情境背景

A 上市櫃公司是一家有 500 人規模的精密製造商，客戶要求供應商必須取得 ISO/IEC 27001 資安認證。公司委託外部顧問公司協助輔導，預計在 12 個月內完成認證。
​
過去的問題是：顧問給的文件要求散落在 email，各部門各自整理，品質落差大；內稽自評靠 Excel 匯整，每次都要花兩週；資安長無法即時掌握各部門準備進度，只能靠開會追。

這次，他們決定用 Vitals CMP 作為整個驗證週期的協作平台，讓顧問、公司內部人員、與高層三方都在同一個系統上作業。

---

角色設定

B 顧問

外部輔導顧問

ISO 27001 認證輔導專家，負責規劃認證路徑、設計條文分工架構，並在每個階段提供指導與審查意見。

C 資安長

企業內部 · 合規部門

負責統籌認證籌備，協調資訊、法務、業務等部門分工，同時要向高層回報整體進度與風險。

D 工程師

企業內部 · 資訊部門

負責具體措施的撰寫與佐證上傳，包含系統存取控制政策、Log 管理等技術性條文的內容準備。

E 副總

企業內部 · 高階管理層

不直接參與準備，但需要了解認證整體進度、核准重大決策，並在外稽時代表管理承諾接受委員訪談。

---

應用流程

01

準備期 · 第 1–2 個月

B 顧問
顧問在系統內建立認證架構，逐條指派任務
​
B 顧問登入 CMP，將 ISO 27001 的 93 個控制條文逐一載入，並根據A 上市櫃公司的組織結構，將條文分配給資訊部、法務部、業務部等對應單位。每個條文都有明確的負責人、督導主管，以及預計完成日期。顧問不需要再靠 email 說明工作範圍，所有人登入就看得到自己的任務清單。

02

準備期 · 第 2–5 個月

D 工程師
各部門人員在線上填寫具體措施、上傳佐證

D 工程師收到系統通知，看到自己負責的條文清單。他在系統裡直接撰寫「存取控制管理程序」的具體說明，並上傳相關的政策文件和操作截圖。進度即時回報給C 資安長，不需要另外匯報。其他部門人員也在各自的條文下完成相同動作，全程並行推進。

03

準備期 · 第 5–6 個月

B 顧問 + C 資安長
​顧問線上審查進度，提出改善意見，雙方協作修正

B 顧問不需要親自到場，直接在系統內查看每個條文的完成內容，針對不符合要求的地方留下意見，由負責人員修正後回覆。C 資安長同步看到哪些條文已過顧問審查、哪些還在修改中，整個審查週期不再靠 email 往返，版本混亂的問題消失了。

04

準備期 · 外稽前 6 週

C 資安長 → E 副總
管理層查看全局進度，提前識別風險條文

C 資安長打開 CMP 的進度總覽，看到整體完成率 78%，其中有 7 個條文尚未完成且距外稽不足 40 天。系統於設定的期限前自動發 email 給 E 副總，E 副總馬上決定調派業務部兩名同仁協助補件。這個決策從提出到落地，不需要召開任何一次追蹤會議。

05

外稽前 2 週

C 資安長
安排模擬內稽，用系統跑一次完整預評

C 資安長在系統內啟動內稽預演，各受稽單位依據系統提示完成自評填報、打出預評分數。報表匯出後，一眼可見哪些條文自評偏低，作為外稽前最後兩週的重點補強方向。自評表不需要人工彙整，系統直接匯出。

06

外稽當天

C 資安長 + D 工程師
無紙化應對委員，條文與佐證秒速調閱

外部稽核委員訪查時，C 資安長打開知識庫，展示各項資料夾的佐證，文件即時呈現在螢幕上。委員臨時追問某個 SOP 細節，D 工程師在旁邊的筆電上同步查到，30 秒內找到正確版本。現場沒有翻資料夾、沒有「等一下補給你」的場面，委員給予正面回饋。

07

外稽後 · 持續改善

C 資安長
委員缺失意見逐條建檔，交辦改善

外稽結束，委員提出 4 個需改善的缺失項目。C 資安長在系統內逐條建立矯正任務，分別指派給資訊部和業務部，各自設定回覆截止日。三週後，所有缺失都在系統內完成回覆與審核，自動形成完整的改善紀錄，作為下次年度監督稽核的查核依據。認證正式取得，相關佐證一鍵匯出提交主管機關。

---

導入成果

✅從「應急模式」轉為常態化管理

認證週期不再是全公司的緊急動員，而是常態工作的一部分。準備期協同分工、驗證日展現專業、驗證後持續改善，三個階段都在同一個平台上執行。品質提升真正落實於日常作業，而非只在外稽前三個月。

✅顧問與企業的協作不再靠 email

所有任務、審查意見、修改紀錄都在同一個平台，外部顧問遠端即可完成輔導，不需要每次到場才能確認進度。

✅每次認證成果自動累積，下次不用重建

第一次認證的所有條文內容、佐證、委員意見都保存在系統內，三年後再驗證或年度監督稽核，有完整脈絡可循。

✅缺失不再重複出現

委員意見結構化保存，矯正任務有人負責、有截止日、有回覆紀錄，下次監督稽核時，相同缺失不會再被點出來。