《前言》

上市上櫃公司資通安全管控指引，主要的36條指引到今天大概就完成了一個簡單介紹，從這36條指引大家可以思考看看，公司能不能夠導入本身制度之內，如果目前還無法做到的部分，未來是否有安排相關的計畫，提升公司的資安管理，資安指引最終章『資通安全之持續精進及績效管理機制』，所強調的『持續』，還是得看公司的資安意識是否能建立了。

================================
第九章 資通安全之持續精進及績效管理機制

第三十五條、 資通安全推動組織定期向董事會或管理階層報告資通安全執行情形，確保運作之適切性及有效性。

第三十六條、 定期辦理內部及委外廠商之資安稽核，並就發現事項擬訂改善措施，且定期追蹤改善情形。

================================

《探討及分析》

指引的第三十五條~三十六條主要強調的就是內外部稽核，這部分可以參考前面幾篇的的稽核計畫來完成，資安意識的培養需要時間，有時候推行上難免會遇到很多不合邏輯的挑戰，此時，就要有些取捨，尤其是有的發行公司的企業文化，讓很多項目無法即時的推動，這也是很無奈的事情，畢竟，有些問題都會在出事的時候，大家才會有所警覺，等到時間一過，大家又把問題丟著不再處理，這種循環往往就是無法持續精進的一個阻礙，所以不管是內外稽核如何執行，重要的是，不管公司修不修正，持續追蹤還是必要的，有些追蹤項目，公司未必見得能夠馬上執行，不過，在內部還是要隨時提醒，甚至於是不厭其煩的提醒，我們必須了解，實務上就算規定要在期限內完成改善，然而，期限內改善有時根本無法達成，也有人說，有的公司根本是零資安，根本沒有依據規定在做，面對這種情況，可能要藉由產業鏈的相互要求，讓這些公司能夠對於本身的資安有所提升，並且逐步達到基本要求。

筆者近期也有接觸到一個案例，對方來接洽業務，對於公司的第一個要求，就是資安防護、商業秘密等等的要求，這也就是一種改變的商業模式，過往是很少有企業會把這種要求先放在前面提出來的，一般都是以營收、賺不賺錢為主要目標，可見得大家對於公司的商業資訊的保護也已經逐年在提高了，這種商業模式往後應該會越來越普遍，畢竟，保護自身技術、專利財，才能讓企業走的更遠。

以上給大家參考。