26. 如附圖所示，依據 ISO/CNS 31010 當資通安全主管決定利用「後果 /機率矩陣」模型完成以資通資產（Asset）為基礎的風險評鑑。附圖中的哪些項目比較能夠說明該方式可能會得到的結果？

(A) 1、2、3
(B) 2、3、6
(C) 3、4、5
(D) 1、4、5、6

詳細分析 ISO/CNS 31010 中「後果/機率矩陣」模式的完整風險評鑑流程：

後果/機率矩陣風險評鑑的完整流程：

第一階段：風險識別與評估

• 識別資通資產面臨的威脅
• 評估風險發生的可能性
• 評估風險造成的影響程度

第二階段：風險分析

• 將可能性和影響程度對應到矩陣中
• 計算風險等級（通常分為高、中、低風險）

第三階段：風險評價與處理規劃

• 基於風險等級決定處理策略
• 制定具體的風險處理措施

各項目在風險評鑑中的作用分析：

1. 復原時間目標（RTO） ❌

• 這是業務影響分析（BIA）的技術指標
• 不是後果/機率矩陣評估的直接要素

2. 受到影響的可能性（likelihood） ✅

• 核心要素：矩陣的 Y 軸或 X 軸之一
• 評估威脅發生的機率

3. 影響程度（Impact） ✅

• 核心要素：矩陣的另一軸
• 評估風險實現時對組織的衝擊

4. 營運持續（Continuity）策略 ❌

• 這是基於風險評估結果制定的應變策略
• 屬於風險處理階段，不是評估階段的直接要素

5. 營運復原（Recovery）策略 ❌

• 同樣是風險處理策略
• 不是風險評估的核心要素

6. 風險處理事項 ✅

• 這是風險評鑑的最終輸出
• 基於矩陣分析結果制定的具體處理措施
• 是完整風險評鑑流程的必要組成部分

答案：(B) 2、3、6

理由：

• 項目2、3：後果/機率矩陣的兩個核心評估維度
• 項目6：基於矩陣分析結果產生的風險處理計畫，是風險評鑑的重要輸出成果

完整的風險評鑑不僅包括風險分析，還包括基於分析結果制定的處理方案。

• ✅ 2. 受到影響的可能性 (Likelihood)：這是矩陣的其中一個維度（通常是縱軸），用來評估威脅發生的頻率或機率。
• ✅ 3. 影響程度 (Impact/Consequence)：這是矩陣的另一個維度（通常是橫軸），用來評估資產受損後對組織造成的損害大小。
• ✅ 6. 風險處置事項：當可能性與影響程度在矩陣中相交後，會得出「風險等級」（如：高、中、低）。根據等級的不同，主管需要決定如何「處置」該風險（如：改善、接受、轉移或規避）。

「後果 / 機率矩陣」（Consequence/Likelihood Matrix），又常被稱為「風險矩陣」（Risk Matrix），是 ISO 31000 與 ISO 31010 標準中推薦的一種定性或半定量的風險評鑑工具。

它的核心邏輯非常簡單：風險（Risk） = 可能性（Likelihood） × 後果（Consequence/Impact）。

ㅤㅤ

ㅤㅤ

1. 矩陣的組成要素

這個矩陣通常由兩個維度構成：

• 縱軸：可能性 (Likelihood)
  評估威脅發生的頻率。通常分為 5 個等級：例如「極低（罕見）」、「低（可能）」、「中等」、「高（很可能）」、「極高（幾乎確定）」。
• 橫軸：後果 / 影響 (Consequence / Impact)
  評估事件發生後對資產或組織造成的損害程度。通常也分為 5 個等級：例如「微不足道」、「輕微」、「中度」、「嚴重」、「災難性」。

ㅤㅤ

2. 運作方式：風險等級判定

當你將某個資安風險（例如：資料庫遭駭客入侵）標示在矩陣上時，兩軸相交的格子會定義該風險的優先等級：

• 低風險 (Low)：綠色區域。通常採取「接受風險」，僅需例行監控。
• 中風險 (Medium)：黃色區域。需要制定具體的「風險控制措施」來降低風險。
• 高風險 (High)：橙/紅色區域。必須「立即處置」，優先分配資源進行改善。

ㅤㅤ