7.「商業公司使用防毒和反垃圾郵件機制,以保護公司的電子郵件系統。」請問上述屬於下列何種風險處理對策?
(A)風險避免(Riskavoidance)
(B)風險保留(Riskretention)
(C)風險修改(Riskmodification)
(D)風險分擔(Risksharing)
答案:登入後查看
統計: A(209), B(12), C(388), D(40), E(0) #3055828
統計: A(209), B(12), C(388), D(40), E(0) #3055828
詳解 (共 3 筆)
#7440085
這題的正確答案是 (C) 風險修改(Risk modification)。
在 ISO 27001 資訊安全管理系統(ISMS)及風險管理標準(ISO 31000)中,風險處理對策的定義與解析如下:
答案解析
-
(C) 風險修改(Risk modification)
-
原因: 「風險修改」在實務上更常被稱為風險降低(Risk Reduction)、風險緩釋(Risk Mitigation)或風險控制(Risk Control)。它的核心概念是「透過部署安全控制措施(如安裝防毒軟體、反垃圾郵件系統、設定防火牆等),來降低風險發生的可能性(Likelihood)或減輕發生後的衝擊(Impact)」。商業公司並未關閉郵件服務,而是採取技術手段讓郵件系統更安全,因此屬於風險修改。
-
其他選項錯誤原因說明
-
(A) 風險避免(Risk avoidance)
-
原因: 這是指完全放棄或停止會帶來風險的業務或活動。如果題目改成「為了防止電子郵件帶來的病毒威脅,公司決定徹底停用電子郵件系統,改用傳統紙本溝通」,這才屬於風險避免。
-
-
(B) 風險保留(Risk retention)
-
原因: 俗稱風險承擔(Risk Acceptance)。是指組織在評估後,決定不採取任何控制措施,直接接受該風險帶來的後果(通常是因為處理成本高於潛在損失,或是殘餘風險在可接受範圍內)。題目中公司已經採取了防毒與反垃圾郵件的積極作為,因此不是承擔。
-
-
(D) 風險分擔(Risk sharing)
-
原因: 舊稱風險轉移(Risk Transfer)。是指將風險的部分或全部責任、損失,轉嫁給第三方。常見的方式包括購買資安保險、或是將郵件系統整體委外(Outsourcing)給專業雲端廠商託管並簽訂 SLA。題目強調的是公司自己「使用」機制防禦,而非將風險分擔出去。
-
0
0