《有關資訊安全之違法事項：》
(八)辦理個資外洩之應變演練，尚未就外部網路入侵及非法或異常使用行為所致之個資外洩情境，研擬演練計畫並定期演練及檢討改善，核與個人資料保護法第27條第2項及同條第3項授權訂定之「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」第10條第3項規定不符。
(九)辦理資安評估作業，有弱點掃描及滲透測試作業範圍尚欠完備，且對掃描發現之漏洞修補及追蹤處理未訂定作業規範等情事，有礙公司健全經營之虞。

《筆者分析》：

裁罰事件這一系列看下來，經查出現所謂的弱點掃描與滲透測試，本年度很多文章都有在模擬這兩項測試，筆者看了一些，有的還蠻有趣的。

因為資安裁罰從2019年下半年才開始浮現多數的裁罰事項，所以早期在看裁罰案時，都是偏向業務面的裁罰，但這段時間，資安跟洗錢防制法推行之後，出現了變化，尤其交易所強化這兩項資安模擬演練之後，開始有這類缺失出現，雖然大部分屬於糾正，但是，這也是好現象，至少由銀行保險帶頭做，再慢慢推行到公開發行公司，建構完整的機制，才能有效地在往後做到通報系統網路的完整建置。

筆者簡單說一下何謂滲透測試，所謂滲透測試，就是找具有專業駭客能力的顧問公司，站在駭客角度對保險或銀行的系統進行攻擊測試，藉以了解保險金融業系統有甚麼漏洞，提供漏洞給金融保險業者，讓業者針對漏洞進行修復，不過滲透測試也有其問題，首先，專業顧問公司沒有任何測試的標準，訂了標準，就不算駭客了，所以這點尚可理解。第二，由於金融保險業有其特殊性，某些取得的資訊，不見得就是很重要的漏洞。第三，範圍到底要多大？是否部分測試，還是全面測試？且到底次數要執行幾次？時間掌控也很重要，是否要突襲，還是在某段時間內進行測試，這些都要考量的。最後，銀行保險體系很大，到底誰要扛這些缺失？資安還是資訊部門？層級到底要到哪個公司階層？金融保險還是很官僚的，雖然法令都有定規範，但相信實際上還是有落差的。

另一種就是弱點測試，所謂「弱點掃描」就是顧問公司使用一些寫好的駭客常用的程式碼程式，對系統進行檢測，找出所有已知的風險與漏洞。這種測試就比較依賴測試公司工程師本身的品質，不同公司、不同程式碼、不同種類的規則，都會有不同的結果。因為是程式自動化掃描，可以一次做大規模數量的掃描，但也因為程式自動化，恐有誤報的問題，同時可能也無法提供修補建議。

目前這兩項都是市面上很常見的，想來將來公開發行公司也會進行這兩項測試，本案這兩裁罰也僅是糾正，並未包含在六十萬的罰鍰裡面。

另，罰鍰是行政法的行政處分上的罰款，而罰金這個用語則是用在刑法上。基本上就是罰款，只是法源不同，藉以區別而已。