# 🚀 風險管理功能 - 快速開始指南

## 📖 5 分鐘快速上手

### 步驟 1：查看風險列表

1. 啟動系統後，點擊左側選單的「風險管理」
2. 您會看到風險列表頁面，包含：
   - 📊 統計卡片（總風險數、極高風險、高風險、平均風險值）
   - 🔍 搜尋與篩選功能
   - 📋 風險資料表格

### 步驟 2：新增第一個風險

1. 點擊右上角的「➕ 新增風險」按鈕
2. 填寫基本資訊：
   ```
   風險標題：DDoS 攻擊導致服務中斷
   風險類別：技術風險
   風險描述：網站可能遭受分散式阻斷服務攻擊...
   ```

3. 進行風險評估：
   ```
   可能性：4 - 高
   影響度：5 - 極高
   
   ✨ 系統會自動計算：
   風險值 = 4 × 5 = 20
   風險等級 = 極高 🔴
   ```

4. 選擇處理方式：
   ```
   處理方式：降低 (Mitigate)
   處理描述：部署 DDoS 防護服務，設定流量監控...
   狀態：已評估
   ```

5. 補充其他資訊：
   ```
   關聯資產：Web Server 01, Database Server
   負責人：（選擇負責人）
   識別日期：2025-10-31
   審查日期：2026-01-31
   ```

6. 點擊「💾 儲存」按鈕

### 步驟 3：查看統計資料

回到風險列表頁面，您會看到：
- 統計卡片已更新
- 新增的風險顯示在表格中
- 風險等級以彩色標籤顯示

### 步驟 4：篩選與搜尋

嘗試以下操作：
- 🔍 在搜尋框輸入「DDoS」，立即看到篩選結果
- 🏷️ 選擇「極高」等級，只顯示極高風險
- 📊 選擇「已評估」狀態，查看該階段的風險

### 步驟 5：編輯風險

1. 點擊風險列表中的「✏️ 編輯」按鈕
2. 修改風險資訊
3. 更新處理狀態
4. 儲存變更

---

## 🎯 常見使用場景

### 場景 1：定期風險審查

**目標：** 每季度審查所有高風險項目

**操作步驟：**
1. 篩選「高」和「極高」等級
2. 逐一檢視每個風險
3. 更新風險狀態
4. 記錄處理進度
5. 必要時調整風險評級

### 場景 2：資產風險評估

**目標：** 為新資產進行風險評估

**操作步驟：**
1. 識別資產可能面臨的威脅
2. 對每個威脅建立風險記錄
3. 評估可能性和影響度
4. 關聯至相關資產
5. 制定處理計畫

### 場景 3：風險處理追蹤

**目標：** 追蹤風險處理措施的執行

**操作步驟：**
1. 篩選「已處理」狀態的風險
2. 檢視處理描述
3. 確認措施已實施
4. 評估殘餘風險
5. 更新為「監控中」

---

## 💡 最佳實踐

### 風險識別
✅ **建議做法：**
- 定期舉辦風險識別工作坊
- 涵蓋所有關鍵資產
- 考慮內外部威脅
- 記錄完整的風險描述

❌ **避免做法：**
- 只憑直覺評估
- 忽略低可能性但高影響的風險
- 風險描述過於簡略

### 風險評估
✅ **建議做法：**
- 使用一致的評分標準
- 參考歷史資料和業界標準
- 多人評估取得共識
- 定期審查評估結果

❌ **避免做法：**
- 評分標準不一致
- 個人主觀判斷
- 忽略業務影響

### 風險處理
✅ **建議做法：**
- 優先處理高風險項目
- 制定具體可行的措施
- 指派明確的負責人
- 設定合理的時程
- 追蹤執行進度

❌ **避免做法：**
- 處理計畫過於籠統
- 沒有負責人
- 沒有時程管理

---

## 📊 風險等級參考

### 可能性評分標準

| 分數 | 等級 | 說明 | 範例 |
|------|------|------|------|
| 5 | 極高 | 幾乎確定會發生（> 80%） | 已知的系統弱點 |
| 4 | 高 | 很可能發生（60-80%） | 常見的攻擊手法 |
| 3 | 中 | 有可能發生（40-60%） | 偶爾發生的事件 |
| 2 | 低 | 不太可能發生（20-40%） | 罕見的情況 |
| 1 | 極低 | 幾乎不可能（< 20%） | 理論上的威脅 |

### 影響度評分標準

| 分數 | 等級 | 說明 | 範例 |
|------|------|------|------|
| 5 | 極高 | 災難性影響 | 公司倒閉、大規模資料外洩 |
| 4 | 高 | 重大影響 | 營運中斷數日、重要資料外洩 |
| 3 | 中 | 中等影響 | 營運中斷數小時、部分資料外洩 |
| 2 | 低 | 輕微影響 | 短暫不便、少量資料外洩 |
| 1 | 極低 | 微不足道 | 幾乎無影響 |

### 風險矩陣

```
影響度
  ↑
5 │ 🟡  🟠  🟠  🔴  🔴
4 │ 🟡  🟡  🟠  🟠  🔴
3 │ 🟢  🟡  🟡  🟠  🟠
2 │ 🟢  🟢  🟡  🟡  🟠
1 │ 🟢  🟢  🟢  🟡  🟡
  └──────────────────→ 可能性
    1   2   3   4   5

🟢 低風險 (1-4)
🟡 中風險 (5-9)
🟠 高風險 (10-14)
🔴 極高風險 (15-25)
```

---

## 🔧 進階功能

### 批次操作（即將推出）
- 批次匯入風險資料
- 批次更新風險狀態
- 批次指派負責人

### 風險報告（即將推出）
- 自動生成 PDF 報告
- 風險趨勢分析圖表
- 自訂報告範本

### 風險矩陣視覺化（即將推出）
- 互動式 5×5 矩陣圖
- 點擊格子查看風險詳情
- 拖曳風險調整位置

---

## ❓ 常見問題

### Q1: 如何修改風險評分？
A: 點擊風險列表中的「編輯」按鈕，修改可能性或影響度，系統會自動重新計算風險值和等級。

### Q2: 可以刪除已處理的風險嗎？
A: 可以，但建議將狀態改為「已關閉」而不是刪除，以保留歷史記錄。

### Q3: 如何關聯多個資產？
A: 在風險表單的「關聯資產」欄位中，可以選擇多個資產。

### Q4: 風險等級可以手動調整嗎？
A: 風險等級是根據可能性和影響度自動計算的，確保評估的一致性。如需調整，請修改可能性或影響度的評分。

### Q5: 如何追蹤風險處理進度？
A: 使用「狀態」欄位記錄風險處理的階段，並在「處理描述」中記錄具體措施和進度。

---

## 📱 快捷鍵

| 快捷鍵 | 功能 |
|--------|------|
| `G + R` | 前往風險管理頁面 |
| `Ctrl + N` | 新增風險（在風險列表頁面） |
| `Ctrl + S` | 儲存風險表單 |
| `Esc` | 取消/關閉 |

---

## 🆘 需要協助？

### 技術支援
- 📧 Email: support@iso27001-system.com
- 💬 內部支援團隊
- 📚 完整文件：查看 `RISK_MANAGEMENT_COMPLETION.md`

### 訓練資源
- 📺 操作示範影片（即將推出）
- 📖 ISO 27001 風險管理指南
- 🎓 線上訓練課程

---

**祝您使用順利！**  
如有任何問題或建議，歡迎隨時聯繫我們。

---

*最後更新：2025-10-31*