企業內部員工的風險與威脅管理，是企業預防營業秘密外洩事件的管理重點。其管理機制中，該如何建置稽核程序、資安工具的報表應該如何產出，以達稽核效果，是很多企業在積極建置的管理制度。其稽核與資訊部門應該在平時扮演什麼樣的角色，以協助企業落實內部員工管理？

電子監控幾乎是現代企業管理的必要手段，舉凡電子郵件、網路行為、事務機、IM通訊等，都有企業進行監控。但監控的同時該如何避免侵害員工隱私，及維持員工對公司的高度信任感，建議如下：

1. 電子監控設備的設置，應當由管理階層核准後設置，且最好是由企業內部跨部門主管會議核定。
2. 電子監控設備建置後，企業應當充分公告所採行的管理方式，尊重員工的隱私並確保符合相關法令的程序要求。
3. 電子監控設備的稽核程序，應由企業公告正式的作業程序與規範。
4. 電子監控設備，應僅由被授權的人員在一定的SOP下執行，企業必須確保員工隱私資料的保護與合理使用。

稽核是企業保護營業秘密的重要手段，但是為免監控的範圍過大而耗費不必要成本，建議企業應先盤點重要機敏資料，將監控與稽核的重點限制於重要的機敏檔案，其他非核心營業機密資料則無須耗費人力查核。在結合企業內部的業務流程後，稽核作業的實務操作建議如下：

1. 離職人員是企業風險最高的查核點，建議應該稽查離職前1~3個月的監控記錄。
2. 新進員工的試用期也是高風險期間，建議應於試用期滿查核監控記錄。
3. 在職員工的稽核應當利用監控工具的「關鍵字警示報表」、「異常使用次數報表」，以有效管理大量的在職員工，且單純關鍵字及數量化的報表對員工隱私權的侵害程度也較為輕微。

企業資訊系統所需的監控設備，通常是資訊單位負責採購與建置，而最常使用的方式為「常態的進行稽核軌跡蒐集，但不主動查核」，這樣的建置方式能夠發揮的內控效果有限，建議採行以下方式，發揮設備的最大效果：

1. 由資訊單位主動分析日常記錄後，定期產出報表，包括「異常存取事件」、「異常使用量」、「非法存取事件」等均應納入報表。
2. 報表應定期（每週或每月）發送各級主管或稽核專員查閱，以主動發現異常情事。
3. 如主管或稽核員發現有異常情事，應遵循內部流程，針對特定員工進行深度調查與證據蒐集，以確保在必要時可採取法律行動以保障公司權益。

中華數位企業資料保護研究小組吳毅勛顧問也提醒客戶，上述監控作業可能會侵害內部員工的個人隱私，且隱私權屬於憲法保障範圍，在執行前建議應召集資訊、法務、稽核、管理單位，共同制訂稽核政策與流程，包括公告稽核政策、請員工簽署監控同意書、稽核程序SOP化，以確保全部的程序均有嚴謹的內部流程控管，所有員工的隱私都能在合理的保障內，同時達到企業營業秘密監控的保護目的。