30. 【題組 4】情境如附圖所示。若 S 公司風險評估後，發現在歐洲地區法令遵循風險過高，決定關閉該地區的銷售網站，請問此項做法屬於下列何項風險措施？
(A) 風險保留(Risk Retention)
(B) 風險降低(Risk Reduction)
(C) 風險轉移(Risk Transfer)
(D) 風險避免(Risk Avoidance)

(A) 風險保留（Risk Retention）

• 定義：
  • 風險保留是選擇接受風險影響，不採取任何緩解措施。
• 適用性：
  • 對於重大資安漏洞，尤其是可能造成大量資料外洩的情境，風險保留的後果非常嚴重，並不合適。
• 結論：❌ 不適合

(B) 風險降低（Risk Reduction）

• 定義：
  • 採取技術或管理措施來降低風險的可能性或影響，例如修補漏洞、加強系統防護或改進安全架構。
• 適用性：
  • 修復重大資安漏洞和加強網購系統防護是應對此類風險的必要手段，直接降低風險影響。
• 結論：✅ 適合

(C) 風險轉移（Risk Transfer）

• 定義：
  • 將風險的影響部分或全部轉移給第三方，例如購買資安保險或與雲服務供應商簽訂責任條款。
• 適用性：
  • 資安保險可以減輕資料外洩後的經濟損失，屬於務實且輔助性的解決方案。
• 結論：✅ 適合

(D) 風險避免（Risk Avoidance）

• 定義：
  • 通過改變業務流程或停止某項活動來完全避免風險。
• 適用性：
  • 由於網購業務占公司整體收益的 90%，關閉網購系統會對公司業務造成巨大影響，因此不可行。
• 結論：❌ 不適合