五、風險處理
(一)資訊資產列為「風險處理」對象者,應將風險評估之結果提報單位
主管審查,並將審查結果提報本部資通安全會報(資訊安全執行小
組),以審查風險改善方式。
可採用之風險改善方式包括:
1.規避風險。
2.降低風險發生機率。
3.降低風險影響程度。
4.轉移風險。
5.接受風險。
(二)超過「可接受風險等級」之風險項目,應擬訂風險改善計畫。
風險改善計畫之擬訂,應預估完成後殘餘風險是否可降低至可接受
風險值以下,並考量所需資源、優先順序、責任分配等因素,至少
包含下列內容:
1.風險項目。
2.採取之控制方法。
3.所需投入資源。
4.相關負責人員。
5.預估完成日期。
(三)風險改善計畫應符合整體資訊安全目標。
(四)風險改善計畫執行結束後,應重新評估殘餘風險是否均已降低至可
接受風險值以下。
(五)風險改善計畫執行之成果應提報本部資通安全會報(資訊安全執行
小組)之管理審查會議中進行確認。