中間事件

「中間事件」源自於故障樹分析（Fault Tree Analysis, FTA），此方法論在國際標準IEC 61025中有詳細規範。在FTA的結構中，中間事件扮演承上啟下的關鍵角色，它既非最頂層的系統性風險（頂層事件），也非最底層的根本原因（基本事件）。它是由一個或多個基本事件或其他中間事件，透過「及閘」（AND gate）或「或閘」（OR gate）等邏輯運算組合而成的複合事件。在隱私風險管理情境中，例如依據ISO/IEC 27701（隱私資訊管理系統）進行風險評鑑時，中間事件能將「大規模個資外洩」等抽象的頂層事件，與「加密金鑰管理不當」、「存取控制設定錯誤」等具體的底層原因連結起來，清晰地揭示風險的傳遞路徑與因果邏輯，使風險分析更具結構性與深度。

企業可透過以下三步驟應用中間事件進行風險分析： 1. **定義頂層事件**：首先，依據法規要求（如台灣個資法第27條或GDPR第32條）與業務目標，明確定義最不希望發生的風險事件，例如「客戶個人生理數據（如臉部特徵）外洩」。 2. **識別並建構中間事件**：透過跨部門腦力激盪，向下展開可能導致頂層事件的直接原因，並將其定義為中間事件。例如，「資料庫遭未經授權存取」可作為一個中間事件，它可能由「身分驗證機制被繞過」與「惡意內部人員存取」兩個更低階的事件透過「或閘」組合而成。 3. **連結基本事件並分析**：持續向下分解，直到找出無法再分解的根本原因（基本事件），如「密碼強度不足」。依據IEC 61025的規則，可對基本事件賦予發生機率，向上推算出各中間事件及頂層事件的發生機率，從而識別出最關鍵的風險路徑。台灣某金融機構利用此法，成功將年度資訊安全事件數量降低30%，並順利通過主管機關查核。

台灣企業導入中間事件分析時，常面臨三大挑戰： 1. **缺乏系統性分析思維**：許多企業習慣於事後補救，缺乏由上而下、追根究柢的結構化風險分析文化。對策：由高階主管倡導，導入ISO 31010（風險評鑑技術）中的FTA方法論，並舉辦內部工作坊，從小型專案開始培養邏輯拆解與因果分析的能力。預計3至6個月可建立初步文化。 2. **跨部門溝通與資訊壁壘**：建構故障樹需要IT、法務、業務等多部門共同參與，但部門本位主義常導致資訊不流通，難以完整識別所有事件。對策：成立由風險長或專案經理領導的跨職能風險評鑑小組，建立標準化的資訊共享流程與會議機制。優先行動為建立涵蓋各部門代表的常設風險委員會。 3. **量化數據不足**：許多中小企業缺乏長期的事件紀錄，導致難以準確估算基本事件的發生機率。對策：初期可採用質化評估（高、中、低），並參考NIST SP 800-30等框架的威脅資料庫。同時，應立即建立內部事件紀錄機制，逐步累積數據資產，目標在12個月內轉向數據驅動的量化分析。

積穗科研股份有限公司專注台灣企業Intermediate events相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact