《前言》
資安署的網頁內，主要是針對政府機關的外部稽核，公開發行公司在撰寫時，可以參考他們的格式來撰寫，主要還是需要依公司情況來調整自身的制度，如果制訂完制度之後，發覺根本不可行，如此就浪費了很多作業時間成本了，同時也違反了設定內控制度的目的。

==================================================================
資安署的參考連結：112年資通安全稽核計畫，如下圖，

檔案打開後，第一部分：

壹、 依據
一、資通安全管理法第7條第2項及第13條第1項。
二、特定非公務機關資通安全維護計畫實施情形稽核辦法第3條第1項。

==================================================================

《探討及分析》

在下載PDF檔案之後，我們可以看到第一部分是該計畫的依據，資安署寫的很清楚是根據資通管理辦法，以及特定非公務機關資通安全維護計畫實施情形稽核辦法，這兩個主要辦法來寫的。

這兩個辦法實際上，是無法用到公開發行公司的內控裡面的，這部分在資通安全管理辦法公告之後，網路上都有很多詳細的說明，在此，我們簡單的做個說明，資通安全管理辦法主要適用的對象，除了公務機關之外，還包含特定非公務機關，所謂特定非公務機關包括：關鍵基礎設施提供者(如台電、台水等)、公營事業(如台糖、台酒等)，以及政府捐助的財團法人(如工研院、資策會等)。

因此根據上述的格式，我們在第一部分依據的部分，就必須找出公開發行公司所依據的資安法令，在此，我們先要排除金控、保險業，因為這兩個行業有專法的規範，並非適用於一般發行公司，故我們要先排除掉這兩個行業。目前一般發行公司的資安管理主要依據為「上市上櫃公司資通安全管控指引」，裡面共十章37條，所以，目前這個部分的依據，就可以寫成以下的方式：

壹、依據  
一、主要依「上市上櫃公司資通安全管控指引」(下稱資安管控指引) 及「公開發行公司建立內部控制制度處理準則」第九條之規定制訂本資通安全管理之稽核作業辦法。

資安管控指引，基本上是個通則，並非全體適用，資本市場上其實有很多公司規模不大，或者公司人數不多等等的中小型公司，我們在看股東會年報時，可以發現幾乎是沒有甚麼資安政策的，甚至於零資安。有關於這個問題，筆者也對於當前情況提出幾點看法：

1. 未對產業進行分級，用大鍋炒的標準來看資安，但結果可能是擴大差距。
2. 沒有實際了解企業狀況，有些企業連營收都有問題，無法在資安投入太多的比例，因此該如何在企業現況考量之下，是否應做出分級，以及分級後的公司該達成的階段性任務，最後，在達成階段目標後，該如何往上接軌。
3. 公司治理評鑑對資安的部分，有設加分標準，原意是鼓勵，給分比重也並未太低，然公司卻遲遲無法跟上腳步，是否公司有針對該問題做出探討。
4. 現行的公發公司的資安是風險導向為主，小公司卻大部分只能配合內稽內控，並未做到法令所謂的風險控管，當前並未看到風控的標準。

以上為筆者之看法，給各位做個參考。