前一天提到，當資產盤點洋洋灑灑列了一堆，各種分級分類也標示完了，筆者這邊依據實務上的經驗補充一點非標準框架的想法:

一、分享一個潛分類:

就像縣市地方首長，大家都愛招牌工程，有感、有績效、易說明，資安的下水道工程常常被誤會說"效益又看不到"、"這是你們IT有感/方便而已吧"、"又沒災害發生做這幹嘛"，致使難以推動。

實務上，這些看的見的和看不見的工程都是必要的，相信你我都知道。這時候推案時適當的包裝就很重要了，用亮點效益去涵蓋暗點，爭取經費、呈報規劃時試著在一起搭配，會比單獨分開說明來的有效率，暗點也才較有機會被改善。

二、保留改善前的證據

不論是哪一種工程，請切記一個重點:

務必保留改善前的狀態當證據
務必保留改善前的狀態當證據
務必保留改善前的狀態當證據

很重要所以說三次，資安的效益有許多是比較出來的，很多人做完了才發現，【阿，忘了把先前那爛到極點的狀態留下來】，沒有比較怎麼能說明改善的成果呢?

基期越低、成長越高，換言之，改善前越爛、改善後成效越好。

所以請特別留下各種改善前的量化/非量化資料，有多爛就多爛、被攻擊幾次、故障率、風險係數、評鑑缺失、截圖、email...等等都可以，方可作為後續呈現戰果的利器。