《前言》

本篇就是進入第二章的政策與組織這兩部分，這部分算是很基本的，而且是大部分公司都能做到的部分。

==============================================
第二章 資通安全政策及推動組織

第三條、 成立資通安全推動組織，組織配置適當之人力、物力與財力資源，並指派適當人員擔任資安專責主管及資安專責人員，以負責推動、協調監督及審查資通安全管理事項。

第四條、 訂定資通安全政策及目標，由副總經理以上主管核定，並定期檢視政策及目標且有效傳達員工其重要性。

第五條、訂定資通安全作業程序，包含核心業務及其重要性、資通系統盤點及風險評估、資通系統發展及維護安全、資通安全防護及控制措施、資通系統或資通服務委外辦理之管理措施、資通安全事件通報應變及情資評估因應、資通安全之持續精進及績效管理機制等。

第六條、 所有使用資訊系統之人員，每年接受資訊安全宣導課程，另負責資訊安全之主管及人員，每年接受資訊安全專業課程訓練。

===============================================

《探討及分析》

該指引的第三條所說的，在股東會年報其實都要揭露，大家可以參考去年筆者的文章，在此簡單的說明在股東會年報的哪裡可以看到，主要都在股東會年報「資通安全管理」裡面所要求「敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安管理之資源等」那個章節裡，因此，在閱讀股東會年報時，可以注意一下。

此外，這條指引的辦法應該訂在目前「公開發行公司建立內部控制制度處理準則」的那個部分呢？在內部控制制度裡面，大部分會訂在「資訊處理部門之功能及職責劃分」這個作業項目裡，本篇的結尾，筆者會做個參考的範例。

接著，我們看第四條的規定，其中強調政策必須由副總經理以上的層級核定，並定期檢視以及傳遞，由此可知，一般發行公司至少都要由副總職位的主管來控管組織的資安單位，因此，如果是外部人或等級不夠高的內部經理人，自然就不符合指引所希望的目標了。

再來，就是第五條所規定的「資通安全作業程序」至少要訂定以下七個項目：
(1) 核心業務及其重要性
(2) 資通系統盤點及風險評估
(3) 資通系統發展及維護安全
(4) 資通安全防護及控制措施
(5) 資通系統或資通服務委外辦理之管理措施
(6) 資通安全事件通報應變及情資評估因應
(7) 資通安全之持續精進及績效管理機制
以上這七個項目，都會在上市上櫃資通安全管控指引的第三章之後列示，我們之後的幾篇文章再逐一討論。

最後就是第六條所規定的，主要就是宣導課程，及資安專業訓練。這部分就不用強調太多。

我們將上述指引內的條文，與內部控制制度做對應，並列示出作業項目以及參考的撰寫內容，如下表所示，注意下表僅作參考之用，需依公司實際情況訂定，並非一定要在以下所舉之循環或作業項目內：

以上給大家參考!