當提到資通安全的稽核項目時，其中一項就是：機關是否已對涉及資通安全事項的人員進行考核或獎懲。

為確保此項策略有效實施，必須將其納入機關的法規中。然而，僅僅在法規中設定這項機制也是會被稽核人員挑戰；我們還需在實際工作中執行獎懲紀錄。

面對稽核時，除了確認法規的存在，稽核員也有可能檢查其實際的落實情形。因此，建議在進行內部稽核的過程中，對於表現良好的資安窗口或資安專職人員給予適當的嘉獎，這可以表揚員工的工作熱情，還能確保面對外部稽核時，我們不會因此失分。

對於如何設定獎懲機制，可以參考《公務機關所屬人員資通安全事項獎懲辦法》，依此辦法進行。但值得注意的是，公務機關的獎懲機制可能對於某些員工來說並不具有太大的吸引力。例如，與其給予嘉獎但無實際利益，不如在會議中提供便當，這對機關同仁來說可能更加食用。

獎懲機制的設定不僅於明文規定的部分。更重要的是建立機關內部的良好合作關係，確保每位同仁都能夠有效地合作，並共同努力提升資通安全的水準。例如，技術團隊可以定期舉行會議，分享並交流他們在修補漏洞時所遇到的問題和解決方案；而行政部門也可以進行教育訓練，除了達到資安法規定的訓練時數，更可以透過這些課程了解同仁在執行過程中遇到的實際問題，並提供適當的支援。

因此在有資金允許下，可以多舉辦會議提供便當或餐點，把資安工作變得更加有樂趣。