測試和實作最好分開找。最後就是資安要花錢和時間，而且最貴的不是找專家的部分，是修改檢測到問題的部分。

有可能當年三萬塊找來做的網站或服務，要整個打掉重作。

公部門中除了執行者外還有監督者的角色。以下是我的建議：

1.詢問有無每年做資安檢測。
2.詢問資安檢測報告中，評估優先修改的部分，是否已編列預算改善。

監督者重點在盯著能撬動系統的槓桿點，正確的對行政部門施力。而不是發脾氣亂罵一通，或更糟的是對錯誤的地方施力，浪費了時間、精力和金錢。

---今年上市櫃資安措施政策開始實施。政策其中是有資安檢測一環。
把已知的漏洞先掃一掃。再來是整個公司內外環境做安全上評估。

台灣一班資安廠商做的掃描就是拿開放軟體跑一下，檢查完後中國駭客來掃一下，漏洞一大堆，他們才能要用時隨時有一大堆機器可以用

台灣資安公司說不定也該檢驗一下

日防夜防，家賊難防啊

技不如人也是真的

“曲突徙薪無恩澤”的資安啊