前言

去看中醫的時侯，中醫師會先望聞問切評估病徵。
身體沒病的時侯，去醫院也會做點常規或自費項目，做為評估是否建康依據。
企業或機構也需要在日常生活中訂定資訊安全管理制度(ISMS)有效性檢視/審查程序。

資訊安全管理制度程序簡易圖解

依據ISO/CNS 27001說明順序繪制簡易圖表，可獲得持續精進(改善)結論。
內部稽核為9.稽效評估程序(如下圖)

內部稽核要點

1. 控制環境：執行本制度之基礎，包括組織文化、誠信與道德價值、組織結構、權責分派、人力資源政策、績效衡量及獎懲等。
2. 風險評估：主管階層應先確立各項目標，並與不同層級單位相連結，同時需考慮目標之適合性，並考量內外環境改變之影響及可能發生之舞弊情事，透過適當風險管理政策及程序，進行風險辦識、分析及評估。其評估結果可協助及時設計、修正及執行必要之控制作業。
3. 控制作業：依風險評估結果，採用適當政策及程序之行動，將風險控制在可承受範圍內。控制作業之執行，包括所有層級、業務流程內各個階段、所有科技環境等範圍之監督及管理。
4. 資訊及溝通：蒐集、產生及使用與校務規劃、執行及監督有關之內外部資訊，以支持內部控制其他組成要素之持續運作，確保資訊之有效溝通，並提供資訊需求者適時取得資訊之機制。
5. 監督作業：進行下列監督作業，以確定本制度之有效性、及時性及確實性：
   （1）例行監督：主管階層本於職責，就分層負責授權業務執行持續性常態督導。
   （2）自行評估：由相關單位依職責分工，評估各組成要素運作之有效程度。
   （3）稽核評估：由內部稽核人員以客觀公正之立場，協助檢核內部控制實施狀況，並適時提供改善建議；發現內部控制制度缺失時，應向適當層級之主管階層、董事會及監察人報告。於設計、執行或自行評估本制度時，應綜合考量前項各款組成要素，並得依實際需要自行調整必要之項目。

資料來源:
公開發行公司建立內部控制制度處理準則
政府內部稽核實務
學校財團法人及所設私立學校內部控制制度實施辦法
內部稽核與內部控制管理實務
內部控制與內部稽核
國際內部稽核師 ( Certified Internal Auditors(CIA) )
Certified Information Systems Auditor(CISA)國際電腦稽核師認證
內部稽核之目的
內部稽核3.0內部稽核未來的關鍵即是現在(上)、(下)

廢宅感想

1. 企業或機構經營在不同的時空背景下，找顧問諮詢所得到的建議會隨著現況調整而有所不同，找顧問首重專業服務能力用以輔導企業或機構解決問題。
2. 顧問的用途是提供專業服務，改善資訊安全環境是企業或機構一級主管所有做為的總和與成果。
3. 經評選程序聘用資安顧問，卻又以質疑資安顧問來刷專業度的人，跟下列蒼藍鴿的蓍2段影片演病人的表現有87%相似度。