《前言》

在上一階段，對於各單位的「技術檢測」之後，再來就是有進入有關於資安的「策略面」、「管理面」以及「技術面」的實地稽核。

==================================

==================================

《探討及分析》

這張表格，筆者覺得對於公發公司，是個非常好的資安治理重點精簡版，對於發行公司來說，有了技術面，就要有相對的管理跟策略面，這三部分整合之後，才能讓公司整體公司治理提升。

我們來看看這張表上面的分數配置，首先，技術面佔了40分，尤其在第七項「資通安全防護及控制措施」分數配置最高，大家可以注意到「防護」這兩個字，也就是說，當前的公發公司一定要做好「防守」，畢竟，能夠主動還擊的能力，並非是一般發行公司所能具有的能力，所以在這部分配分較高是必然的。

再來，是管理面，其中第四項所提到的「資訊及資通系統盤點及風險評估」，這部分在前面幾篇文章當中，有提過很多次，對於風險的評估要特別注意，尤其在股東會年報當中，最好是有量化數據，以及評估重點有哪些？公司各單位的風險高低等等，都要做出評分及數據佐證，這部分對於技術面的幫助很大，因為在風險評估之後，就要技術面協助強化弱點的部分，所以這些都是環環相扣的。

最後，也是最上層的策略面，所謂策略，換句話說就是組織的走向，其實策略是最難的，有的公司是有很好的技術，同時也有很強大的管理人才，可是公司方向一走錯，往往就會萬劫不復了，這也是當決策者最難的地方。管理與技術單位，可以提供很多不同的意見，在這麼多的意見裡面，最後要選甚麼當成方向，而這個方向到底是對還是錯，還很難說，這就是組織最難為的地方。

這張表，筆者覺得很好，所以在寫資安稽核計畫時，這張表是可以好好的運用的。

以上給各位參考。