地殼抬升（Exhumation）

Exhumation（地殼抬升）在地質學中指岩石從地下深處移動至地表之過程，涉及構造抬升與侵蝕兩大機制。在企業風險管理（ERM）領域，此概念被借用以描述「受控資產或數據從安全環境暴露於外部風險環境」的風險情境。根據ISO 31000:2018風險管理原則，風險的識別必須涵蓋資產從受保護狀態轉向暴露狀態的完整生命週期。此概念與「數據洩漏（Data Breach）」及「邊界失效（Boundary-crossing）」密切相關，企業需建立對應的監控指標，以量化資產暴露的程度與速度，確保在資產「抬升」至風險邊界前即完成緩解措施。臺灣個資法第27條亦要求企業對個人資料的處理與傳輸設置適當安全措施，此即對應Exhumation風險的法規要求。

實務應用可分為三個階段：第一步，資產盤點與分類，識別哪些數據或業務流程具有「地下深部」的敏感性，對應實際地質中的高壓變質帶；第二步，建立邊界監控機制，模擬數據或資產從內部網路向外部環境「抬升」的途徑與速率，並設定預警閾值；第三步，設計緩解控制措施，如加密、存取控制與存取記錄稽覈。以臺灣某大型製造業為例，其供應鏈數據從內部ERP系統向外部雲端平臺傳輸時，若未設置加密，即等同於數據的Exhumation風險。導入此概念後，企業可將數據暴露風險量化為「暴露速率（Exposure Rate）」，並以KPI追蹤，目標是將未授權暴露事件減少30%，並提升資安合規率至95%以上。

臺灣企業常見挑戰包括：第一，法規解讀差異，許多企業對ISO 31000或GDPR中關於「暴露風險」的定義理解不一，導致執行標準不一。建議透過專業顧問進行法規對照分析，建立統一的風險語言。第二，技術資源配置不均，中小企業缺乏自動化監控工具，無法即時偵測數據的「抬升」風險。可採用分階段導入策略，優先建立關鍵資產的存取控制，再逐步擴展至全組織。第三，文化抗拒，員工可能將數據分享視為正常業務，而非風險事件。企業應建立風險意識培訓機制，並將數據安全行為納入績效考覈。建議在90天內完成從風險識別到控制措施建立的完整導入流程，以確保法規合規與業務連續性。

積穗科研股份有限公司（Winners Consulting Services Co., Ltd.）專注臺灣企業Exhumation相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家臺灣企業。申請免費機制診斷：https://winners.com.tw/contact