27. 關於風險分析與評估之敘述，下列何者最「不」適切？
(A) 公司最好至少每年定期執行一次風險評鑑
(B) 公司營運重大改變時，應進行風險評鑑
(C) 重大風險項目完成風險處理後，不需進行風險再評估
(D) 進行風險分析與評估前，應先了解相關背景資訊(例 如：法規要求、技術環境…)

總結

風險分析與評估應為一個持續且反覆的過程，需定期或在重大變革時進行，並在完成風險處理後再次評估，同時在評估前充分了解組織背景與法規、技術環境等上下文因素。選項中，唯有「重大風險項目完成風險處理後，不需進行風險再評估」違反了ISO 31000與NIST SP 800-30所強調的**監控與審查（Monitoring & Review）**迭代原則，因此最不適切。(Information Security Program, PRETESH BISWAS, ideagen.com, NIST 出版物)

背景：風險評鑑之持續性與迭代性

• 定期評鑑：最佳實務建議組織「至少每年」進行一次風險評鑑，以維持風險資料之現行性與完整性；同時，若營運或技術環境發生重大變更，亦應立即展開新一輪評鑑，以確保未遺漏新興風險。(Information Security Program, NIST 出版物)

• 事後再評估：ISO 31000 明定風險處理（Risk Treatment）之後，必須透過「監控與審查」機制，評估處置措施之有效性，並依據結果決定是否需進一步處理。(PRETESH BISWAS)

• 事前了解背景：評鑑前應「建立情境」（Establishing the Context），包括組織之活動目標、法規要求、技術環境與利益相關者需求，確保風險評鑑能具備正確的範圍與準則。(ideagen.com, پردازش بنیان شهر)

各選項解析

(A) 公司最好至少每年定期執行一次風險評鑑

• 正確。許多標準與法規（如 HIPAA 和金融業監管）均要求年度檢視，並依公司風險態勢適度調整評鑑頻率。(Information Security Program)

(B) 公司營運重大改變時，應進行風險評鑑

• 正確。NIST SP 800-30 建議：風險評估應在組織或系統產生重大變更（如組織架構、技術平台、法規要求）時重新展開，以因應潛在新風險。(NIST 出版物)

(C) 重大風險項目完成風險處理後，不需進行風險再評估

• 錯誤。ISO 31000 規定，風險處理後必須透過「監控與審查」階段持續評估處置效果，並在必要時進行後續再評估或優化。風險管理為迭代式流程，絕不可在處理後跳過再評估。(Practical Risk Training, PRETESH BISWAS)

(D) 進行風險分析與評估前，應先了解相關背景資訊(例如：法規要求、技術環境…)

• 正確。ISO 31000 定義「情境建立」(Establishing the Context) 為風險管理流程的首要步驟，需蒐集內外部背景以確定範疇、準則與評估方法。(Riskonnect, PRETESH BISWAS)

結論

最不適切的敘述為 (C)，因其違背了風險管理中「監控與審查」之迭代原則，風險處理後必須再次評估其成效並決定是否需進行進一步處置。