25. 關於風險管理流程之敘述，下列何者錯誤？
(A) 有些辨識出的風險經過分析與評估之後，可以考量接受該風險
(B) 風險處理的成本與風險的嚴重性可能沒有直接關係
(C) 通過 ISO 27001 驗證之公司，進行風險評鑑時，必須通過 ISO 31000 風險管理系統驗證
(D) 決定處理風險優先項目，是依據風險分析與評估後，所判斷的風險嚴重性做為依據

(A) 有些辨識出的風險經過分析與評估之後，可以考量接受該風險 ✅ 正確 風險處理策略包含四種選擇：接受(Accept)、降低(Mitigate)、轉移(Transfer)、避免(Avoid)。當風險的影響程度在組織可容忍範圍內，或處理成本過高時，組織可以選擇接受該風險。

(B) 風險處理的成本與風險的嚴重性可能沒有直接關係 ✅ 正確 風險處理成本取決於所選擇的控制措施和技術解決方案，而非風險本身的嚴重性。例如：

• 低嚴重性風險可能需要昂貴的技術解決方案
• 高嚴重性風險可能透過簡單的程序控制就能有效降低
• 處理成本主要由解決方案的複雜度和資源需求決定

(C) 通過 ISO 27001 驗證之公司，進行風險評鑑時，必須通過 ISO 31000 風險管理系統驗證 ❌ 錯誤

• ISO 27001 是資訊安全管理系統標準，內建風險管理要求
• ISO 31000 是通用風險管理指導原則和框架
• ISO 27001 已包含完整的風險管理流程，不需要額外通過 ISO 31000 驗證
• 兩者是獨立的標準，沒有強制性的相依關係

(D) 決定處理風險優先項目，是依據風險分析與評估後，所判斷的風險嚴重性做為依據 ✅ 正確 風險優先順序通常基於風險評估結果，考量風險的嚴重性（影響程度×發生機率），優先處理高風險項目。

答案：(C) 錯誤

ISO 27001 本身就包含完整的風險管理要求，組織不需要額外通過 ISO 31000 驗證。兩個標準雖然都涉及風險管理，但適用範圍和要求不同，沒有強制性的相依關係。