《前言》

這部分就要講到技術檢測以及檢測項目有哪些，另外就是該如何以量化的計分方式呈現，風控導向的資安主要還是需要量化數據，有了量化數據分析之後，就可以在未來將這些數據導入統計分析，所以在設計這部分就要詳細把分數的計算方式羅列出來，以下我們就來看看這部分的量化方式。

==========================

==========================
《探討及分析》

這張表可以直接應用到公發公司的技術檢測上，事實上，這些檢測項目，對於大部分的公發公司來說已經足夠了，但是，重點在於，稽核單位如果自身沒有相關的背景，是否能夠得到相關人員的協助完成稽核報告分析？

以我們當前的內控制度規定來說，大致上會檢測到的部分，大概是在第三項的「網域主機安全防戶檢測」，其它項次可能大部分公司，就比較沒辦法做到，當然有的部分是可以請外包商或者資訊人員協助提供檢測結果，但是，如果沒辦法發現當中的問題，可能得到的就只是一個毫無意義的分數。

目前有些公司是給外部機構做檢測，所以，在股東會年報上都會看到檢測外包的方式，只是還是沒看到發行公司把這類評分檢測的項目列出，我們大概也只能看到一個結果評分，並無法得知在那個方向該強化，以及公司未來如何改善，所以一個評分的結果，對於風險導向所強調的「風險」，實際上，是看不到風險在哪裡？

另外，大家也注意表格下方的2~4項，主要是針對如果表格內的項次，正好該單位沒有相關，那麼就將該項次的評分扣除之後，在乘上100。我們在做資安稽核，通常會針對各部門當中的某個單位做抽樣，資安署在112年度，主要是針對A級的責任分級做資安稽核，一般公發公司如果在人力、時間有限的情況下，項目可以暫時不需要那麼多，但是，還是要先做能做的項目，並且說明其它項目為何目前無法做到的理由，總之，量化數據是第一步，逐步的累積上去，當資料充足之後，就能得到更有意義的數據分析結果，這樣對於公司總體資安稽核品質的提升，會有一定程度幫助的。