【正确答案】 A

【答案解析】解析：A正确。应对风险有四种基本方法：转移风险、规避风险、降低风险和接受风险。通过实施诸如安装防病毒和防垃圾软件这样的安全控制，Sue正在降低公司电子邮件系统所带来的风险。这种做法也叫做风险缓解，即把风险降到一个可接受的程度。除了使用IT安全控制和对策之外，还可以通过改进程序、改变环境、设置威胁障碍、实施早期检测方法以便在威胁一出现时即阻截它，从而减少威胁可能带来的破坏性等方法来降低风险。 B不正确。因为风险接受不包括花费在诸如防病毒软件的保护措施或者对策上的金钱。接受风险意味着公司了解它所面临的风险级别和破坏所造成的潜在成本，并且决定不采取任何对策而接受风险。当成本／收益比表明对策的成本远远超过风险可能造成的损失时，许多公司会选择接受风险。 C不正确。因为风险规避包括了会引发风险的中断活动，而在这个案例中，Sue的公司选择继续使用电子邮件。如果风险大于该活动的业务需求，则公司可能会选择中断这些会带来风险的活动。例如，公司会选择屏蔽掉某些部门对社交媒体网站的访问，因为这些网站有降低员工工作效率的风险。 D不正确。因为风险转移包括与另一个实体共同承担风险，比如通过购买保险从而把一些风险转移给保险公司。公司为了保护资产可以选择的保险类型非常多。如果公司认为总风险或者剩余风险太高而不能承受，便可以购买保险。