最近我買今年110歲剛過世的中國大陸，有漢語拼音之父之稱的 周有光先生的百年口述這本書，其實，有點覺得相見恨晚之感，我之所以想讀他的書，是因為我在某個網頁裡看到以下這篇文章：

周有光：今日中國為何出不了大師？
https://read01.com/OEzQRy.html#.Wkb9AN-WaUk

仔細讀過之後，當時就想買他的書來讀，姑且不說其他的，他說到一點，「學問和管理能力是兩碼事。有的人有管理能力，能辦事，可是不能做學問；有的人有做學問的天賦，可是不能搞管理。」

天賦這種東西，要實際去嘗試，自己去發掘，才能知道自己到底適不適合，了解自己沒這個能力時，到底可不可以放下，回歸原本的自己，這真的很不容易吧？ 真的很難~~~~

以下根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容，我們跳到 8.7項的分析。

八、通訊與作業管理　（資訊及業務單位）
8.7資訊業務委外辦理期間，是否定期對廠商所提供之服務、報告及記錄等進行監控與審查，並定期進行稽核？

說明：此項說明一個重點：1.資訊委外稽核。

我曾在一家上櫃公司擔任稽核主管，這家公司在台灣規模不大，就是類似一個小辦事處的規模，因為生產這些都不在台灣，因此台灣的公司就委外，負責系統及硬體的維護。

機房其實不大，剛到任時，因為公司剛搬，所以機房也沒上鎖，其實這些都是可以慢慢的弄好，畢竟本來就有有自己的內部控制辦法，只要依循著書面的程序，基本上，都沒甚麼太大問題。

外部的資訊廠商，也很願意配合，甚至我也曾經拿著這個行政院的資通安全稽核外部稽核表跟他討論，他也熱誠的提供不少建議，基本上，配合度很不錯。因此在稽核上，並沒有太大問題。

另外，我還是請外部廠商提供定期的報告給稽核單位，這份定期報告，我們是面對面的方式討論完成的，主要考量這些外部廠商，來公司巡查的時間雖然固定，但是處理大大小小事情實在太繁瑣了，而且有時候也必須趕到下一個客戶那裡處理其他事，在考量時間有限及公司規模大小的情形下，如果沒有太大資安問題，還是會有些彈性的調整的，我想彈性還是很重要的。

然而，公司的其他員工是完全在打馬虎眼的，如果是一家沒制度的公司，也就算了，但是都已經上櫃了，居然還有主管說，只要審查完畢，誰會遵守這些制度…這令我很無言!

所以，只要碰過資安的，應該不意外，都會有共識，「最難搞的是人」。