經過技術稽核之後，實地稽核的隨著到來，我們將完成資訊安全管理循環的最後階段考驗。

資安管理的核心思想便是「PDCA」模式。

Plan - 涵蓋四階文件和資通安全維護計畫。
Do - 包括資產盤點、風險評估以及日常維護記錄。
Check - 進行內部、外部、技術和實地稽核等多項審查。
Act - 针對稽核中發現的缺失或漏洞，進行矯正並改進。

內部稽核需經過資安委員會的確認
外部稽核可能是由驗證單位確認
技術稽核實地稽核則是主管機關確認

當我們談到「Act」階段，主要是指根據稽核的結果，提出及執行改善措施。

實地稽核的檢核內容與內部稽核相似，但不同的是，稽核的進行不只是按表抄課檢核表照著問的一種形式而已。

行政院的稽核每2-3年才進行一次時，在這段期間，要依賴本身的資通安全維護計劃來確保資訊安全。

實地稽核不僅僅是一個檢查，它也提供了寶貴的建議。在此過程中，我們可以發現許多改善的機會。

除了核心系統必查以外，一般來說會對資訊資產清單的系統進行抽查，例如公文系統，確保該系統的承辦人能夠回答SSDLC的相關問題，這是很難達成的。

對於委外的公文系統，存取權限管理便是一大議題，要怎麼協助解決操作問題？遠端控制有沒有防火牆進出申請？

再如，當BCP進行災難恢復計劃演練時，是否也對恢復後的系統進行了測試？

又或者根據規定，日誌必須存儲6個月，是否有進行日誌審核？有沒有審核紀錄？

各種細節問題就算是資安專責人員回覆可能也會焦頭爛額。

「資安即國安」的口號雖然已經喊得震天響，但資訊部門的人已經算少了，資安人員的比例更是少之又少。

要真正讓大家了解並重視資安的工作並非易事，而中間又存在許多資訊落差

在經過管審會、資安委員會後，資安長可能覺得自家機關資安做的不錯，稽核前充滿信心。
但當稽核結束後，資安人員可能會被罵個狗血淋頭。

畢竟人家稽核團隊整年都在進行稽核，找到問題是他們的日常。但這對於資安團隊來說是蠻大打擊。

依我個人角度來看，我們的資安部門在資安法上限的短短的幾年內已經經歷了多次人員更迭。

個人建議，應該制定全機關的計畫策略，執行目標集中在資訊單位，焦點聚集在核心系統上。

資安完善非一蹴可幾，只要持續努力，最終將取得顯著的進展。

在這10天裡，大致分享了資安管理的循環重點。

接下來，將會討論關於資安事件的部分。