36. 有關風險處理計畫之敘述，下列哪些項目最為適切？(複選)
(A) 風險處理計畫之目的為規範如何實施選定之風險處理選項
(B) 風險處理計畫應明確鑑別風險處理實施之順序
(C) 風險處理計畫之內容必須包含所有外部關注方之回饋
(D) 風險處理計畫之內容應包含風險當責者及核准與實施風險處理計畫之人員

這題的正確答案是 (A)、(B)、(D)。

以下是針對各選項的詳細解析，依據 ISO 27001 與 ISO 27005 風險管理實務：

• ✅ (A) 風險處理計畫之目的為規範如何實施選定之風險處理選項

  • 正確。風險處理計畫（Risk Treatment Plan, RTP）的核心目的就是將「策略」轉化為「行動」。當組織決定要降低、轉移或接受某些風險後，必須透過此計畫來詳細說明具體要「做什麼」以及「如何做」。

• ✅ (B) 風險處理計畫應明確鑑別風險處理實施之順序

  • 正確。組織的資源（人力、預算、時間）是有限的，無法同時處理所有風險。因此，風險處理計畫必須依據風險的嚴重程度（高風險優先）、成本效益或急迫性，來排定實施控制措施的優先順序（Priorities）。

• ❌ (C) 風險處理計畫之內容必須包含所有外部關注方之回饋

  • 不適切。雖然在建立風險管理全景（Context）時需要考量相關關注方（Stakeholders）的需求，且在溝通諮詢階段會與之互動，但風險處理計畫這份文件本身的主要內容是關於「行動方案、責任歸屬、資源分配、時程」。要求計畫內容「必須」包含「所有」外部關注方的回饋過於絕對且不切實際，這通常不是 RTP 的標準必要欄位。

• ✅ (D) 風險處理計畫之內容應包含風險當責者及核准與實施風險處理計畫之人員

  • 正確。在 ISO 27001 中，定義「風險擁有者 (Risk Owner)」至關重要。計畫必須明確指出誰負責這項風險（當責者）、誰負責執行改善措施（實施人員），以及計畫最終由誰簽核通過（核准人員），以確保責任歸屬清晰。