複選題21. 組織應定義並應用資訊安全風險處理過程，以達成以下哪些事項？ (A)考量風險評鑑結果，選擇適切之資訊安全風險處理選項，決定所有必須實作之控制措施，並確認未忽略必要之控制措施 (B)產生適用性聲明，包括必要之控制措施，且不論是否實作，提供納入之理由，以及由附錄 A 排除之理由，並制訂資訊安全風險處理計畫 (C)取得風險擁有者對資訊安全風險處理計畫之核准，以及剩餘資訊安全風險之接受 (D)應保存關於資訊安全風險處理過程之文件化資訊