2-1 制定政策的步驟

1. 確立政策的目標與適用範圍

定義政策的目標，如保護資料機密性、完整性和可用性。

規範政策適用的範圍，包括對象、系統和資產。

2. 參考相關法規與案例

了解相關法規（如資通安全管理法、個人資料保護法、各目的事業主管機關所管非公務機關資通安全管理作業辦法），確保政策符合相關的法律法規。

借鏡其他組織的經驗，學習做法同時反思自身需求。

3. 確保政策與業務流程結合

盡可能以組織既有的業務流程為基礎來制定政策，降低工作夥伴遵循的難度。

確保政策的書寫或布達簡單明瞭，工作夥伴容易理解和遵守。

4. 取得工作夥伴的回饋與支持

聽取各部門工作夥伴的建議與回饋來制定政策與調整，進一步確保實踐的可行性。

正式推動前，取得治理層的認可和支持，增強政策的權威性。

5. 定期審查與更新

隨著相關資安工具、技術的更新，以及業務工作的發展與變動，定期檢視並更新政策。

持續關注國內外的資安事件，適時因應、調整政策內容。