對,甲方的供應鏈也很多,甲方變成有一個負責稽核同仁,乙方也要弄一個應變組織,專門 focus 這些。我是覺得現在在我們資安法也好,或者是 ISO 制度就是一句話,必須要針對委外廠商進行委外資安稽核,所有的政府機關都非常 follow,把那句話放到合約裡面,但是我覺得稽核這件事是必要,要有這樣的考量,只是這個執行方式可能要由數發部的角度或者是資安署來做,例如:如果合約範圍是維運,甲方來稽核,至少可以檢視與肯定 ISO 的標準 或許只看其他跟維運有關的稽核項目,這個是第一個,應該在資安範疇,依合約範圍為主來進行第二方稽核,這樣不但降低甲方的負擔、也降低乙方的負擔。