[Q&A] 06 风险评监报告生出来前的修修改改

资讯安全管理制度运行过程中，会对即有的企业或机构文化带来一定的冲击。

顾问有教过、学员有学过都是真的，但...学过的东西要能实际拿来用是有一段差距的。

认知涉及到每个人的学识与工作经验，在专案合作的过程中有不同的意见可以更全面的检视制度是否合宜，实务上进行风险评监作业也会常修修改改的，背後真正的原因是同事之间的认知校正，的显性特徵。

如果发生了下图模拟情境，表示执行人员及主管已具备一定的风险评识意识，但认知不足以解决当下问题，建议方案如下:

热血资安人版本:找顾问另约专案进度讨论会议(请顾问出马讲解、厘清问题)会後每项行动压上 Due Data ，请执行人主管协调部门资源，确保专案执行人可如期完成阶段性目标。
佛系资安人版本:不检讨专案进度、不追专案必要文件、也不要求专案执行品质，时间到了自然就会取得 ISO 27001 国际认证。

PS:

1. 学的过程有多痛苦，刻在心里的印记就有多鲜明。
2. 学到的都是自已人生路上的垫脚石。