Cyber Risk Assessment for Capital Manage — 積穗科研洞察

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）提醒台灣企業主管：網路資安風險已不再只是 IT 部門的問題——它是需要資本配置決策的財務風險。2022 年一篇發表於 arXiv 企業風險管理領域的學術論文，首次將保險精算模型與資安防禦串聯模型整合，提出「雙支柱」資安資本管理框架，協助企業在有限預算下，科學化決定應投入多少資金於資安防控、保險覆蓋與準備金儲備，是台灣企業建立 ERM 風險矩陣與 KRI 關鍵風險指標的重要參考依據。

關於作者與這項研究

這篇論文由三位學者共同撰寫：Wing Fung Chong（莊永峰）、Runhuan Feng（馮潤環）與 Hins Hu，研究橫跨精算學、風險管理與資訊安全，在全球企業風險管理學術社群具有相當影響力。其中 Wing Fung Chong 的 h-index 達 9，累計學術引用次數超過 283 次，是精算科學與 ERM 領域中被廣泛引用的學者；Runhuan Feng 的 h-index 為 2，累計引用 29 次，專注於保險與金融風險的量化模型研究。

這篇論文發表於 2022 年，刊載於 arXiv 企業風險管理（Enterprise Risk Management）分類，屬於跨領域整合研究——它不只是資安技術論文，更是一篇將精算學、資本配置理論與網路風險特性結合的量化風險管理研究，對 COSO ERM 框架下的風險量化實務具有直接參考價值。

雙支柱框架：將資安風險轉化為可量化的資本管理決策

這篇論文的核心貢獻，是提出一套可供企業實際操作的「雙支柱資安風險管理框架」，解決了長期以來企業在面對網路風險時「知道有風險、不知道怎麼量化、更不知道該花多少錢」的困境。

核心發現一：資安風險的頻率與嚴重度必須分開建模，才能準確評估

第一支柱「資安風險評估」整合了兩種模型：一是來自保險精算領域的「頻率—嚴重度模型」（frequency-severity model），用於估計資安事件發生的機率與損失規模；二是資安領域的「串聯攻擊模型」（cascade model），用於捕捉駭客攻擊在系統間蔓延擴散的特性。這種雙重建模方法，比單純使用歷史平均損失數字更能反映網路風險「低頻高損」的獨特性質。論文基於真實歷史資安事件資料進行驗證，結果顯示傳統單一模型會系統性低估尾端風險。

核心發現二：最佳資本配置策略高度依賴資安控制的價格與效果

第二支柱「資安資本管理」提供了一套資本配置優化架構，協助企業在三個方向之間找到最佳平衡：①增加資安防控投資、②購買網路保險、③提列自留準備金。論文的敏感性分析發現，最佳策略的選擇對「資安控制措施的市場價格」與「其實際防禦效果」極為敏感——當控制措施的性價比改變時，最佳策略可能完全反轉。這意味著企業在設計 KRI 指標時，必須將資安防控的成本效益比納入監控範圍，而非只追蹤事件次數或損失金額。

對台灣企業風險管理（ERM）實務的五大啟示

這項研究對台灣企業的 ERM 實務具有直接且深遠的影響。ISO 31000 風險管理國際標準明確要求企業進行「風險評估」（risk assessment）並將其連結至組織決策，COSO ERM 框架則進一步強調風險與策略、績效的整合——而這篇論文恰恰填補了兩個框架在「資安風險量化」上的方法論缺口。

第一、資安風險必須納入 ERM 董事會層級治理。台灣許多企業仍將資安視為技術議題，由 IT 部門自行處理。但這篇研究清楚示範，資安風險本質上是資本配置問題，應由財務長、風險長與董事會共同參與決策，符合 COSO ERM 對「風險治理」的要求。

第二、風險矩陣設計需納入「串聯效應」。傳統風險矩陣以單一事件的「發生機率 × 影響程度」為基礎，但資安風險具有跨系統蔓延的特性，必須在風險矩陣中加入情境分析（scenario analysis）維度。

第三、KRI 指標設計需涵蓋資安控制的成本效益比。依據論文敏感性分析結果，KRI 不應只追蹤「事件次數」，還應監控「每單位資安投入所獲得的風險降低量」，才能及時發現資源配置效率下降的早期訊號。

第四、企業需建立資安保險覆蓋的評估機制。論文顯示，在預算受限的情境下，網路保險是平衡資安資本配置的重要工具。台灣企業應定期評估保險覆蓋範圍是否與風險暴露相符，此為 ISO 31000 風險處理（risk treatment）選項之一。

第五、資安預算決策需要成本效益分析（CBA）支撐。論文案例研究明確指出，沒有系統性成本效益分析的資安預算決策，極可能導致資源錯置——投資在效果有限的控制措施，而忽略更高效的風險轉移工具。

積穗科研如何協助台灣企業將資安風險納入 ERM 框架

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）協助台灣企業導入 ISO 31000 與 COSO ERM 框架，建立風險矩陣與 KRI 關鍵風險指標，強化董事會風險治理能力。針對這篇論文揭示的資安資本管理議題，我們提供以下具體協助：

1. 資安風險量化評估：依據論文「頻率—嚴重度模型」方法論，協助企業建立資安損失分佈模型，取代主觀評分式風險矩陣，提供可供董事會決策的量化風險數據。
2. 資安資本配置策略設計：整合 COSO ERM 風險回應框架，協助企業在資安投資、保險覆蓋與自留準備金之間進行最優化配置，建立符合 ISO 31000 風險處理原則的決策流程。
3. 資安 KRI 指標體系建立：設計涵蓋「事件頻率」、「損失嚴重度」、「資安控制成本效益比」的三維 KRI 指標體系，並整合至企業 ERM 儀表板，實現董事會層級的即時監控。

常見問題

企業要怎麼把資安風險納入 ERM 風險矩陣？

資安風險應以「頻率—嚴重度」雙維度建模，而非傳統單一分數評估。首先，蒐集企業歷史資安事件資料，區分事件類型（如勒索軟體、資料外洩、DDoS 等），分別估計發生頻率與損失規模；其次，加入情境分析，評估跨系統串聯攻擊的擴散效應；最後，將量化結果對應至風險矩陣的「高中低」分層，設定觸發董事會討論的門檻值。COSO ERM 框架要求風險評估與組織策略目標連結，因此資安風險矩陣應同步標示各風險對業務持續性與財務目標的衝擊程度。

台灣企業導入網路資安保險需要符合什麼合規要求？

目前台灣對企業購買網路資安保險尚無強制法規，但金融監督管理委員會對金融機構的資訊安全管理規範（如《金融機構資安管理辦法》）已間接要求相關風險轉移機制。企業在評估保險覆蓋範圍時，應參照 ISO 31000 風險處理選項，確認保單涵蓋範圍與企業實際風險暴露一致，並定期（建議每年一次）重新評估覆蓋充分性。上市櫃公司還需依據主管機關要求，在年報中揭露重大資訊安全風險與因應措施。

ISO 31000 與 COSO ERM 在資安風險管理上有什麼不同？應該選哪個？

ISO 31000 是通用型風險管理原則與指引，適用於任何組織、任何類型的風險，強調風險管理流程的系統性與持續改善；COSO ERM（2017 年版）則更聚焦於企業策略與績效的整合，強調風險偏好（risk appetite）與企業文化。在資安風險管理上，兩者可互補使用：以 ISO 31000 建立風險評估與處理的基礎流程，以 COSO ERM 確保資安風險決策與董事會策略方向一致。台灣企業不需要選擇其一，積穗科研建議同時參照兩個框架，依企業規模與產業特性調整導入深度。

建立資安 ERM 機制需要多少時間與步驟？

依積穗科研的實務經驗，從零開始建立符合 ISO 31000 的資安 ERM 機制，通常分為四個階段：①現況診斷（第 1—2 週）：盤點現有資安政策、事件記錄與風險評估機制，對照 ISO 31000 與 COSO ERM 要求進行缺口分析；②機制設計（第 3—6 週）：設計資安風險分類架構、風險矩陣、KRI 指標體系與資本配置決策流程；③導入實施（第 7—10 週）：完成人員培訓、工具建置與董事會報告模板；④驗證優化（第 11—12 週）：進行首次全面風險評估，驗證機制有效性。整體約 90 天，可依企業規模調整。

為什麼找積穗科研協助企業風險管理（ERM）相關議題？

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）是台灣專注於企業風險管理的顧問公司，具備 ISO 31000 與 COSO ERM 雙框架導入實務經驗，服務對象涵蓋上市櫃企業、金融機構與製造業。我們的顧問團隊定期追蹤全球最新 ERM 學術研究（包括本文評析的 arXiv 論文），確保建議方法與國際最佳實務同步。相較於一般 IT 資安廠商，積穗科研以「風險治理」而非「技術控制」為出發點，協助董事會與高階管理層建立可問責的風險決策機制，讓資安投資真正納入企業資本配置策略，而非僅是合規勾選作業。