如果對應到ISO 27001則是外稽，不同於ISO 27001的外稽是文審+實地審查，行政院的資安稽核則是技術稽核+實地審查，技術稽核團隊會用公文預定時間前來進行技術性的稽核，一般為2-3天。

稽核重點主要分為八大項
一、 使用者電腦安全檢測：使用派送軟體丟一次性掃毒軟體查看電腦是否有惡意軟體、確認是否有被當跳板未經授權開放port...等。一般來說，使用者電腦如正常更新Windows內建防毒軟體、不安裝破解版軟體(keygen通常都是木馬)，都能安全過關。
常用工具為：nmap nessus shodan 進行掃描選定網段進行掃描，選定一定台數再去查
查的常用工具為：pocessexplorer processmonitor tcpview autoruns 確認是否有問題

二、 物聯網設備檢測：掃描全單位網域看是否有中國物連網設備、設備是否為弱密碼或無密碼、gateway是否有對外暴露、韌體是否有更新...等，這不太好清查，因為有些物聯網資訊設備可能因為價值太低沒有列管財產，或是同仁自帶無線分享器，都是可能在稽核時被發現的漏洞。
常用工具為：nessus shodan

三、 網域主機安全防護檢測：同第一項，但第一項使用者電腦名單是稽核前提供的，網域主機則是指定要檢查的。比較特別的是目錄主機如AD或LDAP，會特別進行目錄主機的檢查。

四、 資料庫安全檢測：資料庫(Database)管理員特權帳號管理、使用者帳號密碼是否有在更新、有沒有啟用Audit功能、有沒有定期檢視稽核紀錄、委外管理...等

五、 核心資通系統安全檢測：依據SSDLC表格條列進行查看，因此請先填SSDLC表單，會依個資、機敏...優先序挑選，滲透測試灰箱測試，可參考<資通系統防護基準驗證實務>進行驗證。
https://www.nics.nat.gov.tw/CommonSpecification.htm?lang=zh

六、 網路架構檢測：針對網路架構圖進行分析，相關業務承辦如果熟悉的話沒什麼問題，會查看網段切割、無線網段有線網段是否切開、防火牆組態原則、有無填寫資安表單...等。

七、 組態設定安全檢測：很困難達成的一項，簡單來說就是GCB，有提供官方免費版，但設定後沒有恢復點，如果長官支持的話就可以熟悉設定後全下，有錢的話就是採購GCB派送軟體，可以派送GCB規則，有恢復點，在技術稽核時可以生效，日常工作時有工作的組態設定版本。
https://www.nics.nat.gov.tw/GCB.htm?lang=zh

八、 網路惡意活動檢視：針對core router進行流量mirror，只要流過的有連到惡意中繼站就會被查到，解決方法就是用IPS，會阻擋掉惡意連線封包。
常用工具為: PingPlotter

這邊的介紹很多名詞

瞭解個大概就行，因為每個單位不同，有些單位的MIS設備或服務已經委外處理，因此有廠商可以幫忙處理。

沒有的話就要自己土砲處理，可以就關鍵字了解相關資訊，除了第八點可能比較難做到(mirror port + wireshark + 分析封包也可以)，其餘的就是苦功

技術檢核對於紅藍雙方都很難做，一般來說技術稽核人員會偷打，看有哪些漏洞等到場時從內網打可節省時間，因此防火牆要先控管好，不要讓技術稽核人員預掃。

而等到場進行技術稽核時，一般程序為port scan→找到有開奇怪port的弱點掃描→找到弱點漏洞下去打

這很花時間，雖然技術稽核人員實力普遍不錯但時間不允許做太多的測試

因此最重要的還是要確保核心系統安全，因為這通常都是稽核的焦點

在我參與過的技術稽核經驗，按表抄課時間是很不充裕的，不過遇到是技術稽核經驗豐富的人，一出手打到稽核發現寫不完...就只能好自為之