試題詳解

33. 關於風險處理的敘述，下列何者正確？
(A) 風險可接受準則需先定義清楚，風險評鑑結果超過 此準則就必須進行風險處理，以降低風險
(B) 風險處理須實施的控制措施，皆必須參考 ISO 27001 的附錄Ａ
(C) 風險處理計畫及殘餘風險的結果，須由資產擁有者 確認
(D) 風險處理後所剩餘的風險必須為零