複選題
36. 【題組 4】情境如附圖所示。資通安全健診除了網路架構檢視外，還包含下列哪些項目？
(A) 網路惡意活動檢視（有線）封包監聽分析
(B) 使用者電腦更新檢視
(C) 外部廠商資安稽核
(D) 目錄伺服器（AD）組態設定檢視

以下逐一解釋各選項在「資安健診」(Security Assessment / Security Health Check) 中是否常見或應考量的項目，並說明理由：

(A) 網路惡意活動檢視（有線）封包監聽分析

• 說明：在資安健診中，往往會進行網路流量的監控與惡意活動行為分析，以便及早發現可疑的聯外連線、不正常的傳輸形態或潛在滲透跡象。
• 這些分析常透過封包擷取、IDS/IPS 監控或網路流量分析工具完成。
• 是否包含：通常屬於「網路層面檢視」的重點項目，因此是常見的資安健診範圍之一。

(B) 使用者電腦更新檢視

• 說明：資安健診除「網路架構」檢查外，也會檢查終端設備(End-Point)的安全性，包括：
  1. 作業系統與應用程式的補丁(Patch)是否及時更新。
  2. 防毒軟體或EDR工具是否安裝並正常運作。
  3. 基本的安全設定（防火牆、USB 使用規範等）是否合宜。
• 是否包含：終端電腦的軟體版本與更新狀況是組織安全很重要的一環，所以通常會納入資安健診的檢查項目。

(C) 外部廠商資安稽核

• 說明：外部廠商資安稽核通常指的是對供應商、協力廠商(Third-Party Vendor)等進行的安全審查或要求其通過某些安全評估。這更多屬於「供應鏈安全管理」或「第三方風險管理」的範疇。
• 雖然「第三方風險管理」在整體企業資安管理中愈來愈被重視，但是否將其「直接」納入內部的資安健診範圍，取決於企業政策與合約要求。
• 一般企業進行內部資安健診時，首要檢查的是自己組織網路、系統、設定、流程；「外部廠商資安稽核」則常是獨立的管理作業或另有審核流程，不一定是常態性地納入「內部資安健診」的固定項目。
• 是否包含：有些大型或高度重視供應鏈安全的組織，可能會將外部廠商安全評估列入整體資安稽核計畫，但就一般「內部」資安健診的核心項目而言，(C) 不一定是必然納入。

(D) 目錄伺服器（AD）組態設定檢視

• 說明：在 Windows 環境中，Active Directory (AD) 對使用者身分驗證、群組權限控管、政策佈署等至關重要。
• 在資安健診中，常會檢查 AD 的安全設定，包括：
  1. 密碼政策是否符合規範(密碼複雜度、到期時間等)。
  2. 權限分配、群組設定是否恰當。
  3. 是否有不合理或過度授權的帳號。
  4. LDAP / Kerberos 等協定與網路通訊設定安全性。
• 是否包含：AD 相關設定屬於關鍵基礎建設的安全檢視範圍，幾乎都是資安健診必檢的一部分，所以會納入。

綜合判斷

1. (A) 網路惡意活動檢視：常見且重要
2. (B) 使用者電腦更新檢視：常見且重要
3. (C) 外部廠商資安稽核：屬「第三方風險管理」，不一定是內部健診必定包含，可能是可選或額外範疇
4. (D) AD 組態設定檢視：常見且重要

若題意是「以下哪些項目通常也包含在資安健診中？」，多半會認為 (A)、(B)、(D) 絕對都屬於典型檢查範圍；(C) 則可能因組織規模與需求而定，並非所有資安健診都會把對外部廠商的稽核直接歸在同一作業裡。但在某些情境下，若題目/課程範圍強調 完整性，也可能把 (C) 列為一環。

然而依照一般實務經驗，(A)、(B)、(D) 更為常見且必備，(C) 往往獨立於一般內部健診之外或做為補充性檢查。