34. 針對風險處理的描述，下列何者最「不」適切？
(A) 風險處理計畫的核准，須取得風險擁有者的核准
(B) 風險處理需考量組織所獲得之潛在利益與實施的成本 等因素，選擇最適當的風險處理方式
(C) 執行完風險處理後，預計會降低到可接受風險以下， 剩餘之資訊安全風險不需要風險擁有者再次的核可
(D) 風險處理可以選取多種方式同時進行

摘要

風險處理（Risk Treatment）是一個迭代流程，涵蓋多種處理選項可同時採用、需依成本效益評估、以及處理計畫──包括殘留風險──都必須經風險擁有者核准。【(Advisera, Practical Risk Training, High Table)】

各選項解析

(A) 風險處理計畫的核准，須取得風險擁有者的核准

風險處理計畫在執行前，必須由對應的風險擁有者審閱並正式核准，且在管理評審時須記錄該核准決策，以明確責任歸屬【(High Table)】【(Reddit)】。此為 ISO/IEC 27001 第 6.1.3 款的明文要求。

(B) 風險處理需考量組織所獲得之潛在利益與實施的成本等因素，選擇最適當的風險處理方式

ISO 31000 明確指出，在選擇風險處理選項時，應進行成本效益分析，衡量控管措施帶來的減少風險效益與實施成本，以確保決策具備經濟可行性並與組織策略對齊【(Riskonnect, Accendo Reliability)】。

(C) 執行完風險處理後，預計會降低到可接受風險以下，剩餘之資訊安全風險不需要風險擁有者再次的核可

此敘述錯誤。ISO 27001 及 ISO 31000 均要求殘留風險（Residual Risk）在處理後仍必須由風險擁有者接受並核可，方可正式結案；若殘留風險超出可接受範圍，則需進行進一步處理或調整方案【(High Table, insights.cermacademy.com)】。

(D) 風險處理可以選取多種方式同時進行

ISO 31000 規定風險處理選項可個別或結合多種方式（包括避免、減輕、轉移、保留及接受風險以尋求機會等），同時對不同風險面向進行綜合管控，以達成最佳防護效果【(Advisera, Sprinto)】。

結論

最不適切的敘述為 (C)，因為殘留風險在風險處理後仍需由風險擁有者再次核可，否則無法正式結束該風險的管理流程。