許多企業面對咨詢公司的郵件安全建議，或是打算著手信息安全優化的單位，必須要面臨的問題，除了要有良好的系統工具輔助外，明確管理模式與執行單位是首要事項，因為許多好的方案往往因為沒有事前做好跨單位溝通，或是缺乏主導方強而有力的支持（通常是企業中較高度職權的人或單位），致使該方案胎死腹中無法執行。這樣的例子在許多好的企業中是很常見的，除非受到了 ISO 27001 或企業內部控制基本規范等標準要求，某些行業與企業因準備上市受到了 SOX-404、證券行業信息隔離墻規范等要求，使得單位必需在要求的期限以前完成布屬與建置，否則一般光靠少數人（除非你就是老板）或IT單位，是無法搞好整個企業的信息安全的，所以從郵件安全的角度出發，必需有跨部門的配合，才能將該方案真正落實與展開，以下說明在獲得可靠及有力資源下，如何決定管理模式，且依據我輔導企業建置郵件安全系統的經驗，與大家分享思路與方案。

郵件安全是每家企業必須重視，或是應該被重視的事情，但所有的管理員都會面臨一樣的問題: 身為老板想做到較好控管，當風險處于可控前提下，如果能記錄留痕每個人的郵件以備不時之需是最好的，但是通常老板又擔心自己的郵件也在 IT人員監控下，所以希望有這樣的工具，但又不希望 IT 人員能看到整家公司的機密。身為 IT 人員其實在有這樣的郵件歸檔系統后，也擔心自己的責任與壓力過大，不愿被老板猜忌，對此工作充滿擔心。因此良好的郵件安全系統，應該有多權分立的概念，同時又可以靈活調整個人或跨部門權限，包含可以自動產生統計報表等，再進一部的安全性原則，應該在開啟郵件內容時，需通過兩人以上授權，才得以開啟查看該郵件內容，并且所有的查看與調用的記錄，都必需留痕而且無法被刪除的。在制定信息安全管理流程時，可依 PDCA 的概念循環執行與審視每個環節，才可以做到較好的安全管理流程規劃。下圖為信息安全管理循環的四大流程: 規劃(Plan)、執行(Do) 、檢查(Check) 、行動(Action)。

當確認郵件管理必需被執行，應該思考管理模式，因為畢竟執行單位是很重要的，當系統導入后，還是有管理單位必需利用這套系統進行管理，在 Action 階段配合業務需求單位，進而慢慢完善管理環中的審計與安全問題。企業中是否有專門審核單位是第一個考慮問題，如在金融或證券行業，合規部通常就是該系統主要使用者，針對業務需求，合規部就會是主要的用戶，但對系統運維而言，又是合規部不必操心，且無需開放系統相關配置權限給到合規部，以滿足系統分權控管，一般在決定管理模式可視單位情形，分為以下兩種：

單人或由審計單位控管

 企業設有專門審計單位或已編制專職審核人員的企業。

 已有明確管理制度，一開始就討論好并制定策略，由審計需求單位宣導推行。

 企業大于2000人以上。

由各部門主管進行審核

企業無專職編制審計單位，或無法指定人員可作審核的企業。

一開始無法制定明確管理策略，正在制定或打算經PDCA循環中逐步形成規則的企業。

企業小于1000人以下，且單部門不超過 100 人。

在這兩種模下各有優缺點，分析如下:

利用已經設計好的多權分立郵件審計系統，才能達到事半功倍的效果。守內安郵件安全審計系統Mail SQR Expert 可以協助企業做好管理電子郵件安全，從企業所有郵件留痕，到聰明的郵件事前審計，協助單位在 PDCA 循環中逐步強化郵件安全策略，并落實到多權分立分管，真正有效為企業提供優秀完整的安全解決方案。