第二個說明的部分,有很多在座先進有興趣的都是衝擊構面的部分,其實我們一開始在做衝擊構面的時候也很疑惑,因為這個是控制措施裡面沒有明定的,因為財政資訊中心原來就有導入了BS1002○的制度,本來就有PIA的機制在,是一個隱私風險的機制,我們去看了一下大部分去建立隱私風險評鑑的方式不離期望值的概念,有一個機率、有一個損失的衝擊,我去計算出隱私評鑑的結果怎麼樣,不過雖然不管是BS1001或IS2007的機制,坦白說這一些機制當中都沒有被量化,可能我做過PIE之後,我做出來3分或5分哪一些要納入處理?這個是在評鑑制度當中不會被擬訂的。不過大部分導入的驗證機關怎麼做?他們會說我現在的能力還做多少?因為像這樣驗證的標準很重要的概念是持續性的改進,當評估出來的結果比如可以改善三樣,比如今年訂的標準是5分以上就去處理,如果5分處理完再來看,5分以上都解決掉,明年就會把我這個PI評鑑的結果取3分以上訂定改善方法來處理,這個是一般的操作模式。