試題詳解

38. 【題組 5 背景描述如附圖】風險處理實務中，針對定量分析 （Quantitative），可以計出精準的風險危害程度，計算出可 被度量的數值，一般來說，它是金錢的單位，要計算出一年 內單一風險因子對於資訊資產產生單一危害。經過評估，本 項網站弱點資產價值為 120 萬元，已識別出有 3 個可利用的 弱點，可取得網站上所有員工的個人資料，無論其弱點的多 寡，其危害網站 40%的價值，該 EIP 網站並未被公開於網路 上，但在過去此類內部網站弱點被利用一年內約有 12%的弱 點被利用，請問其年損失期望計算下列何者正確？
(A) 120 萬 * 3 * 40% * 12%
(B) (120 萬 * 3 * 40%) – (120 萬 * 12%)
(C) (120 萬 * 40%) * 12%
(D) (120 萬 * (40%/3) * 12