不知道從甚麼時候開始，台灣的研究生喜歡把考卷或申請書寫到一大篇，如果言之有物，那尚且值得一讀，但我是不欣賞那種做法的人。

我在美國念書的時候，系上教授永遠要求，用letter格式(台灣普遍是A4格式，大小有差)，寫一頁報告，在學校的教授網路平台直接給同學點閱，交換意見，教授看完也會直接請學生上去系統看成績，期末會有一個大報告，可是大報告，也不像台灣的一大疊，連裝訂都很困難的那種厚度，在美國是不能出現的，除非你要繳交專業論文，否則，教授是不鼓勵你這麼做的。

Why?
在美國master的學歷，定義上就是要就業用的，主要都偏向觀念的建立，試想如果你到外面企業，寫了一大本報告，你的主管，大部分根本不會有時間去翻，所以提綱挈領的報告就變得相形重要，報告的第一頁就變得非常重要了。在美國，至少在我的念書的學校，你必須強迫自己，把所看過幾百頁的課本，濃縮成一張紙，並且在前端就把要點點出來，其他的附件，就不用了，正常的老闆是不會去管你的附件從哪來的。當然，念書又是另外一回事了，所以教授還是會有要求要ㄧ份從主題深入的報告，當作期末報告總結。

在我回台灣工作之後，我還是無力去改變台灣企業界這種喜歡交一大本的報告的習慣，不免俗的，還是要把附件給通通附上去，證明我是很認真的，其實，我一點也不喜歡這種文化，人家都搭火箭到外太空了，我們還在殺豬公。

不過，我還是講句，When in Rome, do as Rome. 入境問俗，工作就是工作，企業文化還是得遵循，老闆喜歡這樣，做下屬的還是盡量配合，制造衝突，不是件好事。

以下管理階層、資訊安全組的部分，後面還有大約九項的稽核內容，但比較偏向稽核面，我不在贅訴，接下來我先進入第二階段「風險評鑑與管理」，這部分的就是由資訊安全組織、業務及資訊單位來負責的。

所以，我們還是繼續根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容，探討2.1的分析。

二、風險評鑑與管理（資訊安全組織、業務及資訊單位）
2.1是否鑑別適用範圍內之所有資訊資產及其擁有者？

說明：此項說明在於二個重點：1.鑑別。2.資訊資產及擁有者。

以最簡單的方式來解釋，公司ㄧ般的電腦、筆電，都有建立固定資產，正常都會貼上一張標籤，標明編號，耐用年限….，造冊列表後，就能確實掌握公司的所有的固定資產，到年底時，在做ㄧ次固定資產盤點，以確定東西都在所屬的地方。

同樣的道理，Server裡面也是區分成很多使用的節點，每個人有每個人擁有的權限，或者說每個部門有每個部門的權限，同理，硬體、機房、設備、網路佈局也是一樣。

每個資安人員，在從事每次固定的動作之後，都會產生ㄧ個紀錄，這個紀錄裡面，哪些應該列入文件裡，都需加以分類，以避免造成組織內部雜亂無章的網路管理情況，而這種鑑別的能力，除了靠外部稽核之外，更需要資安團隊分類管理的能力，才能確實做好管理。

列表造冊，說實話，是種吃力不討好的工作，但是只要建立ㄧ次，後續就只有增增減減，並定期刪除ㄧ些無用的資料….

道理看似簡單，其實是非常困難的，有甚麼解決的方式嗎?

我只建議要ㄧ直備份，睡飽點，頭腦清醒點，否則ㄧ個不小心，把擁有者搞錯了，或刪到不該刪的，天下會大亂的!