阿~今天的筆記，真心覺得，給我來一口翻譯蒟蒻吧，很多硬梆邦的東西，記不起來XD"

▉條文是下面這個(有沒有，我今天超級正經的)：

▉有夢最美，築夢踏實(正經沒有三秒，就又ㄎ一ㄤ了)
昨天，那一坨東西，最後的重點，其實就這一句→→→政策>規範>程序性>空白表單、紀錄及其他
今天，開工啦~也可以想成，它是一個文件化的過程，怎麼做呢，今天大概是政策到規範的階段。

└第4章、組織
分成兩個階段來說~
首先，你要考量合乎法規或者合約，舉個例子(你很愛舉例子!!)，比如法規來說，因應你的行業特性或你的客源，以個資法來說，如果你只在台灣，那就只需要參考台灣的個資法啦，但如果你的客源有歐盟的公民，恭禧你，你去查一下GDPR吧，弄死你~真的。
再以合約來舉例吧，如果你是政符機關的下遊廠商，合約拜託，要看得超清楚，因為政府機關對資安的要求，應該會寫在裡面，或者一句吧，要符合ISO27001(讚~)
►GDPR可參考：沒有人是局外人！史上最嚴個資法衝擊全球，帶你搞懂什麼是GDPR
https://www.bnext.com.tw/article/49249/gdpr-general-data-protection-regulation-eu-
►先搜尋『政府機關 資安等級』，如果找不到，搜這個『資訊安全責任等級分級查檢系統 - 經濟部標準檢驗局』
考量到這裡，我相信，你的頭已經禿了(並沒有，好嗎)
再來說，當涉及違反上面這兩個的時候，應變措施是什麼(那個風險評鑑啦，出來之後，要降低風險)

繼續舉例子，你要做到什麼程度?免責免罰(不能出任何錯，哇，那人、事、時、地、物，要花的可多了)

└第五章、領導作為
5.1
高階長官的態度、他對這個部份的認知(以學校來舉例的話，偏鄉跟台北，會上新聞的程度，就不一樣后?)
5.2
長官帶你飛(正向的，不要誤會我，不是噹到起飛的意思)
宣勢主權，恩，講錯了，是承諾我們會做到的事情：合於組織的目地>訂立目標>遵守相關的規範>會持續改善。
並且公告(內部員工，供應商，客戶)
老師稽核分享：問員工，你知道資安政策在哪裡?你找得到嗎?
5.3
角色>責任、權限
組織架構圖：資安管理委員會>管理代表>文件制定、風險管理、事故處理、稽核、各單位代表
簡單來說，出事的時候，你知道怎麼應變嗎?有SOP文件，然後真的有照作嗎。

└第六章、規劃(可量測的，KPI嗎?哈哈哈)
這個挪到明天寫了，我的腦袋今天擺工啦~

另，補充一下，風險評鑑的方法可參考ISO 27005。