《前言》

一般來說，在稽核之前，都會要求各單位做「自行評估」，自行評估的目的，主要是讓各部門了解，依照制度，各部門的執行率以及達成率有多少？之後，會與內稽之後的結果相比對，了解需要改善的地方。

=====================================

======================================

《探討及分析》

有關於自行評估的部分，主要是規範在「公開發行公司建立內部控制制度處理準則」第二節「自行評估及內部控制制度聲明書」的第21~24條，扣除掉首次公開發行的第24條規定，列示如下：

這裡有幾點要說明，

首先，在第21條有提到「有效性」的問題，這裡所說的有效性，有部分是因為公司所制定的制度，可能難以執行，或者根本不可能做到，所以才必須要藉由自評的方式，了解哪些制度需要調整的，資通安全檢查也是其中的一環，所以資安的自評也是一樣，換句話說，如果公司寫了一堆天馬行空的制度，自評的結果有效性很低，那就是無效的資安內控了。

此外，根據第22條規定，自評是每年至少做一次，以目前公司治理有關資安的部分，如果在建置的過程當中，有一直在調整變動，建議還是每半年做一次自評，同時，我們也注意到這三條規定當中，也一直在強調「法令遵循」的部分，現在不只是資安的法令，很多其他循環也會因為各種法令、制度、規範、準則、命令、涵式…不停的在變動，所以自評就變得很重要了。

我們參考資安署有關「自評」的部分，上面列了很多自評表，主要目的就是請受稽單位先自我評估，這裡的附件有很多，其實每種附件都可以拿來做細項討論，但如筆者上述所說的，「有效性」+「法令遵循」就是自評的目的，在做自評時，只要能抓住這個方向，之後在與資安實地稽核的結果相比較，大概就知道有哪些需要調整了。

所以我們在資安的稽核計畫當中，可以這樣撰寫資安自評的部分，

有關資安自行評估的部分：

1. 受稽的資安單位，必須填寫資安自行評估表，每年至少一次。
2. 資安單位在填完表後，必須在規定期限內回覆。
3. 建議受稽單位先行辦理資安健診作業，俾利預先了解資安現況，並配合法令規定，進行改善作業。

以上給各位參考。