iPAS 資訊安全工程師 考試重點

風險是指目標的不確定性效應，特別是指可能對組織造成負面影響的事件或情況發生的可能性及其後果。
資訊安全風險通常由以下要素構成：

• 資產 (Asset)：對組織有價值的任何事物。
• 威脅 (Threat)：可能損害資產的潛在原因（人為或自然）。
• 弱點 / 脆弱性 (Vulnerability)：資產或控制措施中可能被威脅利用的缺陷。
• 衝擊 (Impact)：風險事件發生時對組織造成的損害程度。

風險 = 威脅 x 弱點 x 衝擊 (概念公式，實務計算更複雜)
弱點是指系統、程序、設計、裝置或內部控制裡的一個瑕疵或缺點，若被威脅來源利用，會破壞安全性或違背系統安全政策。 (資料來源：108初級-管理概論 Q4, 109初級-管理概論 Q22, 113管理 Q23)

風險評鑑是一個系統化的過程，用於識別、分析和評估風險。其主要活動包括：

1. 風險識別 (Risk Identification)：發掘可能發生的風險事件及其原因和方式。
2. 風險分析 (Risk Analysis)：理解風險的性質並決定風險等級（可能性與衝擊）。
3. 風險評估 (Risk Evaluation)：將風險分析結果與風險準則進行比較，以決定風險是否可接受或需要處理。

風險處理 (Risk Treatment) 是風險評鑑之後的步驟，不屬於風險評鑑過程本身。 (資料來源：111初級-管理概論 Q4, 110初級-管理概論 Q23, 113管理 Q22)

風險分析旨在了解風險發生的可能性與影響程度，主要有兩種方法：

• 定性分析 (Qualitative Analysis)：主觀判斷風險的等級，常用描述性詞語（如：高、中、低；極小、較小、中等、較大、巨大）。不以具體金錢數額計算損失。
• 定量分析 (Quantitative Analysis)：使用數值化方法計算風險的影響，通常以貨幣金額表示預期損失。

均線 (Moving Average, MA) 是技術分析指標，不屬於定量風險分析的計算因子。 (資料來源：108初級-管理概論 Q16, 110初級-管理概論 Q25, 113管理 Q26)

常用的定量風險分析公式：

• 單一損失預期值 (SLE, Single Loss Expectancy) = 資產價值 (AV) × 暴露因子 (EF)
• 年度損失預期值 (ALE, Annualized Loss Expectancy) = 單一損失預期值 (SLE) × 年度發生率 (ARO)

其中：

• AV (Asset Value): 資產的價值。
• EF (Exposure Factor): 風險事件發生時資產損失的百分比。
• ARO (Annualized Rate of Occurrence): 風險事件在一年內發生的頻率。

例如：20年才發生一次的地震，ARO = 1/20 = 0.05。若資產價值50萬，EF=25%，則 SLE = 50萬 * 0.25 = 12.5萬，ALE = 12.5萬 * 0.05 = 6250元。 (資料來源：113管理 Q26)

風險評估是將風險分析的結果與預先建立的風險準則（例如可接受風險等級、風險胃納）進行比較，以判斷風險的顯著性並決定是否需要處理的過程。
其目的是決定可接受風險的程度，以及對無法接受的風險確定處理的優先順序。 (資料來源：108初級-管理概論 Q18, 110初級-管理概論 Q25, 113管理 Q25)

風險處理是指針對已評估的風險，選擇並實施適當措施的過程。主要有四種策略：

• 風險規避 (Risk Avoidance)：完全停止可能引發風險的活動。例如：為避免淹水將機房搬到高樓層。
• 風險降低 / 風險減輕 (Risk Reduction / Risk Mitigation)：採取控制措施來降低風險發生的可能性或衝擊。例如：安裝防火牆、資料備份。
• 風險轉移 / 風險分擔 (Risk Transfer / Risk Sharing)：將部分或全部風險轉移給第三方承擔。例如：購買保險、委外服務。
• 風險接受 / 風險保留 (Risk Acceptance / Risk Retention)：接受風險存在，不採取額外措施。通常用於低風險或處理成本過高的情況。例如：資安事件損失在組織可容忍範圍內。

風險忽略 (Risk Neglect) 或風險調整 (Risk Adjust) 並非標準的風險處理選項。風險處理策略並非必然相互排斥，可同時選用多種方式。 (資料來源：108初級-管理概論 Q4, 108初級-管理概論 Q17, 108初級-管理概論 Q20, 109初級-管理概論 Q15, 110初級-管理概論 Q26, 111初級-管理概論 Q42, 112初級-管理概論 Q21, 112初級-管理概論 Q22, 112初級-管理概論 Q25, 113管理 Q33, 113管理 Q34, 113管理 Q35)

殘餘風險是指在執行風險處理措施後，仍然殘留下來的風險。即使採取了控制措施，風險通常無法完全消除。
風險接受是指組織知曉並接受某個風險及其潛在後果，決定不採取額外處理措施。通常適用於殘餘風險低於組織可接受範圍的情況。經過風險評鑑後，低風險或處理成本過高的風險項目，可能會被組織選擇接受。 (資料來源：109初級-管理概論 Q24, 110初級-管理概論 Q22, 110初級-管理概論 Q26, 113管理 Q25)

資訊安全管理系統 (ISMS) 常採用 PDCA (Plan-Do-Check-Act) 循環來進行持續改善。風險評鑑作業主要屬於 規劃 (Plan) 或 執行 (Do) 階段，視具體定義而定 (題目中較常歸類於 Do)。風險處理屬於 執行 (Do) 階段。管理階層審查屬於 檢查 (Check) 階段。 (資料來源：108初級-管理概論 Q55, 110初級-管理概論 Q3, 111初級-管理概論 Q2, 112初級-管理概論 Q5)

風險管理是一個持續性的過程，需要定期重新評鑑風險，並根據環境變化調整控制措施。重大風險項目完成處理後，仍需進行風險再評估 (Risk Reassessment)。 (資料來源：109初級-管理概論 Q16, 109初級-管理概論 Q24, 113管理 Q25, 113管理 Q27)

通用漏洞評分系統 (CVSS, Common Vulnerability Scoring System) 是一個公開標準，用於評估電腦系統安全漏洞的嚴重程度。
CVSS v3.x 版本將評分指標分為三個群組：

• 基本指標群 (Base Metric Group)：評估漏洞本身的固有特性，如攻擊途徑、攻擊複雜度、所需權限、使用者互動、範圍、機密性衝擊、完整性衝擊、可用性衝擊。
• 暫時指標群 (Temporal Metric Group)：評估漏洞隨時間變化的特性，如 Exploit 可用性、修補程式等級、報告可信度。
• 環境指標群 (Environmental Metric Group)：評估漏洞在特定使用者環境中的特性，如修改後的安全需求、修改後的範圍。

基本指標群中不包含「可靠性衝擊」(Reliability Impact)。CVSS 本身是一個弱點計分系統，而非漏洞種類或修補建議。 (資料來源：109技術-概論 Q29, 111初級-管理概論 Q25, 113技術-概論 Q32)