以下為行政院資通安全稽核服務團歸類第一大項1.3，本人接續1.1及1.2之內容繼續做出說明及分析，

一、資訊安全管理系統 （管理階層、資訊安全組織）
1.3 資訊安全管理系統(含管理決策過程)所需之文件及紀錄，是否予以文件化及受到適當之保護與管制？

說明：此項說明在於兩個重點：1.文件化。2.適當之保護與管制。

我們在此先定義，何謂文件化?
所謂的文件化，除了政策的宣示、制訂作業程序規範及表單之外，還包括了管理階層針對資訊安全相關活動，進行各項決策所產生的記錄。

ㄧ般公司，在制定好政策之後，都要進行各項內部稽核，以確定各項的資案辦法、政策是否有依照辦法及政策執行，同時也紀錄下，管理階層在甚麼時間點做出甚麼樣的決策，而這些就必須要留下軌跡，這些軌跡，基本上都只能單一呈現，不可能重複的產生，管理者有沒有在執行業務，我們只需從文件就能有效的控管其作業情況。

再來談到上市櫃公司的情況，上市櫃公司一定會定出資訊安全管理制度(Information Security Management System)，也就是所謂的ISMS，定義上就是以營運風險方案為基礎，用以建立、實施、操作、監督、審查、維持及改進資訊安全。然而一般中小企業，正常來說，通常是不會注意到ISMS的重要性，更遑論注意到server裡的事件檢視，如下圖。

因此，本人依企業規模，概分成兩部分，提供以下建議，以達成上述說明的第二項重點**「保護與管制」**。

(1) 中小企業：台灣中小企業，正常的情況下，不會訂定ISMS的制度，有些公司會建立ㄧ些非常簡易的ERP系統，實際上只是文件處理系統，有些公司甚至於只用EXCEL做資料管理，幾乎是毫無章法的在執行資訊安全管理，此時，建議資安人員，需要定期的傳送各項資安簡報給全體員工參考，先從觀念建起，不必急於馬上建立組織整體系統建制，將重點放在「觀念」的傳遞，也許短期內無法獲得回應。之後，隨著時間拉長，當組織逐漸擴大之時，很多問題便會開始出現的情況下，此時，組織裡的員工也已建立基本概念的前題下，逐步加強各單位建立書面說明或會議紀錄等等，以Word、excel、outlook等等紀錄皆可，重點是在於導正並養成紀錄習慣，並且慢慢釐清權責劃分，該由組織誰負責，就要依據每次事件發生之事實，逐步釐清相關權責。不管合不合理，只要觀念對了，配合上資料保護與管制之後，未來當某類似事件發生時，都可以從檔案中調閱出來討論，長時間下來，可以依靠這些紀錄，隨時做出應變，等到公司組織規模夠大，並且準備建立制度的情況下，必能得心應手，而不至於太手忙腳亂。

(2) 上市櫃、興櫃公司：當公司到達一定規模之後，不管導入ISO或在進行股票上市櫃的過程中，都會有明確的制度定出，此時，也會要求管理階層，定期提供紀錄給予稽查人員稽核，此時重點，要放在文件流程是否適當，流程中的每個流程之核准是由哪個單位主管核定，只要權責分明，掌握序時、序號、核決權限，基本上，就是最有效的控管。此外，在有制度的公司，都會做好文件專責控管，資安人員在控管資安文件時，除了控管，更要注意資安漏洞是否有架設足夠的防火牆等等防範措施。

最後，提醒一點，文件適當的管控固然很重要，但是，有效的分類更重要，文件是ㄧ個組織經驗的累積，也能當做審視公司歷史的重要參考資料，有效的分類，也是幫助組織能夠隨時取閱資料，由此可知文件化及適當的管控之重要性。