複選題
36. 關於「風險」與「風險管理」的敘述，下列哪些正確？
(A) 風險是外部威脅利用弱點對內部資產造成衝擊的可能性
(B) 通常風險管理都會以 ISO/IEC 27005 風險管理指引作為參考
(C) 風險分析可依可用性、完整性、機密性加以質化後，決定風險等級
(D) 進行風險識別須包含威脅識別與弱點識別

在這種資安證照的考題邏輯中，(C) 確實是一個非常經典的「半對半錯」陷阱。以下是重新梳理後的精確解析，幫助你鞏固觀念：

1. 為什麼 (C) 是錯的？（陷阱點）

• 解析： 這是本題最容易失分的地方。CIA（機密性、完整性、可用性）的質化評估，通常是用來決定「資產價值」或「衝擊程度（Impact）」。

• 關鍵： 根據風險公式：風險等級 = 衝擊 (Impact) × 發生可能性 (Likelihood)。

• 僅評估 CIA 只能告訴你「如果出事了會多嚴重」，但如果缺乏「發生的機率」，是無法推導出最終的「風險等級」的。因此 (C) 在邏輯上是不完整的。

2. 為什麼 (A)、(B)、(D) 是正確的？

• (A) 風險是外部威脅利用弱點對內部資產造成衝擊的可能性

  • 解析： 雖然在更廣義的資安觀念中，威脅也包含內部（如員工誤操作），但在許多標準教材與考試（如 IPAS 或早期資安教材）中，這句話被視為風險的核心定義。它精確描述了「威脅、弱點、資產、衝擊、可能性」這五個關鍵要素。

• (B) 通常風險管理都會以 ISO/IEC 27005 風險管理指引作為參考

  • 解析： 正確。ISO 27005 是國際公認的資安風險管理標準，提供了詳細的執行框架。

• (D) 進行風險識別須包含威脅識別與弱點識別

  • 解析： 正確。在風險識別階段，必須同時找出「環境中有哪些威脅」以及「系統有哪些弱點」，兩者交織才能定義出具體的風險情境。