做事有辦法能100%能夠達到的？

N年前我去面試一家很大的公司，面試是該部門的主管，他問我，給你一筆經費，目標訂在那裏，你有辦法100%達到嗎？雖然我不是第一年工作了，但是，我知道這種目標，就算給你再多經費，你也無法達到100%，這個不是經費的問題，而是在於要達成這個目標，需要天時、地利、人和，依目前我有的籌碼而言，至多只能達到80%，另外20%要靠運氣了。

我很坦白地跟他分析狀況，沒想到對方的面試主管，非常生氣的說，你沒辦法達到100%，你來面試做甚麼?

我也沒說甚麼，笑一笑我就離開了，後來聽說那主管半年不到也被解職了。

別以為有錢就好辦事，事前的分析，也不過是種簡單的評估，做了之後才知道困難重重。100%的結果誰都想達到，可是，回頭去想想，當100%達成，你能確定，最後結果，跟你原先設想的都一樣嗎？

很清楚的告訴大家，沒有，因為過程中太多複雜的因素影響你的決策，絕對不是只有錢的問題。
所以，當時，我就決定這個面試的主管被我Fire了!

根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容，繼續1.6的分析。

一、資訊安全管理系統 （管理階層、資訊安全組織）
1.6是否確保文件之保護、分發、傳送、儲存以及作廢，均依據所適用的分類程序處理？

說明：此項說明在於兩個重點：1. 確保。2.分類程序處理。

資訊安全這塊，保護、分發、傳送、儲存以及作廢這些都是必要保護的重點，從過往的經驗告訴我，台灣的上市櫃公司，乃至於一般中小企業，對於這五項作業，很少有做到很完整的，原因不是在於經費的問題，也不在於制度的問題，最大的問題是**「人」的問題。**

然而，到底來說，人的惰性還是超越組織的規定，試想，考過駕照後，開車上路，除了會注意到路旁的超速速限標誌，有多少人會去注意其他的號制，有多少人還記得考試時所背的法令，正常情況下，也就只有在發生事故，或者接到罰單那刻，才開始注意到法令，而且還一臉疑惑的問，有這樣子的規定嗎?

從上述的情況，我們不難想像，不管如何要求組織內員工如何去保護、分發、傳送、儲存以及作廢，組織花了多少經費建構，不遵守還是不遵守，甚至引發組織內部抱怨。由此可知，並非組織內每件事情都歸咎於，「公司不肯出錢。」

過往，本人所服務的公司，資訊安全做得非常嚴謹，出門有專用的USB，筆電USB插槽也不准外部的USB插入使用，甚至連使用外網都必須先連回內網認證後才得使用，Mail server也有傳輸量管制，檔案要刪除，也必須經過再三的確認…等等，但對於每個單位而言，需求都不同，要求越多，越是罄竹難書。原本是良善的資安管理，公司也願意花錢建置，結果卻變成惡法，變成各部門的夢靨。因此，不得以的情況下，公司為了某些部門需要，只好廣開後門，後門一開，所有的資安管理，漏洞馬上出現，結果資訊人員又疲於奔命了。

到底要如何做才好呢？ 誠如本人所遇到的實例而言，所有的資安人員，在執行資安防護之時，並沒有做好組織的調查。一般的資訊人員，就是強制發佈公司公告，然後，限時一到，立刻執行，這樣就認為，可以達到有效的控管。結果往往跟預設的結果相反，那麼問題在哪裡？關鍵在於，「最前端的溝通」並沒有做好，也許資安人員覺得很煩，我才領多少薪水，還要跟他們溝甚麼通？我光忙就忙不來了，哪有時間去溝通，本人在此強調，前端工作本來就是比較繁瑣，兩個思考給你選，資安人員是要前端規劃比較忙？還是要省略前端，到執行之後亂成一團，忙到不知所已，又一直重來的狀況比較好？注意，前端「人」的因素影響較小，每一種管理只要越多人進來，問題會比原來的棘手數十倍以上的。

其實，前端規劃做好了，這五項作業一定能確保「基本」的能做到，我不敢說，能「完整」的做到，但有基本才能繼續要求深入，才能更有效的將程序做好分類，讓組織朝向後續完整的作業水準。