5. 某金融科技公司正在導入 ISO/IEC 27001:2022 資訊安全管理系統(ISMS)。資訊安全主管要求團隊對公司資訊系統進行風險評鑑。團隊首先建立風險接受準則與評鑑方法，接著識別可能影響系統機密性、完整性與可用性的風險，例如資料外洩或系統中斷，並指定各風險的負責人。之後再評估風險發生的可能性與可能造成的影響，據此判定風險等級，並依據風險準則決定優先處理的風險。依據 ISO/IEC 27001:2022 第 6.1.2 條「資訊安全風險評鑑」的要求，上述作法最符合下列哪一項說明？ (A) 依據各部門主管的經驗判斷可能風險，並由管理階層決定是否需要處理風險 (B) 針對過去曾發生的資安事件進行檢討，以作為未來資訊安全風險管理的主要依據 (C) 先導入資訊安全技術控制措施，例如防火牆與加密機制，再評估其對降低風險的效果 (D) 建立風險準則，識別與分析資訊安全風險，評估風險等級並決定風險處理優先順序