先說清楚:我們不會公開全部細節
這篇文章會告訴你 IT 健檢的「架構」和「範圍」,但不會公開:
- 具體的檢查指令
- 內部評分標準
- 風險權重計算方式
為什麼?
- 這些是我們的專業資產
- 知道架構,客戶能評估我們的專業深度
- 細節公開,就失去競爭優勢
但別擔心,讀完這篇,你會知道我們健檢的「廣度」和「專業度」。
IT 健檢的三大面向
我們將企業 IT 環境分為三大面向:
| 面向 | 關注焦點 | 如果出問題的影響 |
|---|---|---|
| 基礎設施 | 硬體、網路、系統 | 服務中斷、效能低落 |
| 資訊安全 | 漏洞、權限、威脅 | 資料外洩、勒索攻擊 |
| 管理流程 | 制度、文件、人員 | 人為失誤、知識斷層 |
這三大面向,涵蓋 12 類風險,超過 50 個檢查項目。
面向一:基礎設施(Hardware & Infrastructure)
這是「房子地基」的部分。地基不穩,上面再漂亮都沒用。
類別 1:伺服器健康狀況
檢查項目:
- 硬體壽命評估(服役年限、保固狀況)
- 資源使用率趨勢(CPU、記憶體、磁碟的長期趨勢)
- 硬碟健康度(SMART 數據分析)
- 溫度與環境監控
- 電力與 UPS 狀況
典型風險:
- 伺服器已經跑了 8 年,隨時可能故障
- 硬碟壞軌率超過門檻,但還在撐
- 沒有 UPS,斷電直接掛掉
類別 2:網路架構評估
檢查項目:
- 網路拓樸圖合理性
- 設備年限與效能
- 備援機制(單點故障風險)
- 對外連線頻寬與穩定性
- VPN / 遠端存取安全性
典型風險:
- 整個公司網路只有一台核心交換器,壞了全停
- 防火牆規則亂開,該擋的沒擋
- 遠端存取用 PPTP(已被證明不安全)
類別 3:備份與還原
檢查項目:
- 備份策略完整性(3-2-1 原則)
- 備份成功率統計
- 還原測試記錄
- RTO / RPO 定義與達成度
- 異地備份機制
典型風險:
- 備份失敗三個月,沒人發現
- 從來沒測試過還原
- 備份和原始資料放在同一個地方
類別 4:監控系統
檢查項目:
- 監控覆蓋範圍(哪些系統被監控)
- 警報機制有效性
- 監控數據保留與趨勢分析
- 事件回應流程
典型風險:
- 完全沒有監控,等用戶反應才知道出事
- 有監控但沒警報,伺服器滿了三天沒人知道
- 警報太多變成「狼來了」,真正重要的被忽略
面向二:資訊安全(Information Security)
這是「門鎖與保全」的部分。台灣中小企業被勒索軟體攻擊每年成長 30%,不能輕忽。
類別 5:身分與存取管理
檢查項目:
- 帳號生命週期管理(建立、變更、停用、刪除)
- 權限審查(是否過度授權)
- 密碼政策強度
- 多因素認證(MFA)覆蓋率
- 特權帳號管理
典型風險:
- 離職員工帳號還沒停用
- 所有人都是管理員權限
- 密碼是「123456」,從來沒換過
類別 6:網路安全
檢查項目:
- 防火牆規則審查(必要性、有效性)
- 對外服務暴露面(Attack Surface)
- 入侵偵測 / 防禦機制
- 網路流量異常分析
- WiFi 安全性
典型風險:
- 防火牆開了 100 條規則,但 80 條已經沒用
- RDP 直接開在網際網路上
- WiFi 密碼是「company123」,貼在牆上
類別 7:端點安全
檢查項目:
- 防毒軟體部署與更新狀況
- 作業系統與軟體更新
- 端點偵測與回應(EDR)
- 設備加密狀況
- 行動裝置管理
典型風險:
- 防毒軟體過期,病毒碼三個月沒更新
- 還在用 Windows 7(已停止支援)
- 筆電沒加密,遺失就資料外洩
類別 8:資料保護
檢查項目:
- 資料分類與標示
- 傳輸加密(TLS / VPN)
- 靜態加密(資料庫、檔案)
- DLP(資料外洩防護)機制
- 資料存取稽核
典型風險:
- 資料庫直接暴露在網路上,沒有加密
- 機密文件存在 Google Drive,權限開放給所有人
- 不知道誰看過、下載過什麼資料
面向三:管理流程(Management & Process)
這是「制度與人」的部分。技術再強,流程亂了還是會出事。
類別 9:IT 治理結構
檢查項目:
- IT 決策權責定義
- 政策與規範文件
- 變更管理流程
- 供應商管理
- 合規要求符合度
典型風險:
- 誰可以批准買設備?誰都不知道
- 系統設定隨便改,沒有人審查
- 合約自動續約,沒人記得去談價格
類別 10:事件與事故管理
檢查項目:
- 事件通報流程
- 嚴重程度分類標準
- 升級機制(Escalation)
- 災難恢復計畫
- 演練記錄
典型風險:
- 出事了不知道該打給誰
- 沒有災難恢復計畫,只能臨場反應
- 上次演練是三年前,人員都換過了
類別 11:資產與文件管理
檢查項目:
- IT 資產清冊完整性
- 軟體授權管理
- 網路與系統文件
- 密碼管理機制
- 知識傳承
典型風險:
- 伺服器密碼只有離職的阿明知道
- 網路怎麼接的,沒有人有圖
- 軟體用盜版,被 BSA 抓要賠 50 萬
類別 12:人員與訓練
檢查項目:
- IT 人員配置適足性
- 技能矩陣(誰會什麼)
- 訓練計畫
- 資安意識教育
- 離職交接流程
典型風險:
- 整個公司只有一個人懂 IT,他請假就癱瘓
- 員工不知道什麼是釣魚信,亂點連結
- 離職交接不清,系統變成黑箱
健檢流程:我們怎麼做?
第一階段:資料收集(1-2 天)
文件收集:
- 網路拓樸圖
- 設備清單
- 系統帳號清冊
- 備份策略文件(如果有)
訪談:
- IT 負責人(如果有的話)
- 實際操作系統的人員
- 管理層(了解業務重要性与風險承受度)
第二階段:技術檢測(2-3 天)
遠端 / 現場檢測:
- 使用專業工具掃描
- 登入系統檢視設定
- 執行測試(如還原測試)
注意: 所有檢測都會事先告知,不會影響正常運作。
第三階段:分析與評估(2 天)
風險評估:
- 識別發現的風險點
- 評估嚴重程度(高 / 中 / 低)
- 計算風險暴露度
優先級排序:
- 哪些必須立即處理?
- 哪些可以排程處理?
- 哪些可以接受風險?
第四階段:報告與建議(1 天)
交付文件:
- 健檢報告(完整發現與評估)
- 風險矩陣圖
- 改善建議清單(含優先級與估算成本)
- 簡報說明
健檢報告範例(結構)
我們不會給你幾百頁的技術文件。我們給的是:
執行摘要(1 頁)
- 整體風險等級:高 / 中 / 低
- 必須立即處理的前 3 大風險
- 預估改善投資
風險詳情(每個風險 1 頁)
- 發現描述
- 風險說明(如果發生會怎樣)
- 證據(截圖、數據)
- 建議改善方案
- 估算成本
改善路徑圖(1 頁)
- 分階段改善計畫
- 時程與預算
- 如果由我们協助,服務方式說明
為什麼要找我們健檢?
你不是找「檢查」,是找「專業判斷」
任何人都可以跑掃描工具,跑出 100 個「漏洞」。
但只有經驗能告訴你:
- 這 100 個中,哪 5 個真的會讓你公司倒閉?
- 哪 50 個是「可以接受的風險」?
- 優先順序怎麼排?
- 預算有限時,錢該花在哪?
這就是我們的價值。
下一步?免費健檢諮詢
免費 IT 健檢的範圍:
- 基礎設施評估(伺服器、網路、備份)
- 資安風險識別(權限、密碼、暴露面)
- 管理流程檢視(文件、制度、人員)
你會得到:
- 完整的健檢報告
- 風險等級評估
- 優先改善建議
- 如果適合,我們的協助方案
完全免費,沒有推銷壓力。
預約免費 IT 健檢— 看看你的 IT 環境健康度多少分。
P.S. 我們的健檢架構是多年經驗累積的成果。光是這個「結構」,就值得你花 30 分鐘來了解。細節?等你成為客戶,我們再深入分享。