16. 【題組 2】情境如附圖所示，承上題，資訊室同仁在導入 ISO 27001 的過程中，目前已經完成「風險評估」，而同仁正在啟動「實施控制」施行對策，你發現同仁跳過了一個管理流程，這個流程是下列何項？
(A) 建立風險接受準則
(B) 訂定資訊安全政策
(C) 建立風險處理框架
(D) 監控和檢查控制效果

答案：
(C) 建立風險處理框架

解釋各選項

1. (A) 建立風險接受準則
   一般在執行風險評估（Risk Assessment）前，就應先訂出風險接受準則（Risk Acceptance Criteria），用來判斷哪些風險可以接受、哪些需要進一步處置。因此，這個步驟通常是在進行風險評估之前或同步進行，不會是在風險評估與執行控制之間。

2. (B) 訂定資訊安全政策
   在導入 ISO 27001 的初期階段，組織會先訂定「資訊安全政策」，做為 ISMS（資訊安全管理系統）的最高原則與方向。這往往是最先完成的工作之一，目的在於確立管理階層的支持，以及對整個組織的資訊安全方針進行宣示。

3. (C) 建立風險處理框架
   在完成風險評估之後，通常必須依據評估結果，進一步擬定「風險處理計畫」或「風險處理框架」（Risk Treatment Framework），決定要採取哪些控制措施、由誰來執行、如何分配資源以及如何追蹤執行情況等。題目中提及已做完「風險評估」就直接進入「實施控制」，表示他們跳過了「如何系統性擬定並管理各項控制之落實方法」這個重要流程，即 (C) 建立風險處理框架。

4. (D) 監控和檢查控制效果
   監控與檢查控制的有效性（Monitoring and Reviewing）通常是在控制措施實施之後，透過持續的監測與稽核，來確認控制是否發揮預期效果、是否需要修正或改進。這個步驟屬於後續的持續改善階段，並非在風險評估與實施控制之間。

總結而言，題目所指的「被跳過」的管理流程，就是在做完風險評估後應該制定的「風險處理計畫」或「風險處理框架」。因此，正確答案為選項 (C)。