《前言》
在任何作業項目，「時程規畫」是一個很重要的步驟，在訂定時，其實是要呼應到上一篇《目的》所說的最後想要達成的結果，通常在這部分，不太容易訂定，因為要考慮的點很多，所以在這部分，通常在訂定資安稽核的內控時，會被忽略掉。不過，資安署的資通安全計畫內有將此部分列出，是可以做為訂定年度資安內控制度及內部稽核的參考依據。

===================================================
參、作業階段及時程
本(112)年資安稽核作業，分為準備作業、前置作業、實施作業及檢討作業等4階段，各階段作業時程及重點工作，詳見表1。

===================================================

《探討及分析》

資安署的這張表，是依年度的外部稽核時程所訂定的，不過，一般發行公司還是要依主管機關的規定，來進行時程的規畫的，此外，每年的時程其實都要配合法令，並且配合公司實際狀況，進行「修正」與「調整」的。

在參考了上面的時程表，在撰寫資通安全檢查有關稽核的書面內控制度時，我們可以依上述的時程，寫成下表：

以上為筆者所提出的一個時程規畫的觀點，每家公司都有其特殊情況，但是，在資安治理上，通常一個年度的基本規劃大至上的做法，應該不會超出這個範圍之內。

筆者所要強調，「修正」與「調整」是時程訂定上很重要的一環，稽核單位對於資安的部分會提出建議，但公司的資安單位，在回覆上也必須要提出所面臨的問題，如果能改善，盡速改善完畢，如果無法改善，則要提出何時能夠改善完畢的時程及相關的規畫。

以上內容，提供給大家參考。