34. 有關風險處理的描述，下列何者最為適切？
(A) 該資產的使用者，即為需決定風險處理方式的角色
(B) 資產擁有者不需要參與識別其資產相關聯之風險
(C) 風險評鑑進行完成後，再決定建立風險接受準則以進行後續風險處理
(D) 需考量風險評鑑的結果，由風險擁有者於風險處理的選 項中，選擇適切之方式

這題的正確答案是 (D) 需考量風險評鑑的結果，由風險擁有者於風險處理的選項中，選擇適切之方式。

以下是詳細的解析，說明為何 (D) 是正確的，以及其他選項為何不恰當：

• ✅ (D) 需考量風險評鑑的結果，由風險擁有者於風險處理的選項中，選擇適切之方式

  • 正確原因：根據 ISO 27001/ISO 27005 等資安風險管理標準，風險擁有者 (Risk Owner) 是指對該風險負有當責（Accountability）與擁有權限的人（通常是高階主管或單位主管）。只有風險擁有者有權力決定是否要花費預算來降低風險，或是簽署文件表示願意接受該風險（Risk Acceptance）。因此，由風險擁有者依據評鑑結果來做決策是最標準的流程。

• ❌ (A) 該資產的使用者，即為需決定風險處理方式的角色

  • 錯誤原因：資產的使用者 (User) 通常只負責操作，沒有權限決定資源分配或承擔業務風險。決定風險處理方式（例如：要不要買防火牆、要不要停止某項業務）涉及預算與管理責任，這是風險擁有者或資產擁有者的權責。

• ❌ (B) 資產擁有者不需要參與識別其資產相關聯之風險

  • 錯誤原因：資產擁有者 (Asset Owner) 通常是最了解該資產價值、用途以及若資產受損會造成何種影響的人。因此在風險識別 (Risk Identification) 的過程中，資產擁有者的參與至關重要，否則評估出的風險可能會失真。

• ❌ (C) 風險評鑑進行完成後，再決定建立風險接受準則以進行後續風險處理

  • 錯誤原因：這是一個常見的流程陷阱。風險準則 (Risk Criteria)（包含風險接受準則）應該在風險管理流程的最開頭，也就是**「全景建立 (Context Establishment)」**階段就要定義好。

  • 就像考試前要先訂好及格標準（例如 60 分），而不是考完試看完成績後才決定幾分算及格。如果評鑑完才訂標準，容易導致標準不一或因人設事。

總結風險管理流程順序：

1. 全景建立（訂定風險準則/接受標準）

2. 風險評鑑（識別 -> 分析 -> 評估）

3. 風險處理（由風險擁有者依據評鑑結果與準則做決定）

• ✅ (D) 正確原因：
  根據 ISO 27001 等資安管理標準，風險處理（Risk Treatment）必須依據風險評鑑的結果（風險等級、優先順序）來決定 HackMD。此外，風險擁有者（Risk Owner） 是最終對風險負責任的人，因此必須由其從風險修正（降低）、風險保留（接受）、風險避免或風險分擔（轉移）等選項中選擇最適合的處理方式 yamol.tw。
• ❌ (A) 錯誤原因：
  資產使用者（User） 僅負責資產的使用授權，並不具備決定風險處理方式的最終權限；該權限通常屬於風險擁有者或資產擁有者 。
• ❌ (B) 錯誤原因：
  資產擁有者負責資產的生產、維護及安全，對於資產面臨的威脅與弱點最為了解，因此必須參與風險識別的過程，以確保風險評估的完整性 資安風險管理與資產盤點。
• ❌ (C) 錯誤原因：
  風險接受準則（Risk Acceptance Criteria） 應在「風險評鑑」開始前或過程中（建立全景階段）即訂定完成，作為後續判斷風險是否可被接受的基準，而不是在評鑑完後才決定準則 法務部調查局。