弱點掃描不是清零遊戲：ISO 27001 要的是「可控風險」，不是完美系統

2026/02/10

在 ISO 27001 輔導的過程中，我們經常聽到一個令人糾結的問題：「弱點掃描一定要做嗎？如果掃出來的弱點，因為系統太舊、廠商不支援，或是修了會影響營運，根本不能改，那掃描還有什麼意義？是不是就不用掃了？」

這是一種危險的「鴕鳥心態」

還記得 2017 年席捲全球的 WannaCry 勒索軟體嗎？癱瘓了數十萬台電腦，造成醫院停擺、工廠停工。WannaCry 利用的並非什麼零時差(0-day)漏洞，而是一個微軟早已釋出修補程式的已知漏洞 。
那些受害最慘重的組織，很多都是因為「系統太舊 (Windows XP/7)」、「怕更新會導致產線不相容」而選擇了「不處理」。組織選擇了「不看」，但駭客選擇了「猛打」。
事實上 ISO 27002: 2022 章節 8.8「技術弱點管理」(Management of technical vulnerabilities) 早已預見了這種情況，並提供了一套完整的管理框架。它的目的從來不是「修復所有弱點」，而是「防止技術弱點遭利用」。

管理三部曲：不只是「掃描」

「技術弱點管理」也是一個持續的管理框架，涵蓋了三大階段：

1.識別 (Identify)：將「未知」變為「已知」

這不只是執行一次弱點掃描。可建立一個主動發現弱點的機制：

建立準確的資產清單（5.9資訊與資產清冊）：

必須先知道「有哪些資產」（設備、軟體名稱、版本、部署在哪），才能談論它們的弱點。就像是如果連家裡有哪些門窗都不知道，要如何防盜？

取得技術弱點之訊息：

主動測試：定期使用弱點掃描工具、或由專業人員執行滲透測試或弱點掃描。
收集情資：持續監控相關的弱點資訊來源，如 CVE, NVD, TWCERT/CC。
（5.7 威脅情資）
- WannaCry 案例的啟示：WannaCry 利用的漏洞，微軟早在攻擊爆發的前兩個月，就已經釋出了安全公告和修補程式。如果組織當時有落實「監控資訊來源」的機制，就能「提早識別」這個高風險威脅，並在駭客發動攻擊前「及時處理」，避免這場災難。
供應商管理：可透過合約要求您的供應商必須主動通報、處理及揭露弱點。
（5.19 供應商資訊安全管理、5.20 供應商協議中之資訊安全要求、5.21 供應鏈資訊安全管理）

重點：「識別」不只是被動挨打，更是主動防禦的起點。

2.評估 (Assess)：決定「誰的傷勢最重」

識別出弱點後，下一步是「評估風險」並「排定優先順序」。

驗證弱點：掃描報告可能有誤報。需要分析並驗證弱點的真實性。
評估衝擊：根據該弱點的嚴重性（例如 CVSS 評分）以及對核心業務的潛在衝擊，來決定處理的優先級。

重點：評估是為了將有限的資源，花在最關鍵的刀口上。

3.處理 (Treat)：解答「不能改怎麼辦」的核心

這就是迷思的核心。許多人認為「處理」=「修補程式(Patch)」。但「修補程式」其實只是處理方式的一種，也可採取其他「緩解措施」。以 WannaCry 為例：對於那些「不敢」或「不能」安裝修補程式的老舊系統，可採取關閉服務與網路控制。

關閉與弱點相關之服務或功能：如果這個弱點出在一個根本沒在用的功能或服務，最簡單的方式就是「關掉它」。
- WannaCry 漏洞發生在 SMBv1 協定。最有效的緩解措施就是「停用 SMBv1 服務」。
在網路邊界調整或增加存取控制：既然主機本身很脆弱，就在它外面加一層盔甲。嚴格限制誰可以連到這個系統或服務，只允許特定 IP 存取。
- WannaCry 透過 Port 445 進行擴散。在防火牆上「阻擋 Port 445 的連線」，就能有效阻斷其傳播路徑。

其餘緩解措施參考：