31. 關於資安健診的敘述，下列何者較「不」正確？
(A) 一種對組織的資訊系統與網路環境進行全面普查的過程，以評估其對各種威脅的抵禦能力
(B) 可以幫助企業或組織發現安全漏洞，增強企業對內外部威脅的抵禦能力
(C) 國際知名的 SecurityScorecard 公司，通過完成對網路威脅情報探測的評分分析來評估公司實體的網絡安全狀況，也是一種資安健診
(D) 僅透過弱點掃描手法完成資安健檢

以下是對各選項的逐一說明，其中題目問的是「較不正確」的敘述：

(A)「一種對組織的資訊系統與網路環境進行全面普查的過程，以評估其對各種威脅的抵禦能力」

• 說明：資安健診（Security Assessment / Security Health Check）通常涵蓋多面向，包括網路架構、作業系統、應用服務、政策流程等，藉由全面性的檢視來評估組織面對潛在威脅的能力。
• 正確性：這種描述相當符合「資安健診」的定義與做法，故屬於正確的敘述。

(B)「可以幫助企業或組織發現安全漏洞，增強企業對內外部威脅的抵禦能力」

• 說明：資安健診的主要目標之一，即是協助企業或組織及早發現潛藏的安全漏洞（如錯誤設定、程式漏洞、權限控管問題等），進而針對可能的攻擊途徑進行修補或防護。
• 正確性：確實能夠藉由健診發現問題並加強防禦，是資安健診的核心目的，故(B)正確。

(C)「國際知名的 SecurityScorecard 公司，通過完成對網路威脅情報探測的評分分析來評估公司實體的網路安全狀況，也是一種資安健診」

• 說明：SecurityScorecard 等廠商會彙整來自各種外部資訊（例如公開的漏洞情報、暗網交易資訊、網路資安事件紀錄等），對企業或組織進行一個「外部視角」的安全評分分析，評估其整體安全狀況。
• 正確性：雖然方式與傳統「內部掃描與手動檢測」的資安健診不同，但本質上仍是對組織安全狀況進行評估的一種做法，可視為外部資安健診的一種類型。因此(C)的說法也可被視為合理、正確。

(D)「僅透過弱點掃描手法完成資安健檢」

• 說明：弱點掃描（Vulnerability Scanning）固然是資安健診常使用的技術之一，但完整的資安健診往往還包括設定檢查、程式碼安全檢查、系統與網路架構審視、人員與流程面訪談等多重面向。
• 如果只靠弱點掃描工具自動檢測，往往容易遺漏商業邏輯或高階流程上的安全隱憂，而且也無法評估組織在資安管理流程或人員教育訓練等方面的成熟度。
• 正確性：此陳述過度簡化了資安健診的範疇，不符合「全面性」的實際做法，因此在題目中屬於「較不正確」的選項。

總結

• (A)、(B)、(C) 的描述皆屬正確或相對合理的資安健診觀念，
• (D)「僅透過弱點掃描就能完成資安健檢」的說法過於片面，較不正確。
  因此最終答案為 (D)。