資安是專點問題，也不適合給solution。比如說貴公司的辦法中說要管理usb，但是實際上卻沒有管理usb的機制。那麼資安人員只點出問題：貴公司說寫作不一致。說要管，卻沒管。這是事實。可是我不能給你答案說請你用gpo封掉（還是有法可解）或是請你用資產管理軟體（不要買x網，要買x品的產品較穩定從系統層下手）等等的。

如果列印的部份會產生資安問題，貴公司的辦法也有寫到要管理列印的問題，但是你實際上沒做任何管控，那就是你說寫作不一致。我一樣不能直接給你答案說，請採用某公司生產的事務機，可以搭配權限確認是列印者取走，列印者輸入帳號密碼或者是個人專屬卡片認證等等，實體上就是由機器幫你做簽核的動作。
你的解決方法可能有千百種，你可能沒有預算採用資安人員提供的方法，於是放棄技術面的解決方式改用管理面的方式解決，那都不在資安人員的考量之內。我們不能幫你想，本來就不能幫你想。這是你的機構，再了解也沒有你了解。解決是你才能解決。你才能想出最適合貴單位的解決方法。
這樣子應該了解資安人員的標準作法了。

但是你也要知道，你也有你的權益。你覺得資安人員的說法沒道理，那張稽核單子你可以不簽，因為他要有足夠的理由說服你這是說寫作不一致。如果你們的辦法裡並沒有規定要管控列印，而他跑來跟你講只有linux列印要管理而其他部分不用管理，你可以challenge 他，他不能逼你簽名。有些做audit的人的確是企管系的，他們擅長的是財務稽核，電腦稽核的方法是一樣的，所以他們也上過課之後，也可以來稽核資訊系統，但是，有可能會產生那種拿著雞毛當令箭的事情。所以，如果不幸碰上這種稽核人員，你的權益要懂得爭取。一切依照辦法行事。如果辦法裡沒有，抱歉，我沒有遵守的必要。或者，現在根本沒有完美的解決方案，抱歉，我不能亂花預算。

我之前也碰過一個這麼龜毛的稽核，也是世界級公司的。但是我就是不接受這樣的結果，跟他耗了一個小時。他很不爽，但是礙於時間的壓力，他必須在規定人天時間內做完，也只好去外面抽根煙，回來再繼續。因為還有很多其他項目要進行。呵呵。