資安健診是什麼？服務內容、費用、廠商比較完整指南

「我們公司需要做資安健診嗎？」

這是很多企業主管的疑問。聽說要花幾十萬，但不知道到底做什麼、有什麼用。

這篇文章用最白話的方式，說明資安健診的完整內容。

讀完你會知道：健診包含哪些項目、費用怎麼算、如何選擇廠商。做不做、怎麼做，你可以自己判斷。

什麼是資安健診？

資安健診就像企業的「健康檢查」。

人要做健檢，了解身體有沒有潛在問題。企業也要做資安健診，找出系統和流程的安全弱點。

為什麼需要健診？

你可能覺得：我們有防毒軟體、有防火牆，應該夠安全了吧？

問題是：你怎麼知道這些防護有效？

資安健診的目的：

找出你不知道的弱點

系統可能有漏洞，但你從來沒發現。

常見情況：

• 伺服器跑舊版軟體，有已知漏洞
• 網站有 SQL injection，但從沒被攻擊過
• 員工密碼太弱，但帳號還沒被盜

這些問題平常看不出來，攻擊者卻一眼就看到。

驗證防護措施有效

你買了很多資安產品，但真的有用嗎？

健診可以測試：

• 防火牆規則是否正確
• 入侵偵測有沒有反應
• 備份能不能真的還原

滿足合規要求

很多法規和標準要求定期健診：

• 資安法：特定非公務機關要做資安稽核
• PCI DSS：處理信用卡要做滲透測試
• ISO 27001：要定期進行風險評鑑
• 金融業：主管機關要求年度檢測

取得改善方向

健診報告會列出問題和建議。讓你知道該把資源花在哪裡。

健診 vs 稽核 vs 評估

這三個詞常被混用，其實有差異：

項目	資安健診	資安稽核	風險評估
重點	技術弱點	管理制度	整體風險
方法	掃描、測試	文件審查、訪談	分析、量化
產出	弱點清單	合規報告	風險報告
執行者	技術人員	稽核人員	顧問

資安健診偏「技術面」，看系統有沒有漏洞。

資安稽核偏「管理面」，看制度有沒有落實。

風險評估看「全面」，評估各種風險的影響和機率。

企業通常需要三者搭配。

資安健診服務內容

資安健診不是單一服務，而是多種檢測項目的組合。

常見項目包括：

弱點掃描

用自動化工具掃描系統，找出已知漏洞。

掃描對象

• 伺服器（Windows、Linux）
• 網路設備（防火牆、交換器）
• 網站應用程式
• 資料庫

檢測內容

• 軟體版本漏洞（CVE）
• 設定錯誤（不安全的設定）
• 預設密碼
• 開放的危險 port

工具例子

• Nessus
• Qualys
• OpenVAS
• Acunetix（網站）

優點

• 快速、便宜
• 覆蓋面廣
• 可定期自動執行

限制

• 只找「已知」漏洞
• 誤判率較高
• 找不到邏輯漏洞

滲透測試

由真人駭客模擬攻擊，驗證漏洞是否可被利用。

和弱點掃描的差別

弱點掃描像健檢的抽血報告——告訴你數值異常。

滲透測試像醫生親自檢查——確認異常是否真的有問題，問題有多嚴重。

測試類型

類型	說明	適用情境
黑箱測試	不給資訊，模擬外部駭客	測試防禦有效性
白箱測試	提供完整資訊和原始碼	深度安全審查
灰箱測試	提供部分資訊	模擬內部員工攻擊

測試範圍

• 外部滲透：從網際網路攻擊
• 內部滲透：假設已進入內網
• Web 應用程式：專測網站漏洞
• 無線網路：測試 WiFi 安全
• API 測試：測試 API 介面

執行過程

1. 情蒐：收集目標資訊
2. 掃描：找出潛在弱點
3. 漏洞利用：嘗試攻擊
4. 提權：取得更高權限
5. 橫向移動：擴大控制範圍
6. 報告：記錄過程和發現

優點

• 驗證真實風險
• 發現邏輯漏洞
• 測試防禦能力
• 報告有攻擊證據

限制

• 費用較高
• 需要時間（1-4 週）
• 品質依賴測試者經驗

社交工程測試

測試員工的資安意識。

常見方式

釣魚郵件測試

發送模擬釣魚信給員工，看多少人會：

• 點擊連結
• 輸入帳密
• 開啟附件

電話釣魚

假裝 IT 人員或主管，看員工會不會透露敏感資訊。

實體測試

測試員工會不會：

• 讓陌生人尾隨進入
• 撿到 USB 就插
• 把密碼貼在螢幕上

為什麼重要

根據統計，90% 以上的攻擊從社交工程開始。

再好的技術防護，員工一個不小心就破功。

測試結果

通常會得到：

• 點擊率（多少人點了）
• 提交率（多少人輸入帳密）
• 部門比較
• 和業界平均的對比

原始碼審查

直接檢視程式碼，找出安全問題。

適用情境

• 自行開發的系統
• 外包開發的程式
• 重要的核心系統

檢測內容

• OWASP Top 10 漏洞
• 硬編碼的密碼或金鑰
• 不安全的函數使用
• 權限控制缺陷

方法

• 自動化掃描（SAST 工具）
• 人工審查

工具例子

• SonarQube
• Checkmarx
• Fortify

設定檢視

檢查系統和設備的設定是否符合最佳實務。

檢查項目

• 作業系統強化
• 資料庫安全設定
• 雲端服務設定
• 網路設備設定

對照基準

• CIS Benchmark
• 廠商安全指南
• 內部政策

紅隊演練

最全面、最進階的測試。

紅隊是「模擬真實攻擊者」的團隊。不只測試技術，也測試人員和流程。

和滲透測試的差別

項目	滲透測試	紅隊演練
目標	找出漏洞	測試整體防禦
範圍	指定系統	全組織
手法	技術為主	技術+社交工程+實體
時間	1-4 週	數週到數月
知情者	IT 團隊知道	只有少數人知道

紅隊演練是測試你的偵測和回應能力，不只是找漏洞。

適合誰

• 已有基礎資安措施的大型企業
• 想驗證 SOC 或 MDR 效果
• 有進階安全需求

資安健診流程

一般健診專案的進行方式：

階段一：需求確認

討論範圍

• 哪些系統要測？
• IP 範圍是什麼？
• 有沒有不能測的時段？
• 目標是什麼？

簽署文件

• 委託合約
• 授權書（很重要，沒授權的滲透是犯法的）
• 保密協定

時間：3-5 個工作天

階段二：情蒐與掃描

收集資訊

• 網域、IP
• 公開資訊
• 技術架構

執行掃描

• 弱點掃描
• Port 掃描
• 網站掃描

時間：3-7 個工作天（依範圍）

階段三：深入測試

滲透測試

• 驗證弱點
• 嘗試利用
• 記錄過程

社交工程

• 發送測試信
• 追蹤結果

時間：5-15 個工作天（依範圍和深度）

階段四：報告撰寫

報告內容

• 執行摘要（給管理層看）
• 發現總覽
• 各項發現詳細說明
• 風險等級
• 修復建議
• 技術證據

時間：3-5 個工作天

階段五：報告說明

會議內容

• 解說發現
• 回答問題
• 討論優先順序
• 建議下一步

時間：1-2 小時會議

總時程

小型專案（弱點掃描為主）：2-3 週 中型專案（含滲透測試）：3-5 週 大型專案（全面健診）：6-8 週

資安健診費用行情

費用依範圍、深度、廠商而異。以下是 2025 年台灣市場的大致行情。

各項目費用

項目	費用區間	說明
弱點掃描	NT$5-15 萬	依 IP 數量計價
網站弱點掃描	NT$3-10 萬	依網站複雜度
滲透測試	NT$15-50 萬	依範圍和深度
社交工程測試	NT$5-15 萬	依人數和方式
原始碼審查	NT$10-30 萬	依程式碼量
紅隊演練	NT$50-200 萬	全面模擬攻擊

套裝方案

很多廠商提供套裝方案：

基礎健診：NT$10-20 萬

• 弱點掃描
• 基本報告
• 適合：首次健診、小型企業

標準健診：NT$30-60 萬

• 弱點掃描
• 滲透測試（外部）
• 社交工程（釣魚郵件）
• 完整報告
• 適合：中型企業、年度檢測

全面健診：NT$80-150 萬

• 全部掃描項目
• 內外部滲透測試
• 社交工程
• 原始碼審查
• 設定檢視
• 適合：大型企業、高合規要求

影響費用的因素

範圍大小

100 個 IP 和 1000 個 IP，價格差很多。

測試深度

只掃描 vs 深度滲透，工時差 5-10 倍。

時間壓力

趕件加價。正常時程會比較便宜。

廠商規模

大型國際公司通常較貴，但品質較穩定。

報告需求

英文報告、詳細技術報告，可能額外收費。

想知道你的企業需要哪種健診？ 預約免費評估，我們幫你規劃最適合的方案。

該花多少錢？

經驗法則：年度 IT 預算的 1-3% 用於資安健診。

• 50 人企業：NT$10-30 萬/年
• 200 人企業：NT$30-80 萬/年
• 500 人以上：NT$80-200 萬/年

第一次做可以從基礎開始，了解狀況後再決定下一年的規劃。

資安健診廠商選擇

市場上有很多廠商，怎麼選？

廠商類型

國際大廠

• 例如：Deloitte、PwC、KPMG、EY
• 優點：品牌信譽、方法論成熟
• 缺點：價格高、可能用較資淺人員

本土資安公司

• 例如：中華資安、數聯資安、關貿網路
• 優點：在地服務、價格合理
• 缺點：規模不一、品質差異大

專業滲透團隊

• 例如：DEVCORE、TeamT5
• 優點：技術深度、實戰經驗
• 缺點：可能排程較滿、範圍專注

系統整合商附加服務

• 例如：精誠、神通
• 優點：了解你的環境、可一站式處理
• 缺點：不一定是核心專長

詳細的廠商比較請參考 台灣資安公司排名。

選擇標準

1. 專業認證

測試人員有沒有專業證照：

• OSCP（滲透測試）
• CEH（道德駭客）
• GPEN（GIAC 滲透測試）
• CREST（國際認證）

公司有沒有認證：

• ISO 27001（資訊安全管理）
• CREST 會員

2. 實戰經驗

問他們：

• 做過多少案子？
• 有沒有類似產業經驗？
• 能不能提供案例（匿名也可以）？

3. 報告品質

要求看報告範例：

• 發現描述清不清楚？
• 修復建議實不實用？
• 有沒有重製步驟？

爛報告只有「發現 SQL injection」一行。

好報告會有：漏洞位置、攻擊步驟、影響說明、修復方法、參考資料。

4. 溝通能力

健診不只是技術活，也要能和你溝通：

• 中文報告？
• 報告說明會議？
• 問題諮詢？

5. 保密和保險

確認他們有：

• 保密協定
• 專業責任險（萬一測壞東西）

6. 後續服務

健診後：

• 有沒有複測服務？
• 修復諮詢算不算錢？
• 能不能協助改善？

報價比較

找 2-3 家廠商報價，比較：

• 範圍是否一致
• 工時是否合理
• 人員資歷
• 報告內容

不要只看總價。便宜的可能範圍小或品質差。

紅旗警訊

遇到這些情況要小心：

• 沒看環境就報價（不專業）
• 價格低得離譜（可能品質堪慮）
• 不簽授權書（違法）
• 不提供報告範例（可能品質差）
• 測試人員沒證照（可能是新手）

常見問題 FAQ

多久做一次健診？

建議一年至少一次。

如果有重大變更（新系統上線、大改版），建議額外檢測。

某些法規要求每半年或每季。

健診會不會影響系統運作？

弱點掃描：輕微影響，可能增加一些流量。

滲透測試：可能有影響，所以通常在非營業時間或測試環境做。

專業廠商會事前溝通，避免影響正常營運。

報告發現問題怎麼辦？

1. 先看風險等級，高風險優先處理
2. 和廠商討論修復方法
3. 內部或委外修復
4. 複測確認修好了

不是找到問題就結束，修好才算數。

可以自己做嗎？

弱點掃描可以自己做，工具不貴。

但滲透測試建議外包。需要專業經驗，內部做可能有盲點。

而且自己測自己，有利益衝突的問題。

健診報告要給誰看？

• 執行摘要：管理層、董事會
• 詳細報告：IT 主管、資安人員
• 技術細節：開發人員、系統管理員

報告是敏感文件，要妥善保管。

滲透測試合法嗎？

有授權就合法。

重點是：必須有書面授權，明確載明範圍和時間。

沒授權的滲透測試是違法的，會觸犯刑法。

雲端環境怎麼測？

要看雲端服務商的規定。

AWS、Azure、GCP 都有滲透測試政策，某些測試要事先申請。

測試範圍也不同——你只能測你的應用，不能測底層基礎設施。

更多雲端資安資訊請參考 雲端資安完整指南。

下一步

了解資安健診後，你可以這樣開始：

建議行動

1. 評估需求：你最擔心什麼？有合規要求嗎？
2. 盤點資產：有多少伺服器、網站、端點？
3. 設定預算：願意投入多少？
4. 詢問廠商：請 2-3 家廠商來評估和報價
5. 比較選擇：範圍、品質、價格綜合考量

相關資源

想了解更多，可以參考：

• 資安完整指南：資安基礎知識總覽
• 台灣資安公司排名：健診廠商選擇參考
• EDR vs MDR vs SOC：健診後的持續防護方案

---

想為企業做資安健檢？

不確定該做哪些項目、找哪家廠商？

CloudInsight 協助你：

• 評估企業需求和風險
• 推薦適合的健診項目
• 媒合合適的服務廠商

預約諮詢，讓我們幫你規劃最適合的資安健診方案。