30. 題組背景描述如附圖。關於資訊安全管理系統(Information Security Management System, ISMS)提供的風險評鑑方法,藉由資產分類,並判 斷其價值與重要性,作出弱點及威脅分析,進行風險分析、風險評估 及風險處理的規劃流程,對 C 公司而言,在企業有限的資源下,下列 何者在風險控管處理上較「不」適切?
(A) 根據風險評估與業務營運衝擊做出的決定相關資安資源投入的多 寡
(B) 風險評估完成後,所有風險項目必須擬訂風險改善計畫,明定管 理階層的責任範圍與一般步驟處理
(C) 由風險值之高低決定風險控管之優先順序,風險處理對策應採取 適當的控制措施與風險避免的方法,以達到降低風險發生機率或 影響程度
(D) 極度危險的風險,就需要立即採取行動,高度危險的風險,管理 階層需督導所屬研擬計畫並提供資源,但是發生機率低的項目可 以採用風險分擔模式

答案:登入後查看
統計: A(75), B(279), C(36), D(153), E(0) #2797711

詳解 (共 4 筆)

#5753202
風險評鑑流程:風險識別-風險分析-風險評...
(共 119 字,隱藏中)
前往觀看
13
0
#6187710
雖然進行風險評估後確定所有風險項目並擬訂風險改善計畫是標準的做法,但在企業有限的資源下,並非所有風險項目都需要立即改善或制定詳細的改善計畫。更實際的做法應該是根據風險的嚴重性和發生的可能性來決定哪些風險需要優先處理。對於那些影響較小或發生機率較低的風險,可以考慮推遲處理或採用其他風險處理方式(如風險分擔或接受)。因此,選項 B 所述的「所有風險項目必須擬訂風險改善計畫」的做法在資源有限的情況下是不夠靈活和實際的,因而較不適切。
1
0
#6163870
(B) 風險評估完成後,所有風險項目必須擬訂風險改善計畫,明定管 理階層的責任範圍與一般步驟處理
ㅤㅤ
並不是所有風險都需要有風險改善計畫
0
0
#6316190
(B) 風險評估後,企業應優先處理「高風...
(共 170 字,隱藏中)
前往觀看
0
0

私人筆記 (共 1 筆)

私人筆記#4957855
未解鎖
解析:風險評鑑流程:風險識別-風險分析-...
(共 120 字,隱藏中)
前往觀看
0
0