-ISO 31000
該問題的核心概念是如何定性或定量地分析風險，以確定風險敞口，以貨幣價值，得分，規模，觀點等表示。根據我用來評估風險暴露的“風險標準”，我建議使用B作為答案。沒有絕對正確的答案。如果您可以使用風險分析和風險敞口的概念來證明您的對策是合理的，那麼合理的對策就是不錯的答案。

風險暴露(Risk Exposure)是“風險給個人，項目或組織帶來的潛在損失。” （ISO 16085：2006）“潛力”是風險的不確定性，而“損失”是風險的影響。

-風險分析（圖片來源：Steven Imke）

財務報告的披露（Disclosure of Financial Reports）
上市公司應向股東披露正式財務報告，以符合法律法規要求。結果，選項C將不會被識別為風險。以下是有關Amazon的實際報告：
. 亞馬遜年度報告，代理和股東函
. 2018年Amazon SEC備案：FORM 10-K

安全功能（Security Function）
選項A意味著組織重組以重新定位安全功能。它可能是組織級別的風險，發生的可能性很小，並且向首席運營官報告通常可以帶來積極的影響。
例如，有關安全功能的重要決定是職位，報告方向以及CISO的角色和職責。最好的安排是讓CISO直接向首席執行官報告。以下是替代安排：
. 首席運營官：這也是一個不錯的選擇，因為首席運營官最了解業務和運營。在他或她的監督下，CISO可以很好地將安全性集成到業務流程中。
. 首席信息官：首席信息安全官對信息技術有很好的掌握，但存在利益衝突。
. 審核委員會：這不是一個好的選擇，因為審核職能應該是獨立的。

RAID事件（RAID Incident）
如果核心數據庫的RAID磁盤之一出現故障，則係統仍會以較低的性能運行。從我的角度來看，這是一個影響服務水平的IT事件，可能性很小，影響很小。可以將其評定為低風險，等級分為極高，高，中，低，極低。

網站污損（Website Defacement）
如果披露了供股東使用的正式財務報告，則可能導致組織聲譽受損，數據或隱私受到破壞，憑證洩露，內部橫向移動等。可能性中等，影響很大。

-NIST通用風險模型（NIST SP 800-30 R1）

參考
. 如何為業務成功制定風險評估矩陣

資料來源： Wentz Wu QOTD-20201222