有人提到一個問題，
如果工人在現場休克暈倒，難道還要等長官核准嗎??

講到暈倒休克，我就以個人親身經歷的經驗，來解釋這個說法的問題，因為這畢竟不能混為一談。

兩年前，我常到大陸出差(前公司)，有個領班，他在這家公司已經超過二十年了，因為該公司為了方便核算薪資，堅決不肯改用輪班制，所有的人一律同時加班，因為趕貨的關係，平均一個人加班超過十八小時以上，某天早上，這位領班，七點半準備上班，突然在廁所昏了過去，最後病逝在醫院。我想這很明顯是過勞死，但大家也知道，大陸勞動條件其實很差，而且普遍也都沒甚麼法律知識，而上層的人第一時間，也是立刻則優撫卹，目的就是盡速把事情抹平，最後，死者家屬並沒有對公司提告，這事也就不了了之。

我提這個事件主要原因，並非探究過勞死的問題，我要說的是，一般公司，都有代理人制度，人都有不可預測的災難風險，如果突然某些原因發生，代理人制度就要啟動，以免影響公司正常運作，這並非長官核不核准的問題，而是在於公司的代理人制度有沒有完整。

正常公司的ERP裡面，都會設有代理人，當某些特殊情況下，這個機制就是要讓公司**「繼續營運」**。這已經不是長官核不核准的問題，公司運作，不可能因為一個人的偶發事故而停滯，除非是天災戰亂等等，不可避免之因素等等。

以下，我們繼續根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容，探討1.8的分析。

一、資訊安全管理系統 （管理階層、資訊安全組織）
1.8組織是否依已規劃期間執行資訊安全管理系統內部稽核，以確保符合資訊安全規範、法規等的要求？

說明：此項說明在於一個重點：1.內部稽核。

公司各部門的經理人，在根據適切性建立制度後，就要由各部門開始執行制度，制度面控管，是由各單位主管進行控制，然而，為預防各單位主管訂好制度，只是晾在那裡，或者根本不願意照自己訂的制度走，或者利用不當的權利徇私舞弊，因此，在較具規模的公司，就會設立稽核部門，在上市櫃公司，稽核就是直屬於董事會，董事會委派稽核部門，進行各部門執行業務狀況的稽核，確認是否根據自己訂的制度走，有任何問題都得要回報給董事會了解狀況。

目前很多公司的資安制度，其所訂定的資安辦法，似乎都算完整，事實上，坊間版本都差不多，講明了就是抄來抄去的，一點都不安全。而同一套衣服，並不一定適合穿在每個人身上的，所以這種資安制度，就只能拿來參考，還是得要修改到符合公司的資訊安全需要，才算可以行，否則漏洞百出，公司一發生事故，便是勞民傷財，得不償失。舉個簡單的例子，最近某家銀行，ATM就被外國專業駭客組織盜領，這種資訊安全上的漏洞，其實是防不勝防，資訊安全人員，如果平常沒有設立一套安全機制，能讓人如此輕易的植入木馬程式，這些問題，資安人員就得要負起責任了。這絕對不是只靠稽核人員稽核就能發現的，稽核人員都是「事後稽核」，而「事前防範」，就要靠第一線人員主動出擊才行。

最後，提到法令問題，以下是目前有關資安的法令，參考就好，我還是得說說稽核人員，很多稽核人員對於資訊安全的知識不足，才是大問題，靠這些法令並無法補足任何資訊安全的稽核，知識不足要如何解決？重點還是可以靠經驗累積，找出一套資訊安全的稽核模式，而這就得看稽核人員是否願意邊學習邊成長了。