近期參考了部分公發公司有關資通安全管理的書面內控，就以目前法令所強調的風控導向的角度而言，不管是任何資安模型理論，稽核單位都是處在最後一道防線上，因此，不管內部或外部稽核，都是希望能夠藉由稽核單位檢視流程、公司制度與資安檢測的結果，找出問題，並協助前端的防線能夠修補不足，同時也避免錯誤的再發生。

但是，我們也了解，其實目前公發公司的稽核人員也是處於人力不足的情形，尤其在資通、資訊的專業領域上，更是缺乏的情況下，要做好內稽，基本上困難度很高，公發公司的稽核人員普遍是由財會背景的人出任，當然這有他的背景因素，可是，資安在這幾年時間，突然迅速的拉高層級，有些財會背景的稽核人員，本身就不具有相關的知識，因此要他們擔任最後一道防線，在本身背景上就有它的限制存在。

此外，我們來看「公開發行公司建立內部控制制度處理準則」第九條的部分，這條法令也是目前公發公司內控制度裡面的「電腦化資訊系統處理」，外界普遍稱為第九個循環，實際上，他只是一個獨立在八個營業循環 (「公開發行公司建立內部控制制度處理準則」第七條：銷售及收款循環、採購及付款循環、生產循環、薪工循環、融資循環、不動產、廠房及設備循環、投資循環以及研發循環) 之外的控制作業，我們把這個法令列示如下：

第 9 條
公開發行公司使用電腦化資訊系統處理者，其內部控制制度除資訊部門與使用者部門應明確劃分權責外，至少應包括下列控制作業：
一、資訊處理部門之功能及職責劃分。
二、系統開發及程式修改之控制。
三、編製系統文書之控制。
四、程式及資料之存取控制。
五、資料輸出入之控制。
六、資料處理之控制。
七、檔案及設備之安全控制。
八、硬體及系統軟體之購置、使用及維護之控制。
九、系統復原計畫制度及測試程序之控制。
十、資通安全檢查之控制。
十一、向本會指定網站進行公開資訊申報相關作業之控制。

這條法令是在民國94年修訂的，到目前112年為止，將近有20年沒有修正了，大部分會請公司資訊部門來制定「電腦化資訊系統處理」的制度，可是，大家可以注意到第十款的「資通安全檢查之控制」，長久以來這個項目大部分都是交給資訊部門來訂定的，但是，現在這個部分是否該獨立出來，交由更專業的資安長來負責制定呢？

此外，在2023.08.25 iThome的新聞，【臺灣政府零信任戰略正式啟動】從驗證、採購兩大角度出發，身分鑑別先行，新聞聯結如下：
https://www.ithome.com.tw/news/158415

從上述新聞可了解，政府方面至少已經把資安歸入到驗證與採購兩個重要的範圍之內，同樣的，公開發行公司是否需要把資安這部分也納入到「採購及付款循環」之內呢？甚至於將來是否在八個循環內，以及18個管理辦法(「公開發行公司建立內部控制制度處理準則」第八條) 之內，都列入資安項目呢？這個部分也是值得思考的。

綜合上述，大家可以了解，資安對於公司以及內部稽核人員來說，其實是個非常繁複的重要議題，尤其目前在制度建立上，有很多公發公司目前可能還停留在舊制度內運作及內稽上，所以，在本次鐵人賽中，筆者參考了「數位發展部資通安全署」所公告的稽核資料，並配合「上市上櫃公司資通安全管控指引」來探討如何建立一個資安稽核的書面制度雛形，並且用內控的角度，將資安導入各個循環之內，在此說明，三十天發文為筆者個人觀點，實際上還是以將來法令制度為依據才是正確的方向，同時，也希望這三十天能帶給讀者一些啟發及收獲。