38. 【題組 5】情境如圖所示。關於此事件之風險處理，下列何者最 「不」合適？
(A) 風險降低(Risk Reduction)
(B) 風險避免(Risk Avoidance)
(C) 風險接受(Risk Acceptance)
(D) 風險轉移(Risk Transfer)

這題的正確答案是 (C) 風險接受 (Risk Acceptance)。

以下是詳細解析，說明為何針對此勒索攻擊事件的情境，「風險接受」是最不合適的處理方式：

1. 情境分析 (風險嚴重度極高)：

   • 衝擊 (Impact)：題目指出核心系統 (ERP, CRM) 全面癱瘓、備份被刪、生產與供應鏈停擺、機密資料外洩。這屬於災難級 (Catastrophic) 的後果，直接威脅企業的生存。

   • 可能性 (Likelihood)：勒索攻擊是當前極為頻繁且具針對性的威脅。

2. 風險處理原則：

   • 在資訊安全風險管理標準 (如 ISO 27005、NIST SP 800-30) 中，對於**「高衝擊、高可能性」**的極端風險，組織必須採取積極的行動來處理。

   • 風險接受 (Risk Acceptance) 通常僅適用於低風險，或是當處理風險的成本遠高於潛在損失時（且該損失在組織可承受範圍內）。

   • 面對會導致公司停擺、商譽毀滅的風險，採取「風險接受」（即不採取任何防護措施，發生了就認賠）絕對是最不合適且不負責任的管理決策。這等同於拿公司的存亡去賭博。

3. 其他選項的可行性分析：

   • (A) 風險降低 (Risk Reduction)：這是最標準且必要的作法。例如：建置異地備份、導入 EDR 端點防護、定期演練、修補漏洞等，都能有效降低發生機率或災害影響。

   • (D) 風險轉移 (Risk Transfer)：這也是合適的策略。例如：購買資安保險 (Cyber Insurance)，當事故發生時由保險公司分擔贖金或復原成本，減少財務衝擊。

   • (B) 風險避免 (Risk Avoidance)：雖然對於核心業務來說很難完全「避免」（例如不能為了怕被駭就不開公司），但在特定層面上是可行的。例如：決定「不使用」某個安全性過低的老舊系統、或是決定「不蒐集」不必要的敏感個資以避免外洩風險。雖然執行難度高，但相比於「接受」滅頂之災，「避免」仍然是一個理論上存在的安全選項（即使意味著業務縮減）。

總結：

對於攸關企業生死的勒索病毒威脅，絕對不能採取 (C) 風險接受 的消極態度，必須積極進行降低、轉移或在必要時避免特定高風險行為。