《有關資訊安全之違法事項：》
(一)公司訂定源碼檢測作業細則，惟其規範之內容未臻周延，另有對外服務應用系統未全面清查或檢測使用者帳號、權限等缺失，皆不利作業遵循與網路系統安全之維護，核有礙公司健全經營之虞。
(二)辦理防火牆規則檢視作業，有規範內容尚未包括檢視作業之重點原則項目、檢視範圍不完整等情事；又辦理電子郵件對外傳輸之資料保護管控，有部分未建立過濾阻擋或控管機制、過濾偵測條件欠嚴謹等缺失情節，皆不利資訊安全防護，核有礙公司健全經營之虞。

《筆者分析》：

所謂源碼檢測，就是檢視原始程式碼的方式，尋找並指出程式中潛藏的安全性弱點，分析其弱點種類、攻擊路徑等資訊，藉由分析的結果，修改相關的程式以避免程式弱點產生。不過，這種源碼檢視的方式是比較簡單的方式，跟現在鐵人賽中的一些資安參賽筆者們，所操作的滲透測試要簡單多了，同時，在程式開發中隨時都可以修正，但相對就需要ㄧ些比較專業的人來寫程式，並且能夠自行Debug，只是，在成本效益考量上，一般企業較不太願意從頭開發。

本次源碼檢視作業細則不周延的原因，主要是風險等級，弱點未明確定義及未建立弱點等級對應表，所以變成即使找到弱點，也不知道該放到哪一個等級裡面，相應措施及解決方式無法明確訂定。此外，就107年的模擬演練時，該公司的系統被入侵後，所提列的系統改善方式，並沒有包含到外包的應用程式，所以，全部被提列了第一項的缺失。

第二項辦理防火牆檢視作業，主要缺失在於未定期去檢查防火牆狀態，這也說明了，平常MIS要定期檢視報告，並做成資料留存，同時也要定期檢視有問題的IP。該項裡面的最後一個缺失，就是電子郵件的問題，雖然該公司有管控機制，但是過濾條件及郵件阻擋，並非很明確的定義清楚，所以導致公司郵件暴露在危險狀態之中，外部可透過電子郵件入侵或破壞系統。

該裁罰案，主要只有糾正，限期改善並未罰款。筆者認為，制度的建立是資安裡面很重要的一環，技術是會一直推陳出新的，如果沒有制度的建立，可能會產生多頭馬車的狀態，事實上，也會變成很難管理，所以，藉由辦法的制定，讓公司知道何處不足，加緊改善，這也就是制度與流程的重要性。