上市上櫃公司有公司法、證交法、營業秘密法、誠信經營…等依照產業別還有針對產業規範的特別法更是要留意。
公務機關或特定所屬非公務機關有國家秘密法、公務人員服務法…等由上到下的法令及行政解釋函、以及資通安全管理法及子法。
總之，規模愈大愈是需要提昇本體格局。

格局是什麼呢?
以大多數人生活中可能有接觸過的建築物與用途舉例
範例 | 建築物 | 用途 | 功能 | 權責單位 | 使用者
------------- | -------------
1 | 銀行保管箱 | 保管重要物品 | 專人管理且保密存放服務 | 有錢銀行 | 社畜、活老百姓
2 | 臥房 | 休息 | 睡眠 | 家庭成員蒐共享，但父母親大人們有最高裁決權 | 廢宅
3 | 廁所 | 排除身上過多的液體或其它東東 | 解決生理需求 | 家庭成員或組織總務 | 廢宅
如果我們把建築物的用途/功能調換，情境變成在銀行保管箱睡覺、在臥房上廁所、在廁所放重要物品，會有什麼結果?

有發現嗎?
安全是一連串的條件堆疊累積信任值
廁所門能夠遮羞就行了
臥房門能夠暫時隔離房間內外部就行了
銀行保險箱就會被要求是銅牆鐵壁可以保障使用者儲存設備安全，也是選項中安全級別最高的選項。

建立一定的概念後，緊接著該開始說說資安治理實務與績效評估方法嘍^^

資安治理是高階主管落實公司治理的所有做為成果總合，績效評估是為了瞭解資源使用現況以及成本管理。ISO/CNS 9.績效評估

資安治理共分為4個層面，分別是：
1.戰略：目標、方向
2.戰術：達成目標的細節、方向執行的程序與相關細節
3.管理：定義權責單位職責與工作內容
4.法遵：不做違法的事

績效評估要達到的幾個功能，分別是：
監督：專責監察各項數據並督促相關人員或程序合規
量測：比對標準與現況之間的差異，全程以正規化格式紀錄成果並留存備查
分析：找出問題的根本原因(墨菲定律:任何可能出錯的事情都會出錯)，從快速的解決問題(治標不治本)，進化到準確而完整地解決問題(治標也治本)。
評估：每一次資安事件的產生、發現、處理…，都是重新檢視現有程序的契機，

透過 PDCA 循環達到持續改善

.
.
.
.
.
.
(未完待續)

資料來源：生活中或網路上發現的業界先進、老師

新創PM一定要學會的技能！專案管理PDCA筆記
墨菲定律是真的，任何事都可能出錯！他在微軟工作兩年悟出這5件事