阿摩線上測驗
21. 下列何種「不」是風險處理的策略之一?
(A) 風險降低(Risk Reduction)
(B) 風險避免(Risk Avoidance)
(C) 風險轉移(Risk Transfer)
(D) 風險拒絕(Risk Reject)
答案:登入後查看
統計: A(1), B(1), C(1), D(62), E(0) #3671707
統計: A(1), B(1), C(1), D(62), E(0) #3671707
詳解 (共 1 筆)
hiiii
#7064713
正確答案是 ✅ (D) 風險拒絕 (Risk Reject)。
?題意解析:
題目問:「哪一項不是風險處理策略之一」
這是 ISO/IEC 27005、ISO 31000、以及 ISO/IEC 27001:2022 中非常典型的基本題。
?依據標準:ISO/IEC 27005:2022 §8.3「Risk treatment options」
標準明定的四大風險處理策略如下:
| 策略 | 英文名稱 | 定義 | 範例 |
|---|---|---|---|
| 風險降低 (Risk Reduction / Mitigation) | 採取控制措施以降低風險發生的機率或影響程度 | 安裝防火牆、加密、教育訓練 | |
| 風險避免 (Risk Avoidance) | 透過不進行或停止活動來完全避免風險 | 不採用高風險的雲端服務 | |
| 風險轉移 (Risk Transfer / Sharing) | 將部分風險移轉給第三方 | 投保資安保險、外包服務 | |
| 風險留存 (Risk Retention) | 在風險於可接受範圍內時同意承擔 | 小額風險由公司自行吸收 |
⚖️選項分析:
| 選項 | 說明 | 判定 |
|---|---|---|
| (A) 風險降低 | 四大策略之一 | ✅ |
| (B) 風險避免 | 四大策略之一 | ✅ |
| (C) 風險轉移 | 四大策略之一 | ✅ |
| (D) 風險拒絕 (Risk Reject) | ❌ 沒有此正式術語;正確為「風險接受 (Risk Acceptance)」 | ❌ 不屬策略之一 |
✅ 正確答案: (D) 風險拒絕 (Risk Reject)
0
0