在公司裡面，我最頭痛的是，政令宣導該怎麼做？有些主管常說，公司政策早就訂好了，為甚麼大家都裝不知道，然後就來吵著說他是例外。

個人昨天就接到人資主管的抱怨，說已經發了很多次公告，但是等到期限都過了，又有人冒出來吵著要之前的事情。理由根本是胡謅一通，認為有吵就有糖可以吃，如果拒絕，馬上管理階層就變成黑單位，最後就是整個組織吵成一片。

這種管理階層與事業單位之間的衝突，基本上每天都在上演，截至目前我所看過的公司，沒有一家例外，從古至今，都是如此，我也是無解，但，最後還是得要靠最上層的決心了，古今中外，戰場上還是要靠主帥決定戰略，其他的將軍們就依照主帥的決定，執行作戰策略，打戰的時候，生死關頭，命如果沒了，吵也沒用。

所以才會有句老話 「主帥無能，累死三軍。」

以下就探討第三部分安全政策的相關議題，這是與資訊安全組織及資訊單位有關的部分，我們繼續根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容，探討3.1的分析。

三、安全政策（資訊安全組織及資訊單位）
3.1組織是否訂有資訊安全管理系統政策？

說明：此項說明只有一個重點：1.訂政策。

我先引用教育部的資安政策第一、二、三及第十條，

全文參照網址：https://www.edu.tw/News_Content.aspx?state=F5D336F102ACBC68&s=C61BCCE44A809306&sms=15283ECA9D7F60AA

教育部資訊安全推動管理會設置及資訊安全管理實施要點
中華民國103年6月頒行

一、教育部（以下簡稱本部）為落實推動本部資訊安全管理，特設教育部資訊安全推動管理會(以下簡稱本會)，並訂定本要點。

二、本部資訊安全管理範圍如下：
(一)資訊資產。
(二)人員資訊資源使用權限。
(三)重要業務資訊系統建置、開發及維運。
(四)實體及環境安全。
(五)通訊及作業。
(六)資訊安全事件通報及應變。
(七)重要業務資訊系統持續營運。

三、本會之任務如下：
(一)本部資訊安全管理政策之研議。
(二)本部資訊安全管理制度之推展及分配適當資源。
(三)本部資訊安全風險評鑑及管理。
(四)本部資訊安全管理措施有效性檢視及審議。
(五)本部資訊安全管理稽核結果檢視及審議。

十、各單位資訊安全管理之作法如下：
(一)實施資訊資產之清點、分級及風險評鑑。
(二)評估重要業務運作之資訊系統(網站)應否納入本部資訊安全管理。
(三)辦理實施資訊安全管理教育訓練，向本部同仁宣導相關作法及措施。
(四)針對納管之資訊系統(網站)所面臨風險，制定適當資訊安全管控措施。
(五)針對資訊安全管制措施，規劃可行之管控程序，並予以文件化。
(六)各單位資訊安全管理專責人員應輔導同仁，落實實施各項資訊安全管控措施。
(七)就稽核小組定期執行稽核檢查發現之缺失，各單位應對該項缺失實施矯正及預防措施。
(八)得接受外部資安稽核認證機構及行政院資通安全會報之稽核，以獲取資訊安全管理認證，並持續改善。

政策的訂定，首先是定義清楚，例如第一、二條。到了第三條，就是任務為何，最後第十條就是該怎麼做。
這四個條文，就是定訂辦法的主要枝幹，其他的就是執行面與細部的討論，最後就是政策執行是否合乎政策規定。

**最後，政策不是訂著就不用的，如何教育員工遵守政策規定，相信這才是極大的難題之一。**