

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 網路安全的正面風險
<a name="welcome"></a>

*Greg Bell，Amazon Web Services (AWS)*

*2022 年 5 月* ([文件歷史記錄](doc-history.md))

大多數人從負面角度看待風險，例如面臨損失或管理不良事件。然而，國際標準化組織 (ISO) 對風險的定義是「不確定性對目標的影響」。在這種情況下，影響可能是正面的，也可能是負面的。

實際風險可能因產業而異，但此標準定義適用於所有產業，並且每個產業都有負面和正面風險。在網路安全產業中，*負面風險*是指潛在損失，*正面風險*是指資產、知識、改進或資料的潛在收益。

專案管理和 IT 領域已採用評估業務報告和業務決策中正面風險的策略。但是，網路安全產業尚未將其作為一種常見做法，許多風險管理方法繼續關注負面風險。如果他們討論正面風險，那只是簡短的。

傳統上，網路安全只從負面角度來看待風險。以下是網路安全中常見的兩種負面風險類型：
+ **下行風險** – 外部因素導致的損失，例如威脅。例如，網路犯罪分子可能會引入或增加安全事件的可能性。
+ **上行風險** – 在追求收益的同時面臨損失，例如由於變化而導致的漏洞。例如，在實施 IT 策略時，可能會無意中增加發生安全事件的可能性。上行風險與正面風險不一樣。儘管它發生在追求收益的過程中，但上行風險也集中在潛在的損失上。

直到最近，網路安全只考慮負面風險，風險的定義集中在潛在的負面結果上。正面風險在識別風險之初就關注潛在的積極結果。排除正面風險會導致無法識別網路安全的積極結果。由於專注於負面風險，高管層通常認為網路安全是被動的，而不是主動的，並低估了網路安全對積極業務成果的貢獻。

本文件定義了網路安全產業的正面風險，並討論在網路安全策略中納入正面風險的好處和重要性。