昨天談到政策面較難分享

但政策面可以談資安治理成熟度這項

治理和管理是兩個在組織運作中經常被提及的概念，但它們有著明確的差異。

治理，主要是關於確定方向、設立政策和決策，以及確保組織的資訊安全策略與整體業務目標一致。它著重於設定框架、規範和指導原則，通常涉及更高層次的策略決策。
治理是確保組織的資訊安全策略是持續的、一致的，且符合法規和業務要求。

管理，相對地，更注重於日常操作、監控和維護。這包括了執行治理層設定的政策和指導原則、確保資安措施得以實施，以及應對任何資安事件。

具體來說，治理是「我們應該做什麼，如資安法的規定；而管理則是「確保我們有做」，如我們談到一系列的管理、技術實作方式。

在資安治理成熟度的評估中，我們運用了一套分數制度，範圍為1-5分，以量化各組織的治理水平。以下是各級別的詳細解釋：

• Level 0：這代表該項目尚未導入或建立。
• Level 1：雖然已建立相關流程，但尚未進行系統性的管理。
• Level 2：此級別表明已經進行管理並產出相對應的佐證資料，基本上已經符合資安法的應辦事項要求。
• Level 3：除了已經遵從資安法的基本要求，而且更進一步地擴大辦理、標準化流程並確保其有效執行。
• Level 4：組織在此級別已能夠預測治理的結果且有系統的量化管理方式。
• Level 5：這是最高級別，指的是組織已達到治理最佳化，且不斷強化和優化各方面的治理策略。

目前的政策設定，A級機關必須全部達到Level 3或以上的治理成熟度。而對於B級機關，至少有80%的項目應達到Level 3或更高。

希望能從治理的深度和廣度，進一步提高管理目標，確保資安的全面性和嚴謹性。