政策是用來滿足公司需要. ISO 就是要讓你 說 寫 做 一致.

如果這個政策是必須的, 也是唯一解, 也有管理辦法, 那就可行.

但是一般環境中, 我想很難出現需要這種"everyone=admin"模式才能良好運行的機會.

就算你是導局部認證尚未含到公司所有成員, 我都覺得這麼大方的政策值得商榷.

畢竟如果開放權限已超過員工所需, 通常都不會是嚴謹的管理. 還是要回頭先看政策, 管理

辦法只是用來落實政策的媒介, 而稽核就是看你的管理辦法做得確不確實.