39. 【題組 5】情境如圖所示。若 A 公司未來購買資安保險是屬於下列何種風險處理？
(A) 風險降低(Risk Reduction)
(B) 風險避免(Risk Avoidance)
(C) 風險接受(Risk Acceptance)
(D) 風險轉移(Risk Transfer)

這題的正確答案是 (D) 風險轉移 (Risk Transfer)。

以下是詳細解析：

1. 風險轉移 (Risk Transfer) / 風險分擔 (Risk Sharing) 的定義：

   • 這是指將風險造成的損失或財務負擔，轉嫁給第三方來承擔。

   • 購買保險 (Insurance) 是最典型的風險轉移例子。當 A 公司購買資安保險後，雖然駭客攻擊的可能性（發生率）並沒有因此降低，但一旦發生事故，原本公司需要獨自承擔的巨大財務損失（如贖金、調查費用、停工損失），將由保險公司依合約進行理賠與分擔。

2. 為什麼其他選項不符合：

   • (A) 風險降低 (Risk Reduction)：這通常指採取技術或管理控制措施（如安裝防火牆、導入防毒軟體、定期備份）來減少風險發生的「機率」或「衝擊」。買保險並不能阻止駭客入侵，所以不是風險降低。

   • (B) 風險避免 (Risk Avoidance)：這指停止從事產生風險的活動（例如：因為怕網路攻擊而決定完全不連網，或是關閉某項高風險業務）。買保險時業務仍在繼續，所以不是避免。

   • (C) 風險接受 (Risk Acceptance)：這指不採取任何措施，準備自己承擔所有損失。買保險需要付保費並簽訂合約以轉嫁損失，顯然不是被動的接受。

結論：

購買資安保險是為了將財務衝擊轉嫁給保險公司，因此屬於 (D) 風險轉移。