資訊安全不是事後補強：網站設計公司從需求階段就該做的5件事

在政府加速推動數位治理的同時，網站設計公司扮演著守護資訊安全的第一道防線。許多資安風險並非來自駭客技術過高，而是網站建置初期未將資安要求納入規劃，導致上線後面臨無法補救的漏洞。本文將從ISO 27001與《資通系統基準檢核表》的角度出發，提出網站設計公司在需求階段即應執行的五大資安實務，協助承接政府計畫的團隊落實普級資安標準。

一、導入資安風險盤點制度：從需求開始掌握風險

識別政府網站潛在資安風險

在提案與需求訪談階段，網站設計公司應即協助客戶進行資通風險初步盤點，並對應《資通系統基準檢核表》列舉之最低資安項目，初步辨識系統可能遭遇的存取控制、資料傳輸或弱點掃描風險。

規劃資安控制措施

在專案開案文件（System analysis系統分析書）中明列資安控制機制，包括帳密設計原則、操作記錄機制與第三方資安測試安排等，有助於後續落實政府網站稽核要求。

二、建置具備安全設計的程式架構

遵守 OWASP 與弱點預防原則

遵循ISO27001制度，開發階段應依循 OWASP Top 10 安全設計指南，預防 SQL Injection、XSS 等常見漏洞。特別是承接政府網站案件，務必強化輸入驗證、權限控管與Session管理等模組設計，才能降低稽核後補救成本。

敏感資料處理與加密要求

對於涉及使用者資料（如身份資訊、登入憑證等），必須依政府網站稽核標準進行AES、SHA等等級的加密處理，並搭配前端遮罩機制避免資訊外洩。

三、導入弱點掃描與測試驗證機制

正式開發前即啟動弱點掃描

許多網站設計公司習慣在交付前才補做掃描，實則已違反《資通系統基準檢核表》要求。建議於系統建置中期，即先執行一次弱點掃描與靜態程式碼分析（SAST），讓修補工作與開發流程同步進行。

完成開發後進行驗收級測試

網站完成後，必須再執行一次動態應用測試（DAST）與弱點重掃，並提供完整的修補報告與驗證文件，以符合政府採購之稽核流程與驗收要求。

四、資訊安全納入合約與驗收項目

明訂資安工作項目與責任歸屬

網站設計公司應在專案合約或委外技術文件中，列出包含帳號管理辦法、操作紀錄規格、資安教育訓練等項目，並確認業主與廠商間的權責範圍，降低後續爭議。

資安列入系統驗收流程

將資安項目列為正式驗收條件（如「須提供弱點掃描報告」、「驗證帳密策略配置」），除可保障交付品質，也有助提升政府機關信任與維運續約率。

五、成立資安認證專業團隊，強化執行效能

配置具備ISO27001背景的專案人員

隨著政府採購對資安要求提高，網站設計公司若能配備具ISO27001或CISSP等證照人員參與需求分析與稽核對應，將更具競標與信賴優勢。

建立文件制度與知識管理機制

資安不只是技術工作，更是制度與文件管理的體現。建議建立SOP、教育訓練紀錄、帳號設定檔、風險盤點紀錄等文檔控管流程，確保政府網站稽核時能即時應對。

結語：從需求階段把資安做好，才是真正的「預防勝於補救」

資訊安全不是交付後才匆忙補強的責任，而應是網站設計公司在需求分析階段即主動介入的核心任務。透過制度規劃、程式安全、測試驗證、文件管控與專業團隊建置等五大面向，方能真正協助政府網站符合《資通系統基準檢核表》規範，穩健達成系統安全、法規合規與使用者信任的三大目標。