iPas 資安認證初級
每天接觸的業務,因緣際會下,報考了 iPas 資安認證初級,想說多一張證照,百利無一害,平常接觸案例,也可以當作複習的素材。但進入試場後,我發現,應試的人比例和我想得很不一樣。
走進考場(有多間教室),大概掃了一眼:我們這間 60 個人左右,女性大概只有兩位,多數人的打扮和氣質,就是你在 IT 研討會現場一眼認出來的那種。再看看他們交券時間,合理判斷應考的人,都是在資安領域很長一段時間。
我坐下來想:這些東西,真的只跟這些人有關嗎?
iPAS 資訊安全工程師初級認證,兩科:資訊安全管理概論、資訊安全技術概論。各 50 題選擇題,每科 70 分才算及格,兩科都過才發證。這個問題在我腦袋裡轉了整個考試過程(題目大概 30 分鐘就做得完),考完出來,我發現資安的驗證和意識,應該要更多人能夠理解。
準備起來比想像中熟悉,技術要更廣泛涉獵
我在 CTK Pro 擔任 PM,不是工程師,雖然現在 AI 輔助,很多 Code 不需要真實理解,但 AI 做了什麼,對公司系統或是電腦有無資安隱患,是否能夠判斷,對我來說份外重要。
公司這幾年通過了 ISO 27001(ISMS)資訊安全管理系統驗證,日常有資安教育訓練,也定期閱讀相關書籍。這些積累讓我在刷考古題的時候,有一種奇特的熟悉感。
個資法的罰則怎麼算、資安事件發生後的通報程序、風險管理的框架,因為 ISMS 的關係,我們公司都有在落實,都是實際每天在執行、通報和處裡的。看到考題的時候,不是從零開始想,而是「啊,這個對,這是我們的作法」。
資訊安全技術對 PM 來說,是否必要了解呢?
PM 的日常,不太會碰到記憶體注入或作業系統層級的漏洞分析。做 WordPress 維護,你接觸的是外掛安全性、HTTPS 設定、登入防護這一類——這些我熟,但考試的題目範圍比這個廣很多。有一題考的是「靜態原始碼分析工具」,列了一串選項。我認識 SonarQube 和 Fortify,這兩個我們公司有用過;但其他幾個工具,完全沒看過,因為在 WordPress 生態系裡,沒有需要用到那些工具的場景。
這個「沒看過」讓我想了一下:不同的工作環境,會讓你對不同的攻擊型態比較敏感,也對其他的保持陌生。WordPress 的維護工作做了很多封裝,你看到的漏洞多是外掛邏輯的問題、SQL 注入的問題,不太會遇到更底層的原始碼層面攻擊。牆後面的東西,不是不重要,是你沒有機會接觸到。
帶著這個問題,我考完試之後去查了幾份資安報告,實際的數字,比我想的還要高不少。
查了台灣的數字,我才意識到問題有多嚴重
根據 Check Point Research 2024 年的統計,台灣每週平均遭受 3,993 次網路攻擊,是全球週均 1,673 次的 2.4 倍,位居亞太地區之首,且年增率達 31%。
然後是一個讓我有點意外的攻擊目標分布。趨勢科技的統計顯示,2024 年約 9 成的目標式勒索攻擊,選定的目標是中小企業——不是大公司,是防護薄弱、沒有專職 IT 的地方。攻擊者不是挑有錢的打,而是挑好打的打。
換個角度看 Verizon 2025 年的年度資安報告,從「中小企業發生的資安事件裡,各種惡意軟體的比例」來分析:勒索軟體佔比高達 88%,同樣情境下的大企業只有 39%。中小企業遭遇的攻擊不只更頻繁,攻擊手法也更集中——就是衝著讓你付贖金去的。
WordPress 用戶還有一組數字要知道:Patchstack 2025 年的報告指出,WordPress 生態系在 2024 年新增了近 8,000 個漏洞,其中 96% 來自外掛,且超過 43% 的漏洞不需要任何帳號登入就能被觸發。這個數字代表的不是「WordPress 不安全」,而是:長期沒更新的外掛、冷門評價不好的外掛,就是一扇一直開著的側門。
個資法方面,雄獅旅遊的案例說明:2017 年被駭洩漏 36 萬筆顧客個資,2024 年 1 月被裁罰 200 萬,消費者基金會另外提出團體訴訟求償 363 萬。從事件到裁罰中間隔了七年,調查和司法程序慢,但還是會追朔到你!今天沒被罰,不代表你昨天做的事不構成違規(說那個很大家的韓國電商呢?)。
💡 為什麼企業主要理解資安,拿幾題考古題給你看看
考試裡有幾個資安概念,是所有企業主應該都要知悉的。讓我試著用最白話的方式說明,希望對系統、資安有興趣卻不是本科的人也能夠理解:
例一:系統壞掉的時候,真正的問題不是「壞掉」
題目:你最愛的線上購物網站,在週年慶當天突然當機。對老闆來說,下面哪一件事其實最該擔心?
- A. 網站當機了
- B. 要花多久才能修好
- C. 客戶願意忍受網站壞掉多久
- D. 上次備份是什麼時候
很多人以為「當機」本身就是大災難,但其實當機難免,真正會出事的,是 B 和 C 對不起來的時候。
我們把它拆成三個簡單的問題:
第一,「東西壞掉前,我最後一次存檔是什麼時候?」 假設網站每小時自動備份一次,那麼當機時,最多就是丟掉最近一小時內的訂單資料。這個「能接受丟掉多少」就是資安在講的「資料遺失容忍度」——備份越頻繁,丟掉的越少。
第二,「修好要花多久?」 這是你的修復計畫所承諾的時間。比如說,技術團隊估計六小時可以讓網站完全恢復。
第三,「客戶願意等多久?」 這才是關鍵的那把尺。如果網站壞超過四小時,客戶就會大量跑去別家、在社群上抱怨、甚至再也不回來——那麼「四小時」就是這門生意能承受的極限。
現在問題來了:客戶的忍耐極限是 四小時,如果修復計畫卻要 六小時(或是很多企業根本沒有訂定!)。那就代表照這個計畫走,每次出事都注定會超過客戶的容忍範圍——你的計畫本身就保證會失敗。
這就是資安裡很重要的一個觀念:「我承諾修好的時間,絕對不能比客戶(或業務)能撐住的時間還晚。」 一份比客戶耐心還慢的復原計畫,等於沒有計畫(也就是為什麼這個容忍時間需要大家一起制定)。所以平常就要先想清楚:備份要多頻繁、修復要多快、客戶能忍多久——這三件事必須環環相扣,而不是等真的當機那天才手忙腳亂。
試想看。如果你的網站明天因攻擊整個掛掉,你能接受停機多久?
例二:這筆資安預算,到底值不值得花?
題目:一家小公司評估後發現,遭遇勒索軟體攻擊的風險,平均下來每年大約會造成 25 萬元 的損失。現在有一套防護方案,一年要花 10 萬元,導入後可以把每年的損失風險壓到只剩 5 萬元。
老闆到底該不該買?
解釋:這題的答案,其實跟「要不要買保險」是同一種邏輯。
我們先看一個關鍵數字:「平均每年因為這個風險,會賠多少錢?」 這不是說每年一定會出事,而是把「出一次事的損失」乘上「多久會發生一次」,攤平成每年的平均值。以這家公司來說,這個數字是每年 25 萬元。
接著把算盤打開:
- 不買防護:每年平均要承受 25 萬 的風險。
- 買了防護:風險降到每年 5 萬,等於幫你省下了 20 萬;但這套方案一年要花 10 萬。
- 結算:省下 20 萬、花掉 10 萬 → 每年淨賺 10 萬。值得買。
反過來,如果這套方案一年要價 30 萬,那就是花 30 萬去省 20 萬,反而虧錢——這時候理性的決定,可能是不要買、改找更便宜的做法,或乾脆把這個風險留著、自己承擔。
這就是資安投資最重要的觀念:資安不是「有做就好」、也不是「越多越安全」,而是要證明「省下的損失,大於花掉的成本」。 就像你不會為了一支兩千元的舊手機去保一年五千元的保險一樣——花的錢得對得起它擋掉的風險。
很多公司資安做不好,不是因為不重視,而是因為從來沒把這筆帳算清楚:要嘛該花的不敢花、把自己暴露在巨大的風險裡,要嘛亂花一通、買了一堆用不到的工具。學會這個簡單的「省下的 vs 花掉的」比較,就能把每一塊資安預算,都花在真正划算的地方。
2025 年 2 月,馬偕紀念醫院遭勒索軟體攻擊,超過 600 台電腦癱瘓,急診、門診、住院系統大規模中斷。馬偕不是沒有 IT 部門的小診所,是有完整資訊基礎設施的大型醫療機構。連他們都會遇到,一般中小型企業主的系統、網站, RTO 計畫設在哪裡?
⚠️ 裝了安全外掛,不等於做了資安
2024 年 11 月,一個叫 Really Simple Security 的 WordPress 外掛被發現存在嚴重的身份驗證繞過漏洞,影響超過 400 萬個網站。這個外掛的名字裡有「Security」。
這個案例的諷刺在於:你裝了安全外掛,代表你有在乎這件事——但不代表你的資安工作做完了。安全外掛本身需要被更新,備份設定需要被驗證,防火牆規則需要定期審查。資安從來不是一次性的動作,而是一個持續的過程。
這就是為什麼 ISO 27001 是一套「管理系統」認證,而不是「你裝了什麼工具」的認證。ISMS 問的是:你有沒有持續性的流程,能識別風險、處理風險、並且留下記錄。這套思維,CTK Pro 自己先做到,才拿去幫客戶規劃。
這次去考 iPAS,某種程度上也是在做同樣的事——把已經在執行的東西,用一個外部標準驗一遍,確認框架是完整的,不是光靠感覺說「我們有在做」。
考完之後,多了一個問法
這次考試最大的收穫,不是多了一張證書,而是把「以為懂」、「以為有看過」的東西放進了更完整的框架裡、驗證。
考場裡那 60 個人,多數是技術背景的從業者,他們去考是為了職涯發展或公司要求。做 PM 的人,應該也能用資安的語言說話—不是要成為專家,而是要知道問什麼問題,要知道哪些檢查點。
對企業主來說,你不需要去考這張認證。但如果以下這幾個問題,你現在回答不出來,值得找人認真聊一次:
- 你的網站上次備份是什麼時候?有沒有驗證過能還原?
- 外掛最後一次更新是什麼時候?有沒有用不到的應該停掉?
- 如果網站明天掛了,你能接受停機多久?
- 如果客戶資料外洩,你知道要通報哪個主管機關嗎?
這些問題,沒有一題是工程師才要答的。但你需要有一個幫你想過這些問題的夥伴。
CTK Pro 持有 ISO 27001 資安管理認證,我們處理的不只是網站的上線,也包含它的長期健康狀態。如果你不確定自己的網站目前是什麼狀況,可以從一次的基礎健診開始——我們會用白話告訴你網站現在暴露在哪些風險,再一起決定下一步要做什麼。
- iPAS 資訊安全工程師初級能力鑑定 – 經濟部產業人才能力鑑定, 2024
- Check Point:台灣每週遭受 3,993 次攻擊 – 資安人科技網, 2025
- 勒索病毒轉型瞄準中小企業:趨勢科技 2025 資安預測 – TechOrange, 2024
- 2025 Data Breach Investigations Report – Verizon, 2025
- State of WordPress Security 2025 – Patchstack, 2025
- WordPress 熱門外掛爆重大漏洞,全球 400 萬網站恐淪陷 – 資安人科技網, 2024
- iThome 2024 資安大調查 – iThome, 2024
- 馬偕醫院遭勒索軟體攻擊事件 – iThome, 2025
- 雄獅旅行社個資案裁罰報導 – iThome, 2024
- 個人資料保護法 – 法務部全國法規資料庫, 2023
註:所有數據與引述均截至 2026 年 5 月
