隨著前幾天的標題式介紹，我們理解到資訊安全管理是維護資安文件、資訊資產盤點、以及風險管理的三個核心部分。透過這些管理方式，所有的同仁都能夠深度參與到資安管理的過程中。

不過在落實的過程中，總會出現誤判或填寫不確實的情況。資安管理應該被看作是一個持續的PDCA流程，而非一次性的任務。因此，內部稽核在這裡起到了“Check”這一重要環節，確認我們的計畫到底執行得如何，哪些部分流程化得良好，哪些還有改善空間。

作為稽核的參考依據，我們可以查看《112年資通安全稽核實地稽核表_適用公務機關》
https://www-api.moda.gov.tw/File/Get/acs/zh-tw/dM2hsMRGZ4MW8cq
點入連結時，發現內容項目眾多，但主要為以下九大重要項目：

(一) 核心業務及其重要性
(二) 資通安全政策及推動組織
(三) 專責人力及經費配置
(四) 資訊及資通系統盤點及風險評估
(五) 資通系統或服務委外辦理之管理措施
(六) 資通安全維護計畫與實施情形之持續精進及績效管理機制
(七) 資通安全防護及控制措施
(八) 資通系統發展及維護安全
(九) 資通安全事件通報應變及情資評估因應

對於內部稽核，建議主要針對部門資安窗口，尤其是(四)和(五)這兩個部分。而其他大項次可以由資訊單位或協力幾位相關業務承辦應可完成。

透過口頭訪談或抽查的方式，可以確認資安窗口或抽點幾位同仁資安素養的程度，例如：密碼強度？有沒有定期更換？有沒有用防毒軟體？程式有沒有定期更新？電腦內有沒有盜版軟體...等資安通識級的問題，來確認員工的資安習慣與認知。

在稽核過程中，紀錄軌跡是非常重要的，這可以確保所有的行動都有跡可循。
#切勿動手
是稽核中的一大原則。要求被稽核的同仁展示操作，而不是自己親自操作，因為是口頭指示因此要熟悉稽核相關動作。

透過內部稽核，不僅可以發現文件填寫的品質和資安維護計畫的缺陷，更重要的是，也能發現實際操作中的問題和不足。最終的目的，是希望透過內部稽核，真正提升機關的資訊安全水準。

進行內部稽核時，應該以合作的心態面對每一位同仁，因為大家的共同目標是確保資訊安全，而不是彼此之間的競爭。畢竟，真正的考驗，還在於外部的稽核。