什麼是風險減輕？

風險是指發生可能中斷營運或造成損失的事件的可能性及嚴重程度。風險可能由外部因素與內部組織流程導致，應當依據風險影響的嚴重程度及出現風險的可能性來確定優先級。下面列出了部分常見的風險類別。

合規風險

合規風險是指組織因未能遵守監管框架及法律而可能面臨的任何潛在問題。不合規風險可能因監管框架的具體功能而有所差異，但其後果可能包括經濟處罰、取消認證、程序中斷及負面宣傳。

網路安全風險

網路安全風險是指可能影響公司資料或資產機密性與安全性的任何因素。這些風險包括程式碼漏洞、意外安全事件，或者外部人員未經授權存取機密資訊。

環境風險

環境風險是指氣候或自然環境發生任何變化，並且對公司的實體資產造成負面影響或擾亂供應鏈。環境風險可以是任何事物，從自然災害到資源枯竭，或任何妨礙公司高效運作的因素。

市場風險

市場風險是指在更廣泛的經濟穩定性方面出現任何突然的變化，並且對您的業務營運產生波動，例如利率變化、市場需求波動，或者市場快速波動。

營運風險

營運風險是指企業日常營運中出現的任何情況。這些可能涉及您的員工、供應鏈，或者您所依賴的任何其他系統。舉例來說，工廠的一部機器發生故障可能會造成營運風險。

聲譽風險

聲譽風險包括可能對您的品牌形象造成損害的各項因素。舉例來說，若您無法確保客戶資料安全，可能會對您的品牌聲譽造成影響。同樣，若您的公司參與有害的商業行為，可能會產生聲譽風險。

組織能夠採取四種主要的風險減輕策略，以便提升業務持續性。

風險減輕

風險減輕是指最大限度地降低出現風險的可能性或其影響嚴重程度的程序。舉例來說，您能夠依據標準實務，定期對裝置執行安全檢查，或者對客戶資料進行加密，以便將意外洩漏的影響降至最低。

風險規避

風險規避策略是指採取各項措施，來完全消除可能出現的風險。舉例來說，公司可能會認為在特定地點營運風險過高。風險規避策略即重新放置到風險程度不同的地區。風險規避藉由消除或取代特定風險因素，旨在徹底消除風險。

風險承擔

風險承擔策略是指接受風險的後果，而非採用任何措施來減輕風險的程序。舉例來說，承擔風險的費用可能比消除風險更經濟高效，因此，承擔風險及專注於其他優先事項可能是更好的選擇。這項策略僅在預期風險影響較低的情況下才有效。

風險轉移

風險轉移是指企業與第三方間建立合約協議的程序，並且在發生事件情況下由第三方承擔責任。舉例來說，組織可能會與第三方設備維護專家協作，若在維護過程中發生設備損壞，這些專家通常要承擔責任。

雲端風險減輕是指減輕雲端特定環境中的風險。在移轉或日常營運過程中可能會出現這些風險。

在移轉之前及移轉期間，雲端風險減輕措施可預測及應對風險，從而為加速雲端轉型提供支援。舉例來說，雲端移轉過程中實施風險減輕策略，可協助確保營運停機時間降至最低甚至為零。在雲端運營過程中，必須應對並補救雲端存取許可等雲端特定風險。

請參考以下雲端風險減輕最佳實務：

定義雲端風險管理框架

企業能夠審查其整體雲端移轉風險管理策略，以明確預期結果與實作時間範圍。藉由在雲端採用過程中明確責任歸屬與溝通策略，您可讓利害關係人在整個風險減輕過程中隨時了解情況。

建立明確且有據可查的雲端治理框架，例如 AWS Well-Architected 中定義的最佳實務，能夠為制定管理雲端風險的控制措施與架構提供資訊。

對雲端風險分類

制定持續進行的風險確認程序，積極確認雲端採用與營運策略中的技術風險及人為風險。利用分類來確定風險的嚴重程度，然後確認哪些潛在風險應是您的優先事項。優先採取影響更大的雲端風險減輕策略，能夠提高您的風險承受能力。舉例來說，很多組織選擇在可用區域內進行執行個體複寫，這有助於在出現中斷的情況下確保服務的持續性。

此外，您可利用風險評估矩陣來精簡此程序，其中包含影響風險評估。評估矩陣的一個軸表示嚴重程度，另一個軸表示可能性，網格上每個空間表示可能存在的影響。由於每個組織的風險承受能力各有差異且會變化，因此，潛在影響的評分亦會隨之改變。

追蹤和監控風險

藉助結構化追蹤系統，對所有雲端相關風險進行監控。您既可建立自己的文件或應用程式，也可選擇現有的風險追蹤工具。有些工具甚至可直接整合至雲端環境。舉例來說，AWS Security Hub 可追蹤整個 AWS 雲端環境的安全風險。

您可記錄採用的風險減輕措施，藉此來評估這些措施在降低風險影響方面的有效性。