風險考題比一比，風險辨識 & 評估階段完整整理 | iPAS 資訊安全工程師筆記

00先做一題 01名詞釐清 02階段分類 03流程順序 04六大陷阱 05考古題解析

「布建控制措施」到底算不算辨識評估階段？「風險評鑑」跟「風險評估」又是什麼關係？這兩個問題幾乎每年都有考題在考，但大多數人第一次看都會答錯。本文從 110–114 年考古題出發，整理六大常見陷阱，幫你把這區塊的分數穩穩拿回來。

適用考年：110–114 科目：資訊安全規劃 依據：ISO 31000 / 行政院作業原則

00

先做一題，看你現在的直覺對不對

以下是 112 年第 2 次考試的原題。請先選出你認為正確的選項，再對答案。

112-2 題28 複選題

依照我國《行政院及所屬各機關風險管理及危機處理作業原則》之規定，下列哪些作業事項屬於風險辨識（Identification）及評估（Evaluation）階段？（複選）

• A 建立、審視風險圖像（Profile）
• B 發掘相關風險資料
• C 分析風險
• D 布建控制措施（Controls）

解析

正確答案是 A、B、C。這三個選項都屬於「找出風險、了解風險」的作業，符合辨識及評估階段的定義。

D（布建控制措施）是在評估完成後，決定要「對風險做什麼」的步驟，屬於後續的風險回應/處理階段。這是本題最常見的誤選，幾乎每次模擬考都有人選進去。

💡

如果你把 D 也選進去了，或者猶豫了一下——繼續往下看，接下來的整理會讓這個邏輯完全清晰。

↑ 回到頂部

---

01

先搞清楚：「評鑑」「評估」「分析」是三件不同的事

⚠️

考題中「風險評鑑」和「風險評估」經常交替出現，但它們不是同一層次的概念。搞混這兩個詞，是很多人在排序題和步驟題中失分的根本原因。

ISO 27001 / ISO 31000 名詞層次

風險評鑑（Risk Assessment）— 上位概念，包含以下三個子步驟 111年題16 直接考這個結構

步驟 1

風險識別

Risk Identification

找出有哪些風險存在——資產、威脅、弱點

步驟 2

風險分析

Risk Analysis

計算可能性 × 影響，量化或質化風險程度

步驟 3

風險評估

Risk Evaluation

將分析結果與風險準則比較，決定哪些需要處理

✅

記憶方法：「評鑑」是整個過程（識別→分析→評估），「評估」只是最後一步（跟準則比較）。看到題目問「風險評鑑包含哪些步驟」，答案就是這三個；看到「風險評估是什麼」，答案是「和準則比較後決定是否處理」。

111 題16 複選題 — 直接考這個結構

ISO/IEC 27001 中所採用的風險評鑑（Risk Assessment）主要包含下列哪些步驟？

• ✓ A. 風險評估（Risk Evaluation）
• ✓ B. 風險分析（Risk Analysis）
• ✗ C. 風險分類（Risk Classification）
• ✓ D. 風險識別（Risk Identification）

C（風險分類）並非 ISO 27001 風險評鑑的標準步驟，是干擾選項。答案 A、B、D。

↑ 回到頂部

---

02

三大階段：哪些事屬於哪個階段？

📌

《行政院及所屬各機關風險管理及危機處理作業原則》將風險辨識與評估合為同一階段。只要是「找出風險、了解風險」的作業都在這個階段；「對風險採取行動」才進入處理階段。

階段 0

建立全景

Establish Context

• 識別組織內外部環境
• 確認法律法規要求
• 定義風險管理範疇與邊界
• 建立風險接受準則（必須在評估前完成）

階段 1 ★ 考題核心

風險辨識 + 評估

Identification & Evaluation

• 發掘相關風險資料
• 建立、審視風險圖像（Risk Profile）
• 分析風險（可能性 × 影響）
• 識別資產、威脅、弱點
• 計算風險值、分級（高/中/低）
• 依風險值排序優先順序

階段 2

風險回應 / 處理

Risk Treatment

• 布建控制措施 ← 常見誤判！
• 選擇：降低 / 轉移 / 避免 / 接受
• 制定風險處理計畫（Risk Treatment Plan）
• 確認殘餘風險並取得擁有者核准

貫穿全程

溝通 + 監督

Communication & Monitoring

• 傳遞資訊、溝通及諮詢
• 監督與覆核（持續進行，非固定週期）

112-2 題28 原題對照

✓ A建立、審視風險圖像 → 辨識評估階段

✓ B發掘相關風險資料 → 辨識評估階段

✓ C分析風險 → 辨識評估階段

✗ D布建控制措施 → 風險回應/處理階段，評估完成後才執行

↑ 回到頂部

---

03

流程順序：不同題目、同一套邏輯

⚠️

排序題的陷阱在於每年用不同的編號或名稱代表同一套流程。核心順序永遠是：全景 → 識別 → 分析 → 評估 → 處理 → 監控，先認清每個選項是哪個步驟，再排序。

記憶口訣

景→ 識→ 析→ 估→ 處→ 監

建立全景 → 風險辨識 → 風險分析 → 風險評估 → 風險處理 → 監控審查（溝通與監督貫穿全程）

111年 題14 — 標準 ISO 31000 寫法

① 全景建立

→

③ 風險識別

→

⑤ 風險評估

→

② 風險處理

→

④ 監控

答案 B = 1→3→5→2→4

112-1 題組4 — 數字重新編排

2 建立全景

→

4 風險辨識

→

3 風險分析及評估

→

1 風險回應

答案 C = 2431

113-2 題組4 — 字母版

d 識別背景

→

c 風險識別

→

a 風險分析

→

b 風險排序

→

e 風險處理

答案 C = dcabe

↑ 回到頂部

---

04

六大混淆陷阱：常見誤判一次整理

陷阱 1 — 最高頻

「布建控制措施」屬於哪個階段？

✗ 常見誤解控制措施是評估的結論，算辨識評估階段

✓ 正確布建控制措施屬於「風險處理」，是評估完後才決定要做什麼

陷阱 2 — 113-2 出現

「發現 68 個風險」和「分類高中低」是同一階段嗎？

✗ 常見誤解兩者都算辨識評估

✓ 正確「找出有哪些風險」= 辨識；「分類排序」= 分析/評估。找出 68 個是辨識的產出，不算評估

陷阱 3

「決定維持現狀不做改變」屬於哪個階段？

✗ 常見誤解判斷不需要處理，是評估的結論

✓ 正確屬於「風險回應」—— 選擇了「風險保留/接受」策略

陷阱 4

風險接受準則是「評估前」還是「評估後」建立？

✗ 常見誤解先評估，再依結果建立準則

✓ 正確必須在評估「之前」先建立，才有標準可以拿來比對風險值

陷阱 5 — 113-2 出現

《行政院作業原則》的監督是「持續」還是「每兩年一次」？

✗ 錯誤選項原文每兩年完成一次監督及檢討

✓ 正確監督是持續進行的動態過程，不是固定週期，「每兩年」的說法是錯的

陷阱 6

ISO 31000 可以「驗證認證」嗎？

✗ 常見誤解ISO 27001 公司須同時通過 ISO 31000 驗證

✓ 正確ISO 31000 是指導綱要，無認證制度，只能作為「參考」，無法「通過驗證」

↑ 回到頂部

---

05

考古題解析（110–114 年）

112-2 題28複選題

依照《行政院及所屬各機關風險管理及危機處理作業原則》之規定，下列哪些作業事項屬於風險辨識（Identification）及評估（Evaluation）階段？

• ✓ A. 建立、審視風險圖像（Profile）
• ✓ B. 發掘相關風險資料
• ✓ C. 分析風險
• ✗ D. 布建控制措施（Controls）

D 屬於風險回應/處理階段，是在評估完成後才執行的下一步。

111 題16複選題

ISO/IEC 27001 中所採用的風險評鑑（Risk Assessment）主要包含下列哪些步驟？

• ✓ A. 風險評估（Risk Evaluation）
• ✓ B. 風險分析（Risk Analysis）
• ✗ C. 風險分類（Risk Classification）
• ✓ D. 風險識別（Risk Identification）

C（風險分類）並非 ISO 27001 標準的步驟，是干擾選項。風險評鑑 = 識別 + 分析 + 評估。

110 題9單選題

關於風險評鑑（Risk Assessment），下列敘述何者「不」正確？

• ✓（正確，非答案）A. 風險評鑑可以參考 ISO/IEC 31010:2019
• ✗ B. 根據風險評鑑的結果，決策包含：避免、分擔、降低、拒絕等四種
• ✓（正確，非答案）C. 風險評鑑流程可以提供系統化、可量化的評估方式
• ✓（正確，非答案）D. 風險評鑑結果可讓企業決定要對風險做什麼處置

B 不正確：風險處理四種方式是「避免、降低/減輕、分擔/轉移、接受」，「拒絕」不是標準術語，正確應為「接受（Accept）」。

112-2 題2單選題

下列何者「不」是 ISO/IEC 27001:2013 標準中「資訊安全風險評鑑」所要求組織應進行的事項？

• ✓（是要求）A. 建立風險接受準則
• ✓（是要求）B. 識別資訊安全風險
• ✓（是要求）C. 評估資訊安全風險
• ✗ D. 以最高標準處理資訊安全風險

D 不正確：風險處理依風險接受準則決定，並非一律以最高標準；且「風險處理」本身屬於評鑑之後的程序，不在風險評鑑的範圍內。

113-2 題28複選題

一般常見風險評鑑流程包括：識別背景、風險辨識、風險評估與分析、風險回應、風險監督；下列哪些屬於「風險評估與分析」階段？

• ✗ A. 執行風險評鑑作業發現 68 個風險項目
• ✗ B. 已確認 55 個低風險，決定維持現狀不做改變
• ✓ C. 將風險項目區分為 3高 / 10中 / 55低
• ✓ D. 使用定量方法，將風險進行排序

A = 風險辨識的產出，非評估；B = 風險回應（選擇保留策略）；C、D 才是評估與分析的核心工作。

111 題14單選題

風險管理步驟由先至後，正確排序？（1）全景建立、（2）風險處理、（3）風險識別、（4）監控風險處理、（5）風險評估

• ✗ A. 1→2→3→4→5
• ✓ B. 1→3→5→2→4
• ✗ C. 1→5→3→2→4（常見誤選：評估擺在識別前）
• ✗ D. 3→5→2→1→4

C 是常見陷阱，把「評估」放在「識別」之前，但識別才是第一步。

114-2 題26單選題

有關風險評鑑流程（風險識別、風險分析、風險評估）的描述，下列何者最為適切？

• ✗ A. 識別風險時，若風險來源不可控制，可不予考量
• ✗ B. 風險分析時，事件僅有單一來源、單一後果
• ✓ C. 風險評估是將風險分析結果與組織的風險準則比較，以決定哪些風險需採取額外的控制措施
• ✗ D. 組織決策時僅需由適當層級決議，無需納入利害關係人意見

C 即是「風險評估（Risk Evaluation）」的定義。A 錯：無論來源可否控制均應識別。B 錯：一個事件可有多個來源與後果。D 錯：溝通與諮詢應貫穿全流程。

↑ 回到頂部