你有「決心」嗎？是真的有嗎？

台灣企業是以業務做為導向，公司的老闆也大部分是業務出身的，所以認為公司要賺錢就是要靠他們的三寸不爛之舌，這種情況，我想絕大部分都是一樣的，只是習慣畫大餅、吹捧自己過頭，反而常會讓人覺得根本是言過其實，很快就被看破手腳，所以台灣企業不太能超過三代經營的問題，就在於華而不實，浮誇之下，表面上看似賺錢，實際上財務的黑洞正在吞噬公司而不自知的公司，其實在台灣是很多的。

日本企業就不同了，幾年前我到資策會拜訪，資策會的一位副總就說，日本有很多企業，營業額都不高，可是他們的研發技術都是全球一流的，但這種公司卻不肯到資本(股票)市場去，台灣企業是可以教他們怎麼更快募集到資金的。

但是，我們仔細想想，業務導向的公司似乎倒的比這種技術導向的公司要快，日本企業是很死的，進入日企，會讓人感到似乎一整個悶，也說不上來，即使該有的福利他沒少給，甚至多給更多，可是就是令人感到窒息。但人家是很札實研究，世界級專利拿了很多，長遠來看，這比浮誇的台資企業，更加穩固。

日昨跟日本董事見面，台灣企業又開始吹捧自己明年可以做到怎樣、怎樣的規模，連我聽不下去了，結果日本董事，開始輪番質詢，一項一項的挑戰，很詳細的問產能、人力調配….，我反而很贊同日本董事的想法，畢竟，他要知道你的不足，才有辦法協助你，可是，我們都拿假的大餅出來，日本人早就看清楚台資企業的問題，會議的最後，日本董事很語重心長的問了一句….

你們有「決心」嗎？是真的有要這個技術嗎？

不管你做甚麼，有時真的要誠懇的問自己這句話，千萬別在畫大餅了。

以下我們還是根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容，繼續第四部分的分析。

四、資訊安全組織　（資訊安全組織、人事及資訊單位）
4.10 是否定期或資安作業環境發生重大變更時，召開管理審查會議，獨立審查資訊安全政策、目標、程序及控制措施？

說明：此項說明一個重點：1.獨立的審查管理會議。

每次開這種會議，我只能說，形式大於實質，因為大家都在玩文字遊戲，但大家都知道，資安這種東西，深入來說，是需要很多技術層面來支持的，首先，我們資安人員是否有達到資安這層的水準，本身就是個大問題，其次，他們所「制訂」出來的政策、目標、程序、控制這些東西，拿到我手裡一看，上網一搜尋，一樣的版本，在網路上一字不改(僅改公司名稱)的拿下來用，當然更不可能有所謂的量化的數據出現，前兩天有人提到這個問題，在這裡剛好做個說明該如何把量化的數據轉化成一般語言。

專業的語言，不是每個人都能懂的，我們長時間在一個象牙塔裡久了，我們是很清楚這些語言，但是外部的人根本就不懂。我們可以仔細去思考，這些語言都是人創造出來的專業術語，絕對能轉化成一般人懂得語言，我常跟公司的員工講話，不自覺得就整句話都是專業術語，旁邊聽的人，其實根本不懂，而他也不見得會問這句話到底是甚麼？久了，你會以為對方是了解的，可是底下人做出來的東西，卻是有問題的，所以此時就很清楚知道，對方是不了解的，必須修正自己的表達方式才行。

在來就是面對高層，高層的人很多是文盲、法盲…他們基本上最關心的事情，就是怎麼賺錢，我不認為他們是錯的，公司的本質就是要賺錢，才有辦法讓公司存活下去。拿一堆量化數據給高層看，實際上意義也不大，在此我只說一個方法，就是與其拿量化數據，還不如把數據轉成錢來的有效，例如：你不做這些會讓公司損失多少錢!.....等等，這樣兩方的節奏就容易對上了，其他就比較清楚如何表達給高層知道結果了。