；接受
acco untab ility 可歸責性
ap p licatio n system 應用系統
approach 導向；作法
assessment 評鑑
asset 資產
aud it 稽核
availab ility 可用性
avoidance 避免
−B −
b usiness 營運
−C−
co nfid entiality 機密性
consequence 後果
context 全景
control 控制措施
−E −
estimatio n 估計
evaluation 評估
event 事件
−I −
id entificatio n 識別
impact 衝擊
imp lementatio n 實作
incid ent 事故
integr ity 完整性
info rmatio n security management system, ISMS 資訊安全管理系統
−L−
level o f risk 風險等級
like liho o d 可能性
lo catio n 位置
−M−
med ia 媒介；媒體；介質
−N−
no n-r ep ud iatio n 不可否認性
−O−
CNS 27005, X 6072 －56－
obj ective 目標
o p e r a tio n 作業；操作；運作
o utso ur c e 委外
−P −
p o licy 政策
premise 場所
p r o c e d ur e 程序
p r o c e ss 過程
−R−
red uctio n 降低
residual risk 殘餘風險
retentio n 保留
risk 風險
risk acceptance 風險接受
risk analysis 風險分析
r isk assessment 風險評鑑
r isk co mmunicatio n and co nsultatio n 風險溝通及諮詢
risk criteria 風險準則
risk estimatio n 風險估計
risk id entificatio n 風險識別
risk evaluation 風險評估
r isk management 風險管理
r isk mo d ific a tio n 風險修改
risk reduction 風險降低
risk retentio n 風險保留
r isk shar ing 風險分擔
r isk tr ansfer 風險轉移
risk treatment 風險處理
−S−
site 場域
stakeholder 利害相關者
−T −
transfer 轉移
threat 威脅
−U−
utilities 公用設施
−V−
valuatio n 估價
vulnerab ility 脆弱性
－57－ CNS 27005, X 6072
−W −
waste d isp o sa l 廢棄物處理
water sup p ly 水力供應
weakness 弱點
−Z−
z o ne 管制區
CNS 27005, X 6072 －58－
參考資料
[ 1 ] CNS 1 4 8 8 9 風險管理－詞彙－標準使用指導綱要
[ 2 ] CNS 1 4 8 3 7 資訊技術－軟體生命週期過程
[ 3 ] CNS 2 7 0 0 2 資訊技術－安全技術－資訊安全管理
[ 4 ] I SO 3 1 0 0 0 :2 0 0 9 Risk management − P r inciples and guidelines
[ 5 ] NI ST Sp e c ia l P ub lic a tio n 8 0 0 -1 2 , An I ntr o d uc tio n to Co mp ute r Se c ur ity: T he NI ST
Hand b o o k
[ 6 ] NI ST Sp e c ia l P ub lic a tio n 8 0 0 -3 0 , Risk M a nagement Guid e fo r I nfo r ma tio n
T echno lo gy Systems, Reco mmend atio ns o f the Natio nal Institute o f Stand ard s and
T echno lo gy
相對應國際標準
I SO/I E C 2 7 0 0 5 :2 0 11 I nfo r ma tio n te c hno lo gy − Security techniques − Info rmation
Secur ity r isk management

CNS 27005 2013 資訊技術－安全技術－資訊安全風險管理

Uploaded by

Copyright:

Available Formats

CNS 27005 2013 資訊技術－安全技術－資訊安全風險管理

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

CNS 27005 2013 資訊技術－安全技術－資訊安全風險管理

Uploaded by

Copyright:

Available Formats

I CS 35.

CNS 資訊安全風險管理類號 X6072

Information technology − Security techniques − Information security risk

例：筆記型電腦、個人數位助理 (p erso nal d igital assistant, P DA)。

下表列出典型威脅之範例。此清單可用於威脅評鑑過程。威脅可為蓄意、意外或環境 (自

事故情境非常低低中高非常高

You might also like

CNS 27005 2013 資訊技術－安全技術－資訊安全風險管理

Uploaded by

Copyright:

Available Formats

CNS 27005 2013 資訊技術－安全技術－資訊安全風險管理

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

CNS 27005 2013 資訊技術－安全技術－資訊安全風險管理

Uploaded by

Copyright:

Available Formats

I CS 35.

CNS 資訊安全風險管理 類號 X6072

Information technology − Security techniques − Information security risk

例 ： 筆 記 型 電 腦 、 個 人 數 位 助 理 (p erso nal d igital assistant, P DA)。

下 表 列 出 典 型 威 脅 之 範 例。此 清 單 可 用 於 威 脅 評 鑑 過 程。威 脅 可 為 蓄 意、意 外 或 環 境 (自

事故情境 非常低 低 中 高 非常高

You might also like

CNS 資訊安全風險管理類號 X6072

例：筆記型電腦、個人數位助理 (p erso nal d igital assistant, P DA)。

下表列出典型威脅之範例。此清單可用於威脅評鑑過程。威脅可為蓄意、意外或環境 (自

事故情境非常低低中高非常高