隨著數位化時代的來臨，資訊科技在組織中扮演不可或缺的角色。由於企業對資訊科技倚賴程度的提高，相對地資訊安全管理議題也愈受重視。早期資訊安全威脅多來自如駭客或網站攻擊等外部因素，但近年來，不僅外部攻擊數量未見減少，內部威脅亦不斷增加。資訊安全治理的推動，可降低組織資訊安全風險，強化資訊防衛能力。而資訊安全管理系統運作模式，首重風險評鑑，但實務上在進行風險評鑑時，常受限於稽核員的主觀判斷或缺乏較客觀的評量模式。因此，本文透過文獻探討與專家問卷篩選出教育體系資訊安全稽核表，藉由調查各大專院校資安負責人對本稽核表項目的看法後得到稽核表各項目重要程度之標準值（高、中、低），接著以此稽核表為基礎發展出引用NIST SP800-30、ISO/IEC TR 13335-3風險評量方法之兩階段資訊安全風險評鑑機制，以通用稽核工具Excel將此風險評鑑機制實作成「資訊安全稽核風險試算表」。本文旨在提出一適用於教育體系資訊安全內部稽核之風險評鑑參考模式。