四、風險評鑑作業
（一）建立風險管理全景
      1.應識別內、外各方面之資訊安全需求，包括資訊安全政策以及法
        令、法規、規章與合約以及其他可能影響資訊安全之事務。
      2.應界定風險評鑑範圍，以利執行風險評鑑作業。
      3.應規劃與定義「風險準則」、「風險等級」及「風險接受準則」
        等風險管理準則
     （1）風險準則（Risk Criteria）：
          評估風險顯著性時所用之評估條件及其評估方法。評估方式採
          用「定性」方式，評估條件應考量下列項目：
          A.弱點
          B.威脅
          C.衝擊
     （2）風險等級（Level of Risk）：
          以風險評估條件評估結果之總合方式表示之風險顯著性。
     （3）風險接受準則（Risk Acceptable Criteria）：
          機關用以決定留置或承受風險之原則。機關應考量影響風險接
          受準則的項目如下：
          A.業務需求及目標。
          B.法律、法令、規章及合約方面之要求。
          C.智慧財產權（Intellectual Property Right, IPR）。
          D.資源分配狀況。
          E.技術成熟度。
          F.經費預算。
          G.社會與輿論因素。
      4.違反法令之行為視為不可接受之風險項目，應採行下列預防措施
        ，不納入風險評鑑作業：
        A.鑑別適用法令之清單。
        B.訂定資訊安全管理制度之規範文件時，應檢視並確保符合現行
          法令之需求。
        C.辦理資訊安全法令宣導。
（二）風險評鑑過程
      風險評鑑區分為針對業務流程評估之「高階風險評鑑」與重要業務
      流程相關資訊資產之「詳細風險評鑑」兩部分。
      1.高階風險評鑑
     （1）針對內部所有業務流程，依據「法務部及所屬機關資訊安全風
          險評鑑管理程序」，進行初步之「高階風險評鑑」，以決定是
          否需進行「詳細風險評鑑」。
     （2）不需進行「詳細風險評鑑」者，直接進行安全監控，進入風險
          之再評估階段。
      2.詳細風險評鑑
        包括「風險分析（Risk Analysis）」 及「風險評估（Risk
        Evaluation）」。
     （1）風險分析
          透過系統化方式，尋求業務流程相關之資訊資產於風險準則中
          所定義的風險評估條件，並用「定性」方式，得出資訊資產風
          險等級。
     （2）風險評估
       （1）依「風險接受準則」評估「風險分析」之結果，以決定需要
            管控的資訊資產。
       （2）「風險分析」之結果值高於「可接受風險等級」之資訊資產
            ，應列為「風險處理」之對象。