數字驗證
§4.1 #7 AA 標章弱掃 / 滲透測試 10 萬 驗證
§4.1 #7 AA 標章弱掃 / 滲透測試 10 萬 驗證
原文
成本效益分析.md 第 89 行:
| # | 項目 | 估算依據 | 區間(NT$) | 中位 |
|---|---|---|---|---|
| 7 | AA 標章弱掃 / 滲透測試 | 外包行情 | 5 萬~15 萬 | 10 萬 |
數學驗證
- 區間算術中位:(5 + 15) / 2 = 10 萬 ✓
- 與表格標示 10 萬 一致 ✓
→ 數字計算本身無誤。
來源依據查證
1. 名稱混淆風險 — NEEDS_FIX(名實不符)
「AA 標章」與「弱掃/滲透測試」是兩件不同的事,本案兩者都被要求,但成本表把它們綁在同一列、用「AA 標章弱掃/滲透測試」當標題,容易誤導:
- AA 標章(無障礙):政府網站無障礙標章,依 NCC「無障礙網頁開發規範 2.0」,由國家通訊傳播委員會審驗。屬於可及性 / a11y,非資安。
計畫說明書-全文.md第 63 行:「無障礙網站:持續維護 AA 標章有效性」計畫說明書-全文.md第 141 行:「需符合 NCC『無障礙網頁開發規範 2.0 版』,並通過 AA 等級以上無障礙標章」工作範圍.md第 67 行 C-3:「AA 標章持續維護…AA 標章認證有效(每月檢核)」工作範圍.md第 308 行:「無障礙標章年費(AA 維護)」← 已單獨列為一項隱性成本
- 弱點掃描 / 滲透測試:資安檢測,依「資通安全管理法」與行政院「資安防護基準」執行。屬於資訊安全。
計畫說明書-全文.md第 163 行:「驗收時檢附資訊安全測試報告;依**『資通系統標準低』執行弱點掃描**」計畫說明書-全文.md第 164 行:「履約完成前應通過本府資訊中心之資訊安全測試、壓力測試、系統效能測試」計畫說明書-全文.md第 310 行(防護基準附表第 29 項):「SDLC 測試階段|執行弱點掃描安全檢測」計畫說明書-全文.md第 332 行:「資安等級:A-普…需通過弱掃 + 壓測 + 效能測試」工作範圍.md第 237 行:「弱點掃描(依資通系統標準低)」工作範圍.md第 309 行(隱性成本清單):「AA 標章弱點掃描 / 滲透測試外部服務」← 這裡同樣有命名混淆,問題的源頭在工作範圍清單
→ 全案文件未要求對「AA 標章」做弱掃 / 滲透;正確的拆分應為兩項:(a) AA 標章年費(已在工作範圍 #7 單獨列項)、(b) 弱點掃描/資安測試。
2. 是否要求「滲透測試」(pentest)? — 嚴格說:未明示要求
- 全案契約 / 計畫說明書 / 工作範圍未出現「滲透測試」字樣(已 grep 確認)。
- 明確要求的資安檢測為:
- 弱點掃描(依「資通系統標準低」)──
工作範圍.md第 237 行 - 本府資訊中心資訊安全測試(履約完成前)──
計畫說明書-全文.md第 164 行 - 壓力測試、系統效能測試
- 弱點掃描(依「資通系統標準低」)──
- 系統等級 A-普 / 標準低(
計畫說明書-全文.md§三):依資通安全責任等級分級辦法,**「普」級或「標準低」**僅要求弱點掃描,不強制滲透測試(滲透通常在「中/高」等級或核心系統才強制)。
→ 滲透測試屬於廠商「自願加碼」或為通過資安測試而保險式採購,非契約強制。
3. 頻次 — 每年至少 1 次(履約期間);弱點修補無時程上限
- 履約期 1 年(115/7/1 ~ 116/6/30)。
- 「履約完成前須通過資訊安全測試」──
工作範圍.md第 236 行 ⇒ 至少 1 次弱掃 + 資安測試交付。 - 弱點修補:「應於修補期限內完成,擲回弱點修補紀錄表」──
計畫說明書-全文.md第 162 行(重掃成本隱含)。 - 一般業界做法:「初掃 + 修補後重掃」算 2 次掃描為一個合約週期是常見配置。
4. 弱掃 / 滲透測試外包行情 5 萬~15 萬合理性 — PASS(單次弱掃在區間內,滲透偏低)
| 服務類型 | 台灣市場一般行情(2024~2025) | 與 5~15 萬比較 |
|---|---|---|
| 單次 Web 應用程式弱點掃描(OWASP Top 10、自動化工具如 Acunetix、Nessus、Burp) | 3 萬~10 萬 / 次 | ✓ 區間內 |
| 黑箱滲透測試(外部視角、人工 + 工具,小型網站 < 20 個功能點) | 8 萬~30 萬 / 次 | ✗ 15 萬上緣對單次滲透偏低 |
| OWASP ASVS Level 1 弱掃 + 簡易滲透(中型政府網站) | 10 萬~25 萬 / 次 | △ 中位 10 萬僅夠單次弱掃 |
| A-普 / 標準低級政府系統,1 年 1 次弱掃 + 修補後重掃 | 8 萬~15 萬(整年合約) | ✓ 與 5~15 萬區間相符 |
- 若僅做弱點掃描(本案契約強制要求的最低底線):5~15 萬整年合約合理。
- 若含滲透測試(本案非強制,但成本表標題寫了):15 萬上緣偏低,實務上滲測單次起跳 8~10 萬,加修補重測常達 20 萬以上。
- 「外包行情」一語太籠統,未指明參考廠商或來源,是次要弱項。
5. AA 標章年費是否重複列計? — 澄清
- 工作範圍 #7「無障礙標章年費(AA 維護)」與 #8「AA 標章弱點掃描/滲透測試外部服務」原本是兩項獨立成本。
- 但成本效益分析 §4.1 表中沒看到單獨列 AA 標章年費(
成本效益分析.md§4.1 第 81–91 行只列 8 項,AA 年費漏列)。 - AA 無障礙標章維護費用:機關官方審驗免費(NCC 自我評核 + 受理機關抽驗),但外部顧問協助修正、檢核工具、每月檢測業界年費約 3 萬~10 萬(中型政府網站)。
- → 若 10 萬中包含 AA 年費,名實還算相符;若只算弱掃,AA 年費是漏項。建議拆兩列說明。
結論
- 狀態:NEEDS_FIX
- 問題:
- 名稱誤導:「AA 標章弱掃 / 滲透測試」把無障礙(a11y)與資安(infosec)綁同列,兩者完全不同領域、不同廠商,是工作範圍 §七隱性成本清單第 8 項的命名問題延續至此。
- 滲透測試非契約強制:A-普 / 標準低系統只要求弱點掃描,全案未出現「滲透測試」字樣,列入會虛胖成本(雖屬廠商可接受的保險式採購)。
- AA 標章年費未在 §4.1 表中單獨列項,可能漏列或被本列吸收,需釐清。
- 數學上 10 萬 = (5+15)/2 正確;外包行情 5~15 萬對「單次弱掃整年合約」合理,但對「弱掃 + 滲透」偏低。
- 建議修正方案:
- 方案 A(推薦):拆為兩列
- 「AA 無障礙標章維護(每月檢核 + 工具)」:3 萬~10 萬,中位 5 萬
- 「弱點掃描 + 資安測試(履約前 1 次 + 修補重掃)」:5 萬~12 萬,中位 8 萬
- 合計 13 萬(比原 10 萬增 3 萬,更貼近實況)
- 方案 B(保留單列、修名稱):改名為「弱點掃描 / 資安檢測(外部服務)」,移除「AA 標章」前綴;區間維持 5 萬
15 萬,中位 10 萬。另在 §4.1 補一列 AA 年費 310 萬。 - 方案 C(保留現狀、補註):在「估算依據」欄補一句「含 AA 標章維護工具 + 弱點掃描外包;本案非強制滲透測試,已含於上緣 15 萬內」,讓讀者知道內容物為何。
- 方案 A(推薦):拆為兩列
- 推薦:採方案 A,分離 a11y 與資安成本,避免投標時無法回答「為何把無障礙跟弱掃綁同一筆」的合理性質詢(評選評分表 3.2.4「標價組成內容合理性」會踩這個點)。