33. 有關在選擇風險處理選項時可參考之因素，下列何項敘述「有誤」？
(A) 應考量組織的目標來選擇風險處理選項
(B) 應考量組織的業務壓力來選擇風險處理選項
(C) 應考量組織所訂之風險準則來選擇風險處理選項
(D) 應考量組織可用資源來選擇風險處理選項

這題的正確答案是 (B) 應考量組織的業務壓力來選擇風險處理選項。

以下是詳細解析：

在資訊安全風險管理（如 ISO 27005 或 NIST SP 800-30）中，選擇風險處理選項（Risk Treatment Options）應基於理性的分析與既定的標準，而非受迫於臨時的壓力。

1. 為什麼 (B) 是有誤的？

   • 「業務壓力 (Business Pressure)」 通常指的是時間緊迫、趕上線或績效壓力。雖然在實務上這確實會影響決策，但在正規的風險管理方法論中，它不應該被視為選擇風險處理措施的「參考依據」或「標準」。

   • 如果單純因為業務壓力而選擇某種處理方式（例如因為趕時間而選擇「忽略風險」），往往會導致合規性不足或安全漏洞。正確的做法是評估「業務需求 (Business Requirements)」或「時間限制」，並將其納入成本效益分析，而非盲目屈從於壓力。

2. 為什麼其他選項是正確的？

   • ✅ (A) 應考量組織的目標來選擇風險處理選項：資安的最終目的是為了支持組織達成商業目標。若控制措施過於嚴格導致組織無法運作，就本末倒置了。

   • ✅ (C) 應考量組織所訂之風險準則來選擇風險處理選項：這是核心依據。組織必須先定義好「風險胃納 (Risk Appetite)」與「風險準則 (Risk Criteria)」，才能判斷哪些風險是可以接受的（Retention），哪些是必須處理的（Modification）。

   • ✅ (D) 應考量組織可用資源來選擇風險處理選項：這涉及到可行性與成本效益分析。如果一個控制措施的成本遠高於風險發生時的損失，或者組織根本沒有足夠的人力/預算去維護，那麼該選項就不是最佳解。

總結來說，風險處理的決策應基於目標、準則、成本與效益，而非壓力。