《前言》

接下來的部分，就進入重要的資安稽核主題，也就是實際的稽核的部分，因為這部分比較長一些，所以，我們就先說資安署所說的《受稽機關分組》，以及《各組稽核方式》這兩小部分。

筆者使用資安署的稽核計畫來參考，主要是資安署的稽核計畫，比之於一般公發公司的資通安全管理檢查都要的完整，因此才會以資安署做為範本，來撰寫資安稽核計畫。

我們有了這個稽核計劃書之後，應用到公司內部更單位的循環內控裡面，就不會沒有方向的去查核內控制度了。筆者個人在看完資安署的資安稽核所做的文件，覺得內容很嚴謹，而且也容易了解，對於公發公司的最後防線，是可以拿來做資安稽核的範本的，同時，也對於公司未來強化資安治理的幫助很大，相信對於公發公司的資安稽核會一定有幫助的。

=========================================

=========================================

《探討及分析》

我們可以看到這部分，資安署在做資安稽核之前，會先做分組的動作，也就是上面的表3，這個分組是依照責任等級來分的，公發公司的各受稽單位，是可以參考資安署的方式，看是否要依責任來分等級，或依工作重要性來分等級，又或者以網路使用量大小，不然就是依資料機密性來分等級亦可。

在分級之後，公發公司在做稽核時，有了抽樣邏輯之後，就可以進行抽樣，通常焦點還是會放在分類等級較高的部分進行抽樣，這裡要強調，並非等級較低的就不重要，而是查核的樣本數多寡的問題。舉例來說，例如有的部門需要大量使用雲端伺服器儲存資料，此時，我們就需要多抽核樣本來檢視其安全性的狀況，相對的，有的單位只是一般作業性質的工作，雖然使用雲端儲存資料，但是機密性不高，如此，在有限人力之下，就不用大量抽核，或者安排其它時間查核。

抽核樣本數到底多少才夠？這個並沒有界定得很清楚，尤其是資安，有些東西是要看一整個單位的資料，一檢視可能在伺服器裡就存放上萬筆的紀錄，所以，抽樣邏輯就得要分的很細，理由也要夠充分，最重要的就是這些抽樣，都是為了有效控制風險，如此的檢核才能具有有效性。

筆者依照資安署稽核分組，在此撰寫個範例給大家參考，如下：

有了上表的分類之後，就可以依據實際狀況去做實地或者技術檢測的勾選，參考如下：

其餘各單位依此類推，如此大概就能確定重要性及檢測，在這裡我們也參考資安署的說明，有必要延伸查核的部分，例如機房，也可以在底下做個說明，參考如下：

稽核單位在做稽核時，得延伸至重要系統所在或機房，另可以依實際需要動態調整稽核天數，不以原通知稽核日期為限。

以上給大家做參考。