26. 如附圖所示，依據 ISO/CNS 31010 當資通安全主管決定利用「後果 /機率矩陣」模型完成以資通資產（Asset）為基礎的風險評鑑。附圖中的哪些項目比較能夠說明該方式可能會得到的結果？

(A) 1、2、3
(B) 2、3、6
(C) 3、4、5
(D) 1、4、5、6

28. 如附圖所示，委外廠商的滲透測試人員在與客戶接洽之前，會在工作說明書（SOW）訂定附圖中的規定並由客戶完成審核。而根據 SOW 所呈現的資訊，下列哪些行為會較容易被視為該廠商人員具有「不道德」的風險行為？

(A) 使用合法軟體授權之滲透測試工具，進行安全查核和檢視
(B) 利用公鑰加密技術以確保檢測結果在檢測作業完成後，能妥適安全地交付 CISO
(C) 未能將發現的重要漏洞報告及討論，以滿足客戶的高階領導團隊的安全需求
(D) 使用客戶所屬 IP 位址，至地下駭客論壇或暗網查找技術文件或工具