《前言》

花了不少的篇幅在說明稽核計畫的部分，很多公司對於資安的稽核是如何進行的，可能是不太了解，所以介紹給大家做個參考，上面所提到的一些稽核的要點跟方向，是可以提供給一般發行公司在訂定資安制度時，一個很好的參考方向，不管公司是怎麼訂定資安制度，我們能夠參考好的實際範例，是一定可以幫助公司提升資安的。

本次針對《實地稽核時程表》，做出以下分析。

=============================================

=============================================

《探討及分析》

資安署的資安外部稽核主要是面對政府各機關，組織上會比較龐大，查核時間也必須配合政府工時法令，所以相對一般發行公司來說，是比較不具有彈性的。但是，還是可以應用到一般公發公司的內部稽核上，正常情況下，這種時程表在組織相對於精簡的公司來說，適用性是比較低，畢竟，組織相對扁平化，只要查核計畫時間到了，就依時程進行查核即可;相反的，對於規模大的公司，這種時程表就相對有用，尤其是需要海外查核的公司，有時做稽核的時候，通常很多資料、訪談、樣本抽核都要在短時間內完成，所以，這張時程表就有其必要性及參考性。

當然，公司的資安內部稽核不需要太多繁文縟節的，也不需要致詞、介紹出席人物等等，通常都會請受查單位先行抽樣，到現場之後，會進行訪談及實地稽核，有時候現場發現問題時，會立即請受稽單位事後補件，通常在稽查之後，會提列額外需求資料。

有的稽核單位會認為這種時程表是多餘的，不過只是理想上的時程表，筆者有時也會這樣認為，但是，這張表如果把各受查單位實際稽核時間、情況，在表格後面增列一欄『其他』欄，把一些現場的狀況記錄下來，在下次的稽核時，可以做時間調整之用，並且如果有需要延長查核時間，也可根據上面所記錄的情況，再未來的稽核時程上可以做為調整的依據，這樣或許就不會流於形式了。

以上給大家做參考。