我們繼續根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容，探討2.2的分析。

二、風險評鑑與管理（資訊安全組織、業務及資訊單位）
2.2是否定義風險評鑑的方法論？該方法論並確保產出可比較與可再產生的結果。

說明：此項說明在於兩個重點：1.評鑑方法論。2.可比較、可再產生。

對於這種評鑑，雖然我在這裡也是用行政院的自評表來探討不同的問題，但我看法是比較負面，如果有學理派的前輩，請多見諒….

資安評鑑，去網路上搜尋一下，不難發現一堆教學文章，其實就跟行政院的自評表做法差不多，會依循這些教學再進行評鑑的，以台灣目前的情況應該不會太多，大公司可能會比較專業，會依照資安規定，在充足的人力底下，進行評鑑，但是，依我的看法，資安漏洞還是漏洞，評鑑的確做得很確實，也很隆重，煞有其事的搞了一堆評鑑，結果產出的分析結果，又是一堆天馬行空的報告，問題還是問題，根本上還不如不要做，這種對上面有交代，只是告訴上面資安有在做事的評鑑，我的感覺，簡單說，真的是太矯情了!

太矯情的原因在哪？ 以前我曾經在某家公司上班，有天老闆拿了兩片光碟，說這是大補帖，要我用批次發信，上頭有好幾萬筆個資，把公司業務統一發送給個別或企業的高層，所謂的資安漏洞其實反映在這件事情上，就已經有很多問題可以探討了，例如說，參加一些說明會，你名片一遞出去，你部份的個資就已經洩漏出去了，外面賣大補帖的，只要蒐集完整資訊，隨時都可以在深入調查您的個資，面對這類資安問題，公司要怎麼做呢？這些很容易懂的事情，評鑑上面或許都會寫，也很認真的去分了好幾個等級，但是為什麼還是難以阻擋垃圾信，這樣評鑑結果，分析了半天，到底有甚麼意義呢？

接著，說到評鑑的可比較性，對於這點，我就覺得有點奇怪，奇怪的原因在於你要如何找可比較對象？你的可比較對象篩選條件是甚麼？你是否有充足的樣本呢？ 我曾經在某家公司服務時，每天都在跑資料庫，進行可比較對象的分析，結論是，為了幫客戶合理化，落入那個區間之內，這些都是可以**「調」**出來的，只要不要太離譜，每次參數一改，想落到那個統計區間都是可行的，根本上「篩選條件」決定評鑑的結果，參數隨你調，對於這種評鑑，對於其他外部人來說，不懂的就是看熱鬧，懂得人，也不太想說太多，戳破了會讓對方面子掛不住的。

對於評鑑，我最後總結一個想法，該做的還是要做，由其如果監理單位或高層有要求的，還是一定要做，但實際上，還是要把制度訂完整，把重點放在制度上，更重要的是，隨時注意法令變更，吸收實做的資安技術以及案例的探討，這比依照制式的評鑑要實際且有用多了。