日常活動理論

日常活動理論（Routine Activity Theory）是犯罪學家勞倫斯·科恩（Lawrence Cohen）與馬庫斯·費爾遜（Marcus Felson）於1979年提出的犯罪機會理論。其核心主張，犯罪並非隨機發生，而是當三個要素在特定時空下交會時的必然結果：一、有動機的犯罪者（Motivated Offender），如尋求經濟利益的駭客；二、合適的目標（Suitable Target），如存有大量個資但未加密的資料庫；三、有能力的監護者缺席（Absence of Capable Guardian），如缺乏防火牆、入侵偵測系統或資安意識薄弱的員工。此理論雖非管理標準，但其分析框架是資訊安全風險管理實務的基礎，完全契合ISO/IEC 27005與NIST SP 800-30風險評鑑方法論中，對於威脅來源（犯罪者）、脆弱性資產（目標）及現行控制措施（監護者）的分析要求。它將抽象的風險因子具象化，讓企業能更精準地識別風險發生的情境，而非僅僅關注犯罪者的心理動機。

企業可透過以下三步驟將日常活動理論應用於資安風險管理，特別是個人資訊管理體系（PIMS）的建構：步驟一，目標與犯罪者分析：依據ISO/IEC 27001附錄A.5資產管理要求，盤點並識別高價值的資訊資產（合適目標），例如客戶個資、交易紀錄。同時，運用威脅情資，描繪潛在攻擊者輪廓（動機犯罪者），分析其攻擊手法與動機。步驟二，監護者能力評鑑：全面檢視現有的安全控制措施（監護者）是否有效。例如，評估防火牆規則是否嚴謹、存取控制是否遵循最小權限原則、員工是否具備足夠的資安意識以防範社交工程。此過程可對照NIST網路安全框架（CSF）的「保護」功能進行差距分析。步驟三，強化監護以阻斷機會：針對評鑑發現的監護缺口，採取具體行動。例如，導入多因子驗證（MFA）以強化身分監護、部署端點偵測與應變（EDR）系統以提升監控能力、或定期舉行資安演練。台灣某金融機構導入此模型後，透過強化對跨境交易數據（目標）的監控（監護），成功將可疑交易事件降低了40%，並順利通過年度金管會資安查核。

台灣企業導入日常活動理論於資安管理時，主要面臨三大挑戰：一、重技術、輕程序：許多企業，特別是製造業，過度依賴防火牆等技術性監護者，卻忽略管理程序與人員意識（如變更管理、供應商風險評估）的重要性，導致防護出現缺口。二、資源分配不均：中小企業佔台灣經濟多數，常因預算與人力有限，無法進行深入的威脅情資分析（動機犯罪者研究），導致風險評估流於形式。三、法規遵循壓力：面對《資通安全管理法》與個資法等要求，企業常疲於應付合規文件，未能將理論模型實際內化為持續改善的風險管理文化。解決方案：針對挑戰一，應導入ISO/IEC 27001管理框架，強制要求技術、程序與實體安全控制並重，優先行動為建立跨部門的資安推動小組，預計三個月內完成權責劃分。針對挑戰二，可採用託管式安全服務（MSSP）或訂閱威脅情資平台，以較低成本獲取專業的監護與威脅分析能力。針對挑戰三，應將法規要求對應至理論三要素，例如將法規要求的「應變通報」視為一種事後監護機制，使合規活動與風險管理實務結合，而非兩套獨立系統。

積穗科研股份有限公司專注台灣企業日常活動理論相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact