阿摩線上測驗
22. 關於資通安全風險處理內容的描述,下列何者較為正確?
(A) 風險保留(Risk Retention)是組織避免接受任何風險的做法,確保避開所有可能對組織產生負面影響的風險
(B) 風險修改(Risk Modification)是指組織不對風險採取任何行動,接受風險的存在並準備承擔其後果
(C) 風險分擔(Risk Sharing)是透過與其他組織或他方分享風險來分散風險,例如透過保險或委外來達成
(D) 風險避免(Risk Avoidance)是指組織採取措施主動減少風險的可能性和影響,例如通過技術改進或政策更新
答案:登入後查看
統計: A(3), B(0), C(50), D(12), E(0) #3671708
統計: A(3), B(0), C(50), D(12), E(0) #3671708
詳解 (共 1 筆)
hiiii
#7064714
正確答案是 ✅ (C) 風險分擔 (Risk Sharing)。
?題意解析:
題目在考「風險處理 (Risk Treatment) 的四種典型策略」的正確定義與用語。
這些定義來自 ISO/IEC 27005:2022 與 ISO 31000:2018。
?標準依據:風險處理的四種主要方式
| 策略 | 英文 | 定義 | 範例 |
|---|---|---|---|
| 風險避免 | Risk Avoidance | 組織停止或不從事高風險活動以完全避免風險 | 不開放高風險網銀功能 |
| 風險降低 / 修改 | Risk Reduction / Risk Modification | 採取控制措施以降低風險的發生機率或影響程度 | 安裝防火牆、加強身分驗證 |
| 風險分擔 / 轉移 | Risk Sharing / Risk Transfer | 與第三方分擔或移轉部分風險 | 投保、外包、合約責任 |
| 風險接受 / 保留 | Risk Acceptance / Risk Retention | 在風險於可接受範圍內時選擇自行承擔 | 小額資損由公司自行吸收 |
⚖️選項逐一分析:
| 選項 | 說明 | 判定 |
|---|---|---|
| (A) 風險保留:避免接受任何風險 | ❌ 錯。實際上「風險保留」= 接受風險,而非避免。 | |
| (B) 風險修改:不採取行動接受風險 | ❌ 錯。「修改」= 採取行動降低風險。描述與「風險接受」混淆。 | |
| (C) 風險分擔:與他方分享風險(保險、委外) | ✅ 正確定義,符合 ISO/IEC 27005。 | |
| (D) 風險避免:主動減少風險 | ❌ 錯。「減少」屬於「風險降低/修改」,非避免。避免是不做該活動。 |
✅ 正確答案: (C) 風險分擔 (Risk Sharing)
0
0