經歷SARS事件，國內許多企業都認知到應加強風險管理的概念與能力。除了疾病的風險管理之外，資訊安全的風險管理也不能忽視。在超微利時代，能預做資訊安全管理的企業，往往可以降低不必要的成本花費，化風險於無形、穩健經營。 致遠會計師事務所企業風險管理部副理徐文清表示，預防資訊駭客，不能只考量從外部來的威脅。去年發生不法分子利用兩家銀行人員竊取百萬筆信用卡資料，或是利用公司內部資訊人員作業之便，將信用卡客戶資料外洩；被竊取資料的公司都有購買資訊安全相關設備，如：防火牆、入侵偵測系統，甚至連資料傳輸加密器都使用，卻仍然發生狀況，顯然是內部控管出了問題。 徐文清說，以往人們談到資訊系統相關責任歸屬時，大都認為應由資訊部全權負責，但是現在對於維繫企業營運所需的重要命脈數位化資訊與系統，恐怕就不是僅由資訊部單一部門負責就可以。在國外，企業為了確保這些重要資訊的機密性、完整性及可用性，將其納入企業風險管理範疇內，特別成立獨立的安全部門，由其訂定符合企業營運目標的資訊安全策略，以確保公司主要營運活動能持續運作，數位化資訊不會被駭客竊取，維持企業競爭利基。 徐文清指出，在規劃資訊安全風險管理時，業界有很多標準可以參考，如ISO/IEC 17799、BS7799、CNS 17799、COBIT、HIPAA等，企業最常面臨到的難題不是該採用哪種標準，而是：預算有限、風險繁多、該如何下手？當企業完成風險辨識與企業衝擊分析以後，可依據資訊安全風險高低排序，利用成本效益分析，或是由IDAHO研究機構所提出之資訊安全投資報酬，將相關控管程序與稽核制度導入。 資訊安全風險管理並非一成不變，由於資訊安全風險是由人、內部流程、資訊技術、外部事件等四個主要類別組成，當這些類別內之成分因子有所異動時，企業須做出適當評估與反應，以免蒙受不必要成本支出。