承接昨日所談的文件化管理，我們在根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容，繼續1.4項之探討。

一、資訊安全管理系統 （管理階層、資訊安全組織）
1.4資訊安全管理系統文件與紀錄發行前，是否核准其適切性？

說明：此項說明在於ㄧ個重點：1.適切性。

我們在此先定義，何謂適切性(appropriateness)?
所謂的適切性，就是在沒有標準的情況下，如何將習慣轉變成書面規定。

通常一般公司，不管是資安管理或整體組織管理，通常會依照習慣來進行管理，很多組織的員工也常會說，

「我們沒有任何規定，業務不是一樣在進行？」

這就是過度依賴慣性，所呈現出來的說法，在公司草創初期，的確是要依靠慣性來執行業務，但重點在於，習慣這樣執行，並非在流程上沒有問題，有些時候，掩蓋問題，看不見問題才是最大關鍵。組織在小規模之時，或許有些隱藏的問題，不成為大問題，但是隨規模擴大，隱藏的問題慢慢浮現，依照慣性不能解決時，就要靠制度的訂定來討論及解決。

誠如我們所知的，大部分管理學都會提到「永續經營」的觀念，想要永續，就要建立制度、執行制度、調整制度，唯有透過訂定制度才能讓公司永續經營下去。在此本人強調，每個人都會有離開組織的一天，不管是轉職、退休、生病等等，這些因素都會迫使員工離開組織，員工離開時，也會帶走習慣，如此，習慣就會消失，而「習慣的」業務執行該如何延續下去？這就變成一個很重要的問題了。組織無法ㄧ直重新找尋習慣，因此，建立制度成為一種最有效的方法。

在此，我們探討資安的制度建立的步驟，也就是如何能夠達到適切性。我們可以分以下步驟處理：

1. 匯集資料：將資安的資料先行整理。
2. 分析資料：針對重點資料進行分析。
3. 資料歸類：將分析後的資料，歸類成數個細項。
4. 整合細項：分成大類，最好不要多於六大類。
5. 項目定義：將分好之大類別，予以定義。

我們以下圖實務上簡單的例子做說明。當資安負責人資料蒐集完成之後，可以考慮將所有文件，細分成數類，例如以機密層級分成：機密性、敏感性與一般性之後，將文件1~3歸入細分的小類別裡，在這三個小類別之上層，在架一個大類，如此便有依據，往後在查文件機密層級，可以直接透過系統蒐尋「文件安全控制」大項，逐步的往下過濾探詢，如此分類，就能很清楚的達到管控的目的，同時也能協助管理者迅速的查詢及提取資料。

(製圖為作者本人)

最後，本人還是要提醒一個觀念，制度是死的，人是活的，因此**制度並非不能調整**，過度強調制度，還是會產生組織僵化的情況，因此適切性達成後，也要定期的審視，是否符合時空、環境的需要？如果大環境有所變化，那麼「適切性」就要持續的運作，如此才會讓組織運作更有彈性。