這個章節很多都在CISSP有，很多邦友寫過，可以參考邦友的文章
https://ithelp.ithome.com.tw/articles/10202329

營運持續管理

在Risk Management風險管理分析後，擴展出營運持續管理BCM，利用營運衝擊分析BIA及風險評鑑RA，建立營運持續計畫BCP，並請各部門制定恢復計劃DR流程

圖片來源: https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-risk/bcm-resilience/bc-process/it-rm-bc

• BCM(Business Continuity Management) 營運持續管理
  
  圖片來源: https://www.ithome.com.tw/news/135939
• BCP(Business Continuity Plan)營運持續計畫
• BIA(Business Impact Analysis)營運衝擊分析
• DR/DRP(Disaster Recovery Plan)恢復計劃
• RA(Risk Assessment)風險評鑑

人員

AUP 可接受的使用政策(Acceptable use policy): 公告不可以在電腦裝盜版軟體等等
NDA 保密協議（Non-disclosure agreement）

稽核項目

• 稽核時務必確認這兩項有確實做，例如入職時簽NDA，公司貼AUP公告等等，以打破員工合理期待(你沒告訴我，我怎麼會知道不能這樣做之類的)
• 調職，離職的授權調整

Outsourcing

有些組織會將IT部分外包或是全部外包，尤其是公家機關，通常考量外包的原因通常為

• 集中在核心事業
• 利潤問題
• 組織靈活性

許多人常常忽略責任及風險問題，需要注意終極責任是在組織管理層，也許可以怪XX外包公司出錯，但承受傷害的還是為組織自身，承接外包人員也會被指責監督不力，因此需要評估可能的風險，制定合約方式規範外包公司

風險

• 反而增加成本
• 缺乏控制 (資料外洩)
• 法規限制
• 忠誠度
• 能力不足 (替換能力不足人員)

稽核項目

• 相關合約 ex.RFP 需求建議書（Request for Proposal
• 服務要求 ex.SLA 服務水平（Service Level Agreement, 營運水平OLA（Operational Level Agreement）
• 成本及付款
• 選商流程 (能力驗證)
• 評估程序（採購、稽核、服務單位）

Work Place

疫情關係，上班地點的議題持續被提出，依據地點有以下幾種方式

• 公司內部 on-site
• 公司外部 off-site
• 離岸 offshare

Work From Home
外部工作因為在原本組織防禦架構之外，會面臨到許多問題，例如連線安全，資料安全，主機安全

IT平衡計分卡

平衡計分卡是一個業務框架，可幫助管理戰略計劃與執行之間的差距。

團片來源:https://www.kannan-subbiah.com/2012/12/implementing-it-balanced-scorecard.html#.YA6EFOgzaUk

• 未來方向-它代表了IT部門為滿足業務未來需求所做的準備工作。
  • 使命:應對未來挑戰
  • 目標:培訓員工掌握專業知識
• 卓越營運-它表示IT部門遵循的各種標準，流程和策略的有效性和效率。
  • 使命:交付高效的IT應用服務
  • 目標:有效的開發及營運
• 客戶導向-IT部門最終用戶的觀點。
  • 使命:好的服務提供者
  • 目標:提高用戶滿意度
• 公司/業務貢獻-IT部門業務主管的觀點。
  • 使命:IT投資中獲得合理回報
  • 目標:業務保持一致
  • 價值:成本及風險管理

圖片來源:https://bscdesigner.com/balanced-scorecard-fact-sheet.htm