[Q&A] 04 专案必要文件难产

资讯安全管理制度运行会产出一系列的文件化纪录，着也是稽核程序中可能会发现的不合理之处。

其中，在风险评监时，起手式莫过於资讯资产盘点自评了!!

资讯资产盘点与固定资产盘点最大的差别，在於资讯资产会针对资讯资产以多个面向(例如:资通系统包含硬体、软件、网路、中介软件、作业系统、商誉...等角度)看待风险，所获得的风险评监也较固定资产更为全面。

2种盘点表用途不同，不需要在汇整成同一张表单的议题上着墨过多。

资讯资产盘点的重要性在於确认资安边界、安全等级分级、风险识别与排序，以及後续残余风险等管控措施订定依据。

如果发生了下图模拟情境，表示执行人员的认知不足且无法在专案期限内提交必要文件，建议方案如下:

1. 热血资安人版本:另约专案进度检讨会议，请执行人主管出席确认专案延迟真因，并协调部门资源确保专案如期完成阶段性目标。
2. 佛系资安人版本:不检讨专案进度、不追专案必要文件、也不要求专案执行品质，时间到了自然就会取得 ISO 27001 国际认证。