國考資訊處理工作室(高考二級資訊處理/高考三級資訊處理/調查局三等/關務人員三等/地方特考三等)

111年高考三級資訊管理

答：

(一)風險辨識(Risk Identification)

1.定義：

  (1)發掘可能發生風險的事件以及發生的原因和方式。

  (2)找出可能的專案風險、產品風險以及企業風險。

  (3)可以採用團隊成員腦力激盪的方式來進行，或者是直接根據專案經理自身的經驗找出最可能發生或最關鍵的風險。

2.目的：藉由識別的過程，找出需要管理的風險。

3.清楚瞭解風險事件的5W：

  清楚瞭解每個風險事件的 5W，以獲得詳細的事件內容。

  (1)What：發生什麼事情？

  (2)How：如何發生？

  (3)Why：為何發生？

  (4)Where：在哪裡發生？

  (5)When：何時發生？

(二)風險分析(Risk Analysis)

1.定義：

  (1)在現有的控制方法下，系統性運用有效資訊，以判斷特定事件發生的可能性以及其影響的嚴重程度。

  (2)在風險分析過程中，必須查看每個已被識別出的風險，並且判斷可能發生的機率和嚴重性。

  (3)雖然這些評估沒辦法用精確的數字來表示，但是還是大約分成幾個等級：

     a.風險的發生機率可以評估為「非常低」(< 10%) 、「低」(10-25%)、「中度」(25-50% )、「高」( 50-75%) 或是「非常高」(> 75%) 幾個等級。

     b.風險造成的影響可以評估為「災難」(威脅到專案的生存)、「嚴重」(會造成重大延遲)、「可容忍」(延遲是在可允許的範圍內) 或是「微小」。

  (4)接著應該將這個分析過程的結果，按照風險的嚴重性記錄在表格中。

2.目的：將可接受風險與主要風險分開，並且提供風險評量所需要的資料。

3.機關需要評估每一個事件的影響程度以及發生機率，把兩者整合起來就會形成風險等級，利用風險等級區別出可以接受和重大的風險，同時依照不同等級列出控制風險的管理方法。

(三)風險評量(Risk Evaluation)

1.意義：

  用以決定風險管理先後順序的步驟，將風險等級 (風險分析所得) 與機關現有風險評量基準比較，以決定需要進一步優先處理的風險。

2.目的：依據風險分析結果以判定需要優先處理的風險。

3.所謂風險評量基準是由操作、技術、財務、法律、社會、人道以及其他面向來決定可以接受風險的程度。

4.依照評量的結果，機關應該優先處理風險圖像上接受程度最小的風險，以及風險等級為高度以上者，先保留發生機率低，以及可接受的風險，並且定期監督。

※參考資料：

1.行政院主計總處-風險評估觀念與實務.pdf

2.https://theme.ndc.gov.tw/lawout/LawContent.aspx?media=print&id=GL000052

(四)風險處理(Risk Disposal)

1.是對於風險評量後不可容忍的風險，列出可以將風險降低到可容忍程度的對策，進而執行相關對策，以降低事件發生的可能性或者其影響的嚴重程度。

2.對策有風險規避 (Risk Avoidance)、風險降低 (Risk Reduction)、風險轉移 (Risk Transfer)，以及風險保留 (Risk Retention)。

※參考資料：

https://theme.ndc.gov.tw/lawout/LawContent.aspx?media=print&id=GL000052