34. 有關風險處理的描述，下列何者最為適切？
(A) 該資產的使用者，即為需決定風險處理方式的角色
(B) 資產擁有者不需要參與識別其資產相關聯之風險
(C) 風險評鑑進行完成後，再決定建立風險接受準則以進行後續風險處理
(D) 需考量風險評鑑的結果，由風險擁有者於風險處理的選 項中，選擇適切之方式

這題的正確答案是 (D) 需考量風險評鑑的結果，由風險擁有者於風險處理的選項中，選擇適切之方式。

以下是詳細的解析，說明為何 (D) 是正確的，以及其他選項為何不恰當：

• ✅ (D) 需考量風險評鑑的結果，由風險擁有者於風險處理的選項中，選擇適切之方式

  • 正確原因：根據 ISO 27001/ISO 27005 等資安風險管理標準，風險擁有者 (Risk Owner) 是指對該風險負有當責（Accountability）與擁有權限的人（通常是高階主管或單位主管）。只有風險擁有者有權力決定是否要花費預算來降低風險，或是簽署文件表示願意接受該風險（Risk Acceptance）。因此，由風險擁有者依據評鑑結果來做決策是最標準的流程。

• ❌ (A) 該資產的使用者，即為需決定風險處理方式的角色

  • 錯誤原因：資產的使用者 (User) 通常只負責操作，沒有權限決定資源分配或承擔業務風險。決定風險處理方式（例如：要不要買防火牆、要不要停止某項業務）涉及預算與管理責任，這是風險擁有者或資產擁有者的權責。

• ❌ (B) 資產擁有者不需要參與識別其資產相關聯之風險

  • 錯誤原因：資產擁有者 (Asset Owner) 通常是最了解該資產價值、用途以及若資產受損會造成何種影響的人。因此在風險識別 (Risk Identification) 的過程中，資產擁有者的參與至關重要，否則評估出的風險可能會失真。

• ❌ (C) 風險評鑑進行完成後，再決定建立風險接受準則以進行後續風險處理

  • 錯誤原因：這是一個常見的流程陷阱。風險準則 (Risk Criteria)（包含風險接受準則）應該在風險管理流程的最開頭，也就是**「全景建立 (Context Establishment)」**階段就要定義好。

  • 就像考試前要先訂好及格標準（例如 60 分），而不是考完試看完成績後才決定幾分算及格。如果評鑑完才訂標準，容易導致標準不一或因人設事。

總結風險管理流程順序：

1. 全景建立（訂定風險準則/接受標準）

2. 風險評鑑（識別 -> 分析 -> 評估）

3. 風險處理（由風險擁有者依據評鑑結果與準則做決定）