后量子密码（PQC）就绪已成为关键基础设施面临的紧迫挑战，但现有障碍更多来自密码可见性不足、依赖关系复杂和治理碎片化，而非算法本身的缺失。本文以欧洲一家关键服务提供商为匿名案例，详细描述了其采用“先发现后迁移”策略推进PQC就绪的实践经验。该组织首先利用自动化工具对全网络进行密码资产清点，建立基于证据的基线，包括算法类型、密钥长度、使用场景、生命周期等。发现阶段揭示了三大系统性挑战：1）密码资产所有权高度分散，各部门缺乏统一管理；2）遗留系统与现代环境中的证据质量参差不齐，部分老旧系统文档缺失；3）严重依赖第三方供应商的密码路线图，可控性低。为将这些发现转化为可操作的风险缓解措施，组织设计了一套结构化的暴露登记册（exposure register），将资产关键性、机密数据保密期限（如需要保持机密超过10年的数据更易受“先收获后解密”攻击）、以及迁移可行性三个维度结合，对密码资产进行优先级排序。作者由此提出核心论点：PQC发现不应仅被视为技术清点工作，而应上升为一种治理能力——它能够稳定组织关于密码使用的知识，将模糊的不确定性转化为可衡量的责任主体，从而支撑基于风险的决策和跨团队协调。案例表明，即使不立即启动算法替换，建立系统的发现与暴露优先级框架也能显著提升组织的密码敏捷性。本文适合安全架构师、CISO、网络风险管理者和政策制定者阅读，为大型机构应对后量子过渡提供了可复用的治理方法论和实操经验。