基於威脅的風險評鑑

Threat-based Risk Assessment（基於威脅的風險評鑑）是一種從攻擊者（Threat Actor）角度出發的風險評估方法，不同於傳統以資產為中心的風險評估（Asset-based Risk Assessment），它優先識別可能被利用的漏洞與攻擊路徑。根據ISO 31000的風險識別原則，有效的風險管理必須考慮「風險源」（Risk-source），即實際存在的威脅。此方法在NIST CSF 2.0的「識別（Identify）」與「偵測（Detect）」功能中扮演核心角色，透過模擬攻擊者行為來預判攻擊面（Attack Surface）。它不僅關注資產的價值，更關注威脅的技術可行性與組織的實際暴露程度，使風險評估從靜態的資產清冊升級為動態的防禦情境模擬，對企業建立韌性（Cyber Resilience）具有決定性意義。與傳統方法相比，它能有效避免「過度防護低風險資產」與「忽略高風險新興威脅」的資源錯配問題。

實務導入通常遵循三個關鍵步驟：第一步，威脅建模（Threat Modeling），參考STRIDE模型（Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege）識別系統面臨的具體攻擊向量；第二步，情境化風險評級，將威脅與業務流程的關鍵功能對應，例如針對智慧製造場域，重點評估勒索軟體對OT系統可用性的衝擊；第三步，控制措施的成本效益分析，確保所選的技術控制措施（如Zero Trust架構、EDR部署）能有效對應高風險威脅。以臺灣某半導體廠為例，導入此方法後，企業可將資安預算從傳統防火牆升級為端點偵測與應變（EDR/MDR）機制，使偵測時間（MTTD）縮短40%，有效降低因勒索軟體導致的停工損失，達成ISO 22301業務持續管理的合規要求。

臺灣企業在導入時常見三大挑戰：首先是「技術人才缺口」，傳統IT人員缺乏攻擊者思維，無法有效執行威脅建模，建議透過NIST 800-30框架培訓或委外專業顧問補足；其次是「法規合規壓力」，臺灣個資法與金管會相關規範要求企業建立系統性風險評估機制，企業應建立可稽覈的風險評估文件鏈，確保從威脅識別到風險處理的完整可追溯性；第三是「跨部門協作障礙」，風險評鑑往往涉及業務部門的配合，建議由CISO主導跨職能工作小組，將風險等級與業務連續性計畫（BCP）掛鉤。建議企業在90天內完成初步威脅情境建立，並以ISO 27701認證作為階段性目標，確保從法規合規與實際防禦雙向達成。

積穗科研股份有限公司（Winners Consulting Services Co., Ltd.）專注臺灣企業Threat-based Risk Assessment相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家臺灣企業。申請免費機制診斷：https://winners.com.tw/contact