26. 如附圖所示，依據 ISO/CNS 31010 當資通安全主管決定利用「後果 /機率矩陣」模型完成以資通資產（Asset）為基礎的風險評鑑。附圖中的哪些項目比較能夠說明該方式可能會得到的結果？

(A) 1、2、3
(B) 2、3、6
(C) 3、4、5
(D) 1、4、5、6

詳細分析 ISO/CNS 31010 中「後果/機率矩陣」模式的完整風險評鑑流程：

後果/機率矩陣風險評鑑的完整流程：

第一階段：風險識別與評估

• 識別資通資產面臨的威脅
• 評估風險發生的可能性
• 評估風險造成的影響程度

第二階段：風險分析

• 將可能性和影響程度對應到矩陣中
• 計算風險等級（通常分為高、中、低風險）

第三階段：風險評價與處理規劃

• 基於風險等級決定處理策略
• 制定具體的風險處理措施

各項目在風險評鑑中的作用分析：

1. 復原時間目標（RTO） ❌

• 這是業務影響分析（BIA）的技術指標
• 不是後果/機率矩陣評估的直接要素

2. 受到影響的可能性（likelihood） ✅

• 核心要素：矩陣的 Y 軸或 X 軸之一
• 評估威脅發生的機率

3. 影響程度（Impact） ✅

• 核心要素：矩陣的另一軸
• 評估風險實現時對組織的衝擊

4. 營運持續（Continuity）策略 ❌

• 這是基於風險評估結果制定的應變策略
• 屬於風險處理階段，不是評估階段的直接要素

5. 營運復原（Recovery）策略 ❌

• 同樣是風險處理策略
• 不是風險評估的核心要素

6. 風險處理事項 ✅

• 這是風險評鑑的最終輸出
• 基於矩陣分析結果制定的具體處理措施
• 是完整風險評鑑流程的必要組成部分

答案：(B) 2、3、6

理由：

• 項目2、3：後果/機率矩陣的兩個核心評估維度
• 項目6：基於矩陣分析結果產生的風險處理計畫，是風險評鑑的重要輸出成果

完整的風險評鑑不僅包括風險分析，還包括基於分析結果制定的處理方案。