可能最大損失

可能最大損失（PML）起源於財產保險業，用於評估地震、火災等巨災事件可能造成的最大損失。其核心定義為，在一個指定的機率或信賴水準下（例如95%或99%），預期在特定時間內可能發生的最嚴重、但仍屬合理的損失值。PML並非絕對最壞情況（Maximum Possible Loss），而是排除了極端罕見、幾乎不可能發生的情境後的務實評估。在資訊安全風險管理中，此概念符合ISO/IEC 27005對風險分析的要求，即需評估潛在後果的嚴重性。針對資料外洩風險，PML的估算能協助企業遵循如歐盟GDPR第32條及台灣《個人資料保護法》施行細則第12條所要求的，採取與風險等級相應的適當安全措施，將抽象的法律責任轉化為可管理的財務指標。

企業應用PML於資料外洩風險管理的步驟如下：第一，風險情境識別：依據ISO/IEC 27005指引，識別關鍵資訊資產與可能導致大規模資料外洩的威脅情境，如勒索軟體攻擊。第二，損失分佈建模：整合內部事件數據、外部產業損失資料庫與威脅情資，利用蒙地卡羅模擬（Monte Carlo Simulation）或極值理論（Extreme Value Theory, EVT）等統計方法，建立損失頻率與嚴重性的機率分佈模型。第三，PML量化計算：從損失分佈模型中，取特定信賴水準（如99%）對應的損失金額，即為PML。例如，某金融機構計算出其資料外洩PML為新台幣5億元，便可依此作為投保網路安全險的保額依據，確保能覆蓋法規罰鍰、訴訟賠償與營運中斷等成本，將合規率與風險覆蓋率等效益指標具體化。

台灣企業導入PML面臨三大挑戰。首先是數據品質與可得性不足：多數企業缺乏長期且結構化的內部資安事件損失數據，難以建立準確的統計模型。其次是專業人才斷層：PML計算涉及精算、統計與資訊安全跨領域知識，企業內部普遍缺少具備此類量化風險分析能力的專家。最後是管理文化偏好定性：傳統風險管理偏好使用高、中、低等定性評級，對於需投入資源進行複雜量化分析的PML接受度較低。對策上，企業應優先建立標準化的事件記錄流程以累積數據資產；同時，可與外部專業顧問合作，導入如FAIR等量化分析框架，逐步培養內部人才。初期可選定單一高風險業務進行PML試點分析（預期時程3-6個月），以具體成果爭取管理層支持，逐步推廣至全公司。

積穗科研股份有限公司專注台灣企業Probable Maximum Loss相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact