犯罪機會理論

犯罪機會理論（Crime Opportunity Theory）源於犯罪學，其核心主張為犯罪並非隨機發生，而是當「有動機的犯罪者」、「合適的目標」及「缺乏有能力的監控者」此三項要素在特定時空交會時，犯罪機會便會產生。在個人資訊管理系統（PIMS）的風險管理中，此理論提供了一個主動預防的框架：將敏感個資視為「合適的目標」，駭客或惡意內部人員為「有動機的犯罪者」，而企業的資安控制措施（如防火牆、存取控制、加密金鑰管理）即為「有能力的監控者」。此理論的重點不在於探究犯罪者的動機，而是強調透過改變環境、移除或削弱上述三要素的交會條件來預防犯罪。這與台灣《個人資料保護法》第27條要求企業採行「適當之安全維護措施」的精神一致，也對應了 ISO/IEC 27001 附錄A中A.9存取控制、A.12運作安全等具體控制項，這些措施本質上就是為了強化監控與目標防護，從而消除犯罪機會。

在企業風險管理中應用犯罪機會理論，可遵循以下三步驟的實務操作： 1. **步驟一：識別目標與犯罪者 (Target & Offender Identification)**：依據《個人資料保護法》第2條定義，盤點並分類企業持有的個資，識別出高價值、高風險的「合適目標」。同時，透過威脅建模，分析潛在「有動機的犯罪者」，包括外部駭客、供應鏈夥伴與內部威脅來源。 2. **步驟二：評估監控者缺口 (Guardian Gap Analysis)**：參照 ISO/IEC 27701 第6.3.1.1條（資訊安全風險評鑑）的要求，系統性地評估現有控制措施（如防火牆、MFA、監控系統）作為「監控者」的有效性，找出防護缺口。 3. **步驟三：設計情境預防措施 (Situational Control Design)**：針對缺口，導入具體控制措施以阻斷犯罪機會。例如，對「合適目標」採用符合 GDPR 第32條精神的加密與假名化技術；強化「監控者」角色，導入 SIEM 系統以提升威脅偵測能力。某國內金融機構導入此流程後，其高風險個資的未授權存取嘗試事件在6個月內減少了40%，顯著提升了合規率與資安韌性。

台灣企業導入犯罪機會理論時，主要面臨三大挑戰： 1. **挑戰：中小企業資源有限**：缺乏預算與專業人力建構全面的「監控者」體系。**對策**：採納「安全即服務」(Security as a Service) 模式，將部分監控角色外包給專業廠商。優先強化基礎但高效率的措施，如全員資安意識培訓、強制性多因子驗證(MFA)與特權帳號管理。預計3個月內可完成基礎部署，以最小成本創造最大防護效益。 2. **挑戰：重懲罰輕預防的文化**：管理文化偏重事後究責，而非事前預防機會的產生。**對策**：推動「安全始於設計」(Security by Design) 理念，將機會分析納入系統開發生命週期(SDLC)前端。由高階主管支持，建立跨部門風險小組，定期審視並從流程與系統設計上消除潛在犯罪機會，將資安由成本中心轉化為業務賦能單位。 3. **挑戰：內部威脅的輕忽**：過度專注防禦外部駭客，而忽略了內部員工可能成為「有動機的犯罪者」。**對策**：導入零信任（Zero Trust）架構，不信任任何內部連線。嚴格執行最小權限原則（Principle of Least Privilege），並部署使用者行為分析（UBA）工具，以即時偵測偏離正常行為模式的內部活動，預計6個月內可建立初步偵測能力。

積穗科研股份有限公司專注台灣企業犯罪機會理論相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact