Process Definition

set of interrelated  or interacting activities which transforms input into outputs

將輸入轉化為輸出的一組相互關聯或相互作用的活動

資訊安全的風險管理

1. 建立全景(Context Establishment)：制定與組織有關的資訊安全風險管理基本規 則，內容必須持續符合 ISMS 的規範，詳細說明組織的資訊資產及精確定義組織的風險管理範圍與機制。

2. 風險評鑑(Risk Assessment)：針對已制定之組織風險管理機制，列出組織內資產的擁有人、資產置放的位置及資產的功能等，加入威脅事件的識別，列出所有可能遭受威脅事件的資產清單，並找出可能產生威脅事件的弱點，對這些弱點、脆弱性及威脅事件加入風險發生時的後果推論及判斷，並依序列出風險的等級及劃分可接受風險值的範圍，找出可能即時解決的方法，以降低風險發生時的危害狀況。

3. 風險處理(Risk Treatment)：依據風險評估所列風險等級的優先順序加以處理，處理的方法包括降低風險的產生及檢視組織內的活動項目，若活動易引起某些異常狀況而產生風險時，應加以避免或做風險的移轉，例如為活動項目加入保險機制，或者簽訂保障合約書，當風險產生時，可以申請理賠。

4. 風險接受(Risk Acceptance)：依據組織決策者劃分之可接受的風險，做定期的文件紀錄檢視，因風險的可接受度不是絕對的是或否，仍需依照風險事件發生時的情況做評估，對於某些不符合組織的正常風險的驗收標準（例如某些可接受風險的降低成本過高）等，必須列出接受此風險的理由。

5. 風險溝通(Risk Communication)：持續蒐集風險資訊，以獲得新的資訊安全知識，對組織的風險管理結果提供保證，並支持組織的決策，分享組織風險管理的結果。

6. 風險監控與審查(Risk Monitoring and Review)：組織目前所制定之風險管理制度並非固定不變，風險的發生會隨著外在環境因素而改變，隨時會因新的弱點及威脅事件的產生而有所更動，因此必須持續監控組織環境的異常現象，隨時掌握新的弱點及威脅事件，並且更新，以維持組織風險管理機制的正常運作，保護組織的資訊安全。

Reference

[1] 傅雅萍、樊國楨、楊中皇，ISO/IEC 27005 風險 管理標準整合 CORAS 之可行性研究：以電力 公司為例，2007。