談到企業郵件稽核 (Email Audit) 就會聯想到監控或內部控管等嚴肅的議題，實務上稽核不僅止於用內稽內控的用途，觀察有許多企業也將稽核應用在教育訓練上，例如觀察新人對外郵件的溝通是否依照公司規範，或者落實公司對外的業務政策，例如外寄都必須附上產品型錄。

當然也包含了機密不外洩 (DLP) 的需求，只要帶有個資或業務相關敏感性資料，對外寄信就要加密傳送。最後是防止誤寄，設定對外寄信不允許寄給競爭對手網域或者免費網域等應用，為了達成上述的應用情境，郵件稽核就會是個好用的系統工具，從流程來看郵件稽核，就會圍繞在範圍 (Scope)、政策 (Policy)、審核 (Audit)、處置 (Action) 等四個面向。

設定稽核範圍與政策優先度

範圍指的是要檢查的層級，如果把公司組織當成系統來看，可以區分成全系統 (System)、網域(Domain)、群組(Group)等三個層級，每個層級可以設定需要的稽核政策，政策相互抵觸時，以全系統政策為優先，其次網域、最後群組。但稽核政策也有彈性，也可以針對需求調整政策優先度，例如指定的一條網域政策，可優先於系統政策。每個政策可以再細分稽核規則 (rule)，規則的支援度，則視不同品牌的技術而定。例如個資攔截能力，因為個資類型不僅只有中文，英文的個資外洩，也是不符合法規規範，因此也有廠商的稽核系統支援「英譯姓名、住址」來符合不同企業的需求。

讓審核與處置流程互相配合

審核流程包含通知與註解，企業完成稽核政策的佈署後，可以針對攔截到的信件通知對應的審核人員 (ex.部門主管)，為了能夠正確的將通知信遞送，因此稽核系統必須可以配合組織階層的上下關係，不論是透過 LDAP/AD 或 HR 系統整合，產生正確的組織或群組樹狀結構 (Tree structure)，再根據樹狀結構上不同群組的管理者，指定為審核人員。如此稽核系統就能結合階層，正確辨識稽核規則的所在位置、優先順序以及需要通知的對象。

審核通知信區分寄給審核人員或內部員工，審核人員收到通知信後，可以從中瀏覽該信件被攔截的規則資訊，審核人員並可以針對該信件進行稽核註解，後續進行放行留紀錄、直接退信或加密外寄等處置作法。對於內部員工 (寄件人) 則需要通知已被稽核系統攔截的訊息 (ex. reject by policy)，避免員工誤以為發信成功，但實際上該信件仍在審核中。如果該信件放行或進行加密處理也可以通知員工該信件已被處理

優化稽核政策貼近實務

稽核政策與規則的設計上，雖然必須以公司或資訊安全要求的政策規則為主，例如只要郵件含有個資或帶有加密檔案就必須攔截的規則，以個資攔截規則為例，雖然法規上是以達成團體訴訟至少外洩達 20筆以上，而且個資的認定以可辨識個人為主，因此至少要有2類或3類以上個資類型 (ex.身分證字號、姓名、電話)才算是個資外洩，但有些企業對個資認定相對嚴格，例如認為1筆個資型態 (ex.電話或姓名) 也算是外洩，也會列在攔截規則，因此系統就會較高的機率將一般正常信也列為是敏感資料，就會造成過多了審核信件要處理。

為了更貼近實際工作情境，避免規則過於敏感而產生不必要的審核信件成為工作干擾，因此導入稽核政策的流程會採取「設計 (Design)、檢測 (Testing)、改進(improve)」。設計階段蒐集利害關係人 (ex. )的意見後，將所有想要攔截的規則全數設定在系統上，接下來進入檢測驗證階段，規則僅做記錄不做任何攔截，來驗證規則的有效性，之後進入改進調整，微調規則內容或數量，以符合實際情境。然後再設計、再檢測、再改進，至少 3-4 個循環之後，就可以評估評估列為正式上線的稽核規則。

企業確認完稽核流程與政策導入後，接下來就是進行觀察期，觀察期是組織規模跟屬性而有不同差異。短則1-2週，長則1-2月不等。觀察期要做的就是 Debug 或者說抓漏，看有無上線沒有考慮到的情境，再做稽核流程或政策的微調。我們可以發現，企業要導入稽核並不是買一套稽核系統，設定好政策規則就算專案完成，而是必須經過政策宣導、需求規劃，驗證並改善。遵循品質管理要求的PDCA（Plan-Do-Check-Act的簡稱）循環。因此關鍵因素除了企業 IT 或資安人員能夠清楚組織的稽核需求，同時廠商(或顧問公司) 在技術或專業領域上的合作與經驗分享，才能讓郵件稽核完成導入與發揮效益。