是菜稽還是老稽，大部份可以看他們稽核的順序來辨別，
有一陣子觀察五年以上的資深前輩，會從內稽、管審開始驗證結果，從而反向驗證先前的計畫及執行，
因為內稽及管審包含前面幾個章節的執行結果，所以稽核驗證項目切中要害，一針見血。

但如果是菜稽的話可能會求穩，所以從章節順順稽核，也比較不會漏，
不過還是怎麼稽核都好，只要該驗證的項目都要驗到，順序不卡卡，都好。

經過完風險評鑑處理完，總要來驗證確認到底有沒有實作？有沒有實作徹底？
所以後續我們要來看執行的如何？

監督：決定系統、程序或活動狀態是否符合指定的資訊要求，其產生的資訊可以用來量測

承辦窗口：敝公司今年都沒有發生資安事件噢！
稽核老師：=_________________________=|||

量測：

效能量測：計畫活動成果，如：機房要隨手關門，那要想想如何量測？用人工巡檢有效嗎？
有效性量測：資安目標達成的有效性

資訊需求：資訊服務可用率與容許停機時間之比較
量測：每一個資訊服務的可用率、定義的容許停機時間
目標：資訊服務可用率

https://zh.wikipedia.org/wiki/%E9%AB%98%E5%8F%AF%E7%94%A8%E6%80%A7
如果年初訂定目標可用率為 99.9% = 8小時46分，已經超過了怎麼辦？
你不了解你自己，你訂了一個太高的目標
所以，快點跟資訊安全管理委員會召集人報告，看是不是要修改目標囉…

證據：每一服務的監控資訊
週期：每月
負責單位：權責單位、保管單位
資料來源：監控工具
報告格式：週期內實際可用率、目標

9.1 監督、量測、分析及評估 (KPI)

量測指標的適用方法，常見會以有效性量測指標來看實作的結果。
目標：每年都要做教育訓練
指標：每年都要做教育訓練至少 6 個小時

那麼在驗證這章節的時候，就會去抽樣是否今年有滿足 6 個小時。
「線上可以嗎？」
「可以！只要有辦法提出有教育訓練的記錄，都可以！」

通常我們有效性量測指標抽樣會針對三年內的不符合事項再去做抽樣，
並且將量測指標、時間、人員及量測結果記錄在工作底稿中，
或是針對高層訪談的議題、近期的資安事件特別仔細做抽樣驗證。
然後再回去確認風險評鑑結果、風險處理計畫、風險值設定 (逆抽)以驗證符合計畫程序。

9.2 內部稽核

會依程序書的規定去做內部稽核，這個時候會將記錄時間、版本記錄在工作底稿中：
(a)是否遵循下列事項。
(1)組織本身對其資訊安全管理系統之要求事項。
(2)本標準之要求事項。
(b)是否有效實作及維持。 頻率週期、有效執行
組織應採取下列作為。
(c)規劃、建立、實作及維持稽核計畫，包括頻率、方法、責任、規劃要求事項及報告。 程序書改變
該稽核計畫應將所關注之重要過程及前次稽核之結果納入考量。
(d)定義各稽核之準則及稽核之範圍。
(e)選擇稽核員及施行稽核，以確保稽核過程之客觀性及公平性。 是否有稽核經驗且非執行人員
(f)確保稽核之結果對相關管理階層報告。 結果傳達給高層
(g)保存文件化資訊作為稽核計畫及稽核結果之證據。 作為後續矯正處理單的處理

經驗分享：

• Case 1
  內部稽核的時候已經有三年計畫，都計畫好每年別分要稽核的範圍，
  每年的範圍都是固定的輪流順序，但這樣就不符合 9.2(c) 囉，因為應該要列入前次稽核結果。

• Case 2
  再來比較常見的在內部稽核的稽核人員跟執行人員、簽核人員為同一位，這個就不符合 9.2(e) 公正性囉，
  自己執行的項目，如果發現有不符合事項，自己身兼稽核，會開嗎？

9.3 管理審查

會依程序書的規定去做管理審查，這個時候會將記錄時間、版本記錄在工作底稿中：

• 先去追蹤過往管審之議案處理狀態
• 4.1 內外部議題的處理狀況
• 4.2 關注方議題的處理狀況
• 6.1. 因應風險及機會之行動
• 9.1 資訊安全績效回饋：
  • 不符合項目及矯正措施
  • 監督與量測結果
  • 稽核結果
  • 資訊安全目標之達成

經驗分享：

• Case 3 因為近期疫情的關係，所以之前有遇到說管審延後半年，這樣在稽核的時候就沒有管審可以驗證，
  這個時候可以去追內稽及去年管審記錄的稽核結果，進而去追今年的改善項目。
  可以接受疫情沒有管審會議，但是已經將近過了一年了，總會有改善記錄吧？

欸老師我們管審的內容沒有改完怎麼辦？

否：沒改完！沒關係！那你的限期改善寫在哪裡？什麼時候要改進？

是：改完囉！那明年的目標有要改嗎？有沒有要再精進啊？ ((搓下巴

= = = = = = = = = = ． = = = = = = = = = = ．= = = = = = = = = = ． = = = = = = = = = =

9. 績效評估

9.1 監督、量測、分析及評估

組織應評估資訊安全績效及資訊安全管理系統之有效性。
組織應決定下列事項。
(a)需要監督及量測之事項，包括資訊安全過程及控制措施。
(b)監督、量測、分析及評估之適用方法，以確保有效的結果。
備考：所選擇之方法宜產生適於比較及可重製視為有效之結果。
(c)執行監督及量測之時間。
(d)監督及量測之人員。
(e)監督及量測結果應分析及評估之時間。
(f)分析及評估上述結果之人員。
組織應保存適切之文件化資訊，作為監督及量測結果的證據。

9.2 內部稽核

組織應依規劃之期間施行內部稽核，以提供資訊安全管理系統之下列資訊。
(a)是否遵循下列事項。
(1)組織本身對其資訊安全管理系統之要求事項。
(2)本標準之要求事項。
(b)是否有效實作及維持。
組織應採取下列作為。
(c)規劃、建立、實作及維持稽核計畫，包括頻率、方法、責任、規劃要求事項及報告。
該稽核計畫應將所關注之重要過程及前次稽核之結果納入考量。
(d)定義各稽核之準則及稽核之範圍。
(e)選擇稽核員及施行稽核，以確保稽核過程之客觀性及公平性。
(f)確保稽核之結果對相關管理階層報告。
(g)保存文件化資訊作為稽核計畫及稽核結果之證據。

9.3 管理審查

最高管理階層應於規劃之期間，審查組織之資訊安全管理系統，以確保其持續的合宜性、適切性及有效性。
管理審查應包括對下列事項之考量。
(a)過往管理審查之議案的處理狀態。
(b)與資訊安全管理系統有關之內部及外部議題的變更。
(c)資訊安全績效之回饋，包括下列之趨勢。
(1)不符合項目及矯正措施。
(2)監督及量測結果。
(3)稽核結果。
(4)資訊安全目標之達成。
(d)關注方之回饋。
(e)風險評鑑結果及風險處理計畫之狀態。
(f)持續改善之機會。
管理審查之輸出應包括與持續改善機會有關之決策，以及任何對資訊安全管理系統變更之需要。
組織應保存文件化資訊，以作為管理審查結果之證據。

參考文獻

國家標準(CNS)網路服務系統：https://www.cnsonline.com.tw/

恐怖遊戲介紹

螢幕判官 Behind the Screen

《螢幕判官》來自台灣的真實故事改編集成，搭配以解謎、匿蹤等多樣化遊戲玩法，是一款操作上簡單遊玩的遊戲；而引人深思的劇情，在思維上亦是款不簡單的小品遊戲。總遊玩時數不長，但真正的思維挑戰在遊戲通關後才開始。
Steam：https://store.steampowered.com/app/821560/_Behind_the_Screen/?l=tchinese