31. 【題組 4】情境如圖所示。承上題，XYZ 公司風險評估後，決定導入「產品安全開發生命週期(Product Security Development Life Cycle, PSDLC)」管理制度與定期稽核，此程序主要是屬於 下列那一類型的風險處理措施？
(A) 風險修改(Risk Modification)
(B) 風險避免(Risk Avoidance)
(C) 風險保留(Risk Retention)
(D) 風險分擔(Risk Sharing)

這題的正確答案是 (A) 風險修改(Risk Modification)。

以下是詳細解析：

1. 風險處理 (Risk Treatment) 的定義：

   • 風險修改 (Risk Modification) / 風險緩解 (Risk Mitigation)：採取措施來降低風險發生的可能性或減少風險發生時的影響。導入控制措施（Control）、改變流程或技術都屬於此類。

   • 風險避免 (Risk Avoidance)：決定不進行或終止產生風險的活動。例如：因為某功能資安風險太高且無法修復，決定直接取消開發該功能。

   • 風險保留 (Risk Retention) / 風險接受 (Risk Acceptance)：接受風險的現狀，不採取進一步措施（通常是因為風險在可接受範圍內，或是處理成本高於風險損失）。

   • 風險分擔 (Risk Sharing) / 風險轉移 (Risk Transfer)：與另一方分擔風險，例如購買保險或將業務外包。

2. 情境分析：

   • 題目中 XYZ 公司決定導入「產品安全開發生命週期 (PSDLC)」並進行「定期稽核」。

   • PSDLC 的目的是在產品開發的各個階段（需求、設計、編碼、測試等）加入資安檢測與規範，目的是為了及早發現並修補漏洞，從而降低產品上市後發生資安事故的可能性與衝擊。

   • 既然是透過導入管理制度與控制措施來「降低」風險，這屬於 風險修改 (Risk Modification) 的範疇。

因此，選項 (A) 是正確的。