當今資訊科技快速發展，不但組織資訊系統環境日趨複雜，評估資訊科技風險也變得更加困難。雖有各種國際資訊安全標準相繼制訂推出，但對於參與資訊安全保證活動的人員而言，於評估資訊安全風險時，容易陷於法令遵循與規範標準的概念描述（ 形式面）與資訊產品設備實際的軟體設定配置間（ 實質面）的認知落差，而不易分析及評量現有設施資訊安全控制的有效性與對資訊安全保證的信心程度。本文探討安全組態管理機制對於資訊安全保證之形式面與實質面的影響，其是否有助於將複雜的資訊科技潛在威脅與風險因素，轉換為易於風險評鑑決策的資訊安全評量基準，進而提昇對於資訊安全保證的掌控信心程度？研究程序中，分別以深入訪談及量化問卷設計，針對三種不同類型（ 形式面、實質面、組態管理）的資訊安全查核項目，評估不同知識背景的資訊人員與稽核人員，對不同類型查核項目的風險評估結果與資訊安全保證信心程度是否存在差異？研究結果中發現：稽核人員與資訊人員之間的認知差異無顯著差異，表示在雙方容易接收不同構面的資訊安全知識，已逐漸縮短認知差異；但部分構面風險評估結果仍與安全組態標準之建議重要程度具有差異。進一步分析，發現安全組態管理資訊對於形式面與實質面的認知互動，在部分構面上顯著改變人員的認知判斷，顯示安全組態管理有助於對資訊安全查核項目的風險認知與執行查核上的溝通。