六、風險之再評估
（一）風險評鑑應每年進行全面評估。但機關政策、單位業務、資訊資產
      等發生重大變更時，或遇有任何重大專案新增或變動時，應就該重
      大變更影響部份於 2  個月內進行再評估。
（二）再評估之因素：
      應識別下列狀況所可能帶來之風險：
      1.識別與外部團體有關之風險。
      2.當機關因作業需要，新增或變更開放授權外部團體存取機關資訊
        系統或機關所持有之業務資訊前，應進行評估及識別相關可能之
        風險。
      3.設備產生之風險：
     （1）設備應考量來自實體環境之風險，如資訊資產所在之實體環境
          發生變動時，應考量是否增加未經授權存取之機會。
     （2）設備如須於辦公處所以外之區域使用時，應考量可能遭受之風
          險。
      4.外部團體服務變更之風險：
        當外部團體服務合約、服務內容及服務人員發生變更時，應考量
        可能帶來之風險。
      5.資訊應用系統技術脆弱性之風險：
        應取得資訊應用系統技術脆弱性之及時資訊，並評估該脆弱性對
        現行資訊應用系統之影響，以控制可能產生之風險。
（三）當相關作業發生新增或變動時，應針對所涉及之資訊資產是否造成
      資產價值變動，以考量是否進行再評估。