弱點掃描不是清零遊戲:ISO 27001 要的是「可控風險」,不是完美系統 在 ISO 27001 輔導的過程中,我們經常聽到一個令人糾結、甚至帶點無奈的問題: 「弱點掃描一定要做嗎?如果掃出來的弱點,因為系統太舊、廠商不支援,或是修了會影響營運,根本不能改,那掃描還有什麼意義?是不是就不用掃了?」 這種聲音反映了許多 IT 人的真實困境:我們 不是不想修,是「不敢動」或「動不了」 。 但如果不掃,這就是一種危險的「鴕鳥心態」。 這是一種危險的「鴕鳥心態」 還記得 201... 資訊安全