適用對象
從中小企業基線到企業級審計計畫
IT 使用者不足 20 人的中小企業,需要固定範圍的 Microsoft 365 與混合環境審計,並享有透明的 USD 定價。
需要依既定節奏開展資訊安全、合規、雲端、治理或供應商審計的企業及受監管產業。
在多個亞太市場設有辦公室的組織,需要統一報告及依司法管轄區的 PDPO、PDPA、PIPL、DPDP 和 ISO 27001 差距分析。
區域交付
覆蓋亞太的合規感知型審計交付
每項參與均將發現項對應至您營運市場相關的隱私與資訊安全框架。探索博迅區域 IT 服務,了解本地交付背景。
PDPO
資料處理、存取控制及符合證監會要求的文件
- ▸PDPO 差距分析
- ▸特權存取審查
- ▸備份與災備就緒度
PDPA (PDPC)
符合 PDPA 的營運與 M365 治理
- ▸PDPA 合規審計
- ▸MFA 與 Conditional Access
- ▸電子郵件安全(SPF/DKIM/DMARC)
PIPL / MLPS 2.0
跨境資料、M365 中國租戶與 MLPS 對齊
- ▸PIPL 資料駐留審查
- ▸MLPS 2.0 差距分析
- ▸雲端資源清單
DPDP Act
資料保護控制與存取生命週期
- ▸DPDP 合規審查
- ▸JML 權限審計
- ▸端點與備份涵蓋
個人資料保護法
本地 M365 邊界與協作權限
- ▸權限與來賓存取審查
- ▸Teams/SharePoint 審計
- ▸行動裝置控制
PDPA 2010
中小企業與區域樞紐審計交付
- ▸PDPA 2010 差距分析
- ▸資產與修補審查
- ▸Wi-Fi 與網路基線
第 13 號法令
遠端發現加亞太 NOC 支援的交付
- ▸個人資料保護審查
- ▸存取與端點審計
- ▸備份驗證
PDPA 2019
曼谷及區域辦公室審計支援
- ▸PDPA 2019 對齊
- ▸SaaS 權限審計
- ▸事件回應審查
中小企業專案審計
Microsoft 365 與混合 IT 審計範圍
面向 IT 使用者不足 20 人的組織的固定範圍審計。涵蓋身分、存取、端點、資產、修補、備份、軟體控制與行動安全——可選附加項於發現階段確定範圍。
使用者帳戶與身分驗證
Microsoft 365 與混合目錄中的身分生命週期與身分驗證強化。
- ▸Microsoft 365 / Azure AD 與本地帳戶清單
- ▸到職、離職與休眠帳戶審查
- ▸MFA 強制與密碼原則評估
- ▸特權帳戶與服務帳戶管理
- ▸SSO 與 Conditional Access 原則審查
存取權限與授權
協作平台的最小權限與職責分離審查。
- ▸Microsoft 365、檔案共用與應用程式中的 RBAC
- ▸SharePoint、OneDrive 與 Teams 權限審計
- ▸安全群組與動態群組成員審查
- ▸來賓與外部使用者存取
- ▸關鍵職能的職責分離(SoD)
端點安全與 EDR
Microsoft Defender for Endpoint 與 Intune 合規態勢。
- ▸Defender 部署與設定狀態
- ▸EDR 原則、ASR 與漏洞利用防護
- ▸Intune 裝置合規原則
- ▸防毒有效性與更新狀態
- ▸防火牆與主機層級防護設定
IT 資產管理
硬體、軟體與雲端資產的完整可見性。
- ▸端點、伺服器與週邊裝置清單
- ▸資產標籤、歸屬與生命週期追蹤
- ▸Azure 與 Microsoft 365 授權清單
- ▸網路裝置清單
- ▸資產處置與退役流程
安全修補與漏洞管理
修補態勢與漏洞修復流程審查。
- ▸Windows、macOS 與應用程式修補狀態
- ▸Microsoft 365 / Azure 修補管理
- ▸漏洞掃描與修復工作流程
- ▸修補原則與排程審查
資料備份與復原
備份涵蓋、測試與勒索軟體韌性。
- ▸OneDrive、Azure Backup 與第三方備份審查
- ▸備份頻率、保留與還原測試
- ▸伺服器、端點、雲端與電子郵件涵蓋
- ▸DR/BCP 與勒索軟體防護(不可變性、氣隙)
授權軟體與應用程式控制
軟體核准、影子 IT 與授權合規。
- ▸軟體核准流程與原則
- ▸已核准應用程式清單
- ▸應用程式白名單 / 黑名單
- ▸影子 IT 發現
- ▸Microsoft 365 與軟體授權合規
行動裝置安全
透過 Intune MDM/MAM 實現企業與 BYOD 控制。
- ▸透過 Intune 審查 MDM/MAM 原則
- ▸企業自有與 BYOD 註冊控制
- ▸工作設定檔分離與容器化
- ▸遠端抹除、加密與密碼要求
- ▸行動威脅防護能力
網路與電子郵件安全
邊界與訊息控制,通常作為附加項確定範圍。
- ▸網路分段與 Wi-Fi 安全
- ▸反釣魚與欺騙防護
- ▸DMARC / DKIM / SPF 設定
- ▸Microsoft 365 Secure Score 審查
建議附加項——於發現階段確定範圍
第 9 節領域及額外合規框架可納入全面版或進階版套裝:
- ▸網路安全(分段、Wi-Fi、VPN)
- ▸電子郵件安全(反釣魚、DMARC/DKIM/SPF)
- ▸雲端安全態勢(Microsoft 365 Secure Score)
- ▸日誌、監控與 SIEM 能力
- ▸實體安全與辦公室存取控制
- ▸安全意識培訓與釣魚模擬結果
- ▸事件回應計畫與歷史事件審查
- ▸PDPO、ISO 27001、GDPR 及其他合規差距分析
中小企業專案定價
面向不足 20 名 IT 使用者的固定價格審計層級
所有價格以 USD 計價。工作量估算:50–80 小時(資深顧問 + 支援),含文件編製、工具掃描、訪談與報告撰寫。
所示定價適用於 IT 使用者不足 20 人的中小企業專案。企業及週期性計畫另行報價。
完整審計目錄
7 大類別共 17 項審計服務
除中小企業專案範圍外,博迅還提供企業級資訊安全、合規、雲端、治理及專項審計——每項均定義頻率、交付物與產業適配。
I — 資訊安全審計
1.資訊安全審計
每季- 端點安全基線(EDR/防毒、磁碟加密、螢幕保護程式原則)
- USB 控制原則執行審計
- 遠端存取 / VPN 安全審計
- MFA 涵蓋審計
- 密碼原則與共用帳戶審計
- 辦公設備安全(印表機、Wi-Fi)
適用產業: 全產業;尤其適用於有正式資訊安全要求的組織
交付物: 審計報告 + 整改建議清單
2.滲透測試與漏洞評估
每半年 / 每年- 外部與內部滲透測試
- Web 與行動應用程式測試
- API 安全測試
- 漏洞掃描與風險評級
- 社會工程學測試
適用產業: 網際網路、金融服務及對外系統
交付物: 滲透測試報告 + 漏洞整改計畫
3.日誌與活動審計
每月- 第 1 層:端點活動日誌(登入、USB、檔案複製、列印)
- 第 2 層:資料存取日誌(共用、資料庫、雲端儲存)
- 第 3 層:外發傳輸日誌(電子郵件、網頁上傳、即時通訊、公開連結)
- 第 4 層:權限變更日誌(管理員、授權、原則變更)
- 異常偵測規則有效性與告警回應及時性
- 日誌完整性與防篡改驗證
適用產業: 家族辦公室、金融機構、律師事務所與顧問公司
交付物: 日誌審計報告 + 異常行為分析報告
II — 合規審計
4.合規審計
每年 / 認證週期- PDPO(香港)——收集、保留、主體權利、外包
- ISO 27001 資訊安全管理體系審計
- SOC 1 / SOC 2 審計支援
- GDPR 合規審計
- MLPS 2.0(中國)合規審計
適用產業: 香港企業、跨國公司、金融與醫療產業
交付物: 合規審計報告 + 差距分析 + 整改路線圖
5.資料保護與隱私審計
每半年- 資料分類與分級實施
- 資料加密原則執行
- 資料外發通道控制
- 外部分享與公開連結權限審計
- 備份與復原策略審計
- 資料銷毀流程審計
適用產業: 處理客戶資料的所有企業
交付物: 資料保護審計報告 + 資料地圖
III — 資產與基礎設施審計
6.IT 資產審計
每季- 全生命週期審計(採購、設定、部署、銷毀、退役)
- 端點、網路設備、伺服器/儲存與軟體授權
- 資產標籤與歸屬驗證
適用產業: 所有企業;尤其適用於 50 人以上組織
交付物: 資產台帳 + 資產審計報告 + 授權合規報告
7.網路與基礎設施審計
每半年- 防火牆規則審計與最佳化
- 網路 ACL 與流量基線審計
- VPN 遠端存取控制
- NAS/備份策略與復原演練驗證
- 網路設備設定審計
適用產業: 網路架構複雜的企業
交付物: 網路審計報告 + 拓撲最佳化建議
IV — 雲端平台與 SaaS 審計
8.雲端平台安全審計
每半年- 第 1 層:帳戶生命週期(開通、分配、變更、停用)
- 第 2 層:安全基線(MFA、無密碼、密碼標準)
- 第 3 層:資源/成本管理(隔離、標籤、成本追蹤)
- 第 4 層:監控/審計(異常偵測、權限告警)
- 第 5 層:合規/報告(自動偵測、報告匯出)
- AWS / Azure / GCP 及生產/測試環境隔離
適用產業: 雲端原生及重度 SaaS 使用者
交付物: 雲端安全審計報告 + 架構最佳化建議
9.SaaS 應用程式審計
每季- Microsoft 365 與 Google Workspace 安全審計
- 電子郵件安全(SPF/DKIM/DMARC)
- 反釣魚與垃圾郵件防護
- 共用權限、異常登入與外部分享審計
適用產業: 使用協作平台的所有企業
交付物: SaaS 安全審計報告 + 權限清理清單
V — 人員與權限審計
10.JML 權限審計(到職 / 調動 / 離職)
每季- 到職:帳戶開通及時性與最小權限
- 調動:權限變更及時性與舊權限回收
- 離職:停用、全面權限回收、裝置歸還
- SoD 矩陣審計、過度權限管理、非活躍帳戶清理
適用產業: 人員流動率高的企業
交付物: JML 審計報告 + 權限最佳化建議
11.關鍵憑證管理審計
每半年- 雲端基礎設施憑證(AWS root、網域註冊商)
- 生產平台超級管理員憑證
- 加密金鑰與 MFA 復原碼
- HSM 備份與加密磁碟復原金鑰
- 財務系統憑證與應急帳戶
- 雙重控制與憑證變更核准流程
適用產業: 金融機構、家族辦公室、科技公司
交付物: 關鍵憑證審計報告 + 管理流程最佳化
VI — 治理與流程審計
12.變更管理審計
每季- ITIL 變更管理流程執行
- 標準變更資料庫合規
- CAB 有效性、變更凍結、回滾計畫、變更後審查
適用產業: 變更頻繁的複雜 IT 環境
交付物: 變更管理審計報告 + 流程最佳化建議
13.風險評估審計
每季- 五維風險矩陣:業務影響、資訊安全風險、回滾複雜度、資源排程、技術可行性
- 風險分類準確性與處置進度審計
適用產業: 所有企業;尤其適用於高風險產業
交付物: 風險評估報告 + 風險處置追蹤清單
14.事件回應審計
每季- 7 步 IR 流程:偵測 → 升級 → 通知 → 修復 → 復原 → 審查 → 改進
- 告警回應及時性與 RCA 品質
- 事件後改進實施審計
適用產業: 有資訊安全事件歷史的企業
交付物: 事件回應審計報告 + 應急流程最佳化
VII — 專項審計
15.檔案與文件審計
每半年- 檔案存取權限審計
- 敏感文件分類與保護
- 文件版本控制與外發傳輸審計
- 電子文件保留與銷毀審計
適用產業: 律師事務所、顧問、設計及文件密集型企業
交付物: 文件審計報告 + 權限清理清單
16.實體安全審計
每年- 機房存取控制審計
- CCTV 涵蓋與合規審計
- 錄影儲存與存取審計
- 敏感文件儲存環境安全
適用產業: 有機房或敏感區域的企業
交付物: 實體安全審計報告 + 整改建議
17.供應商與第三方審計
每年- 供應商資訊安全背景評估
- 第三方存取安全審計
- SLA 執行狀態審計
- 跨境資料合規審計
適用產業: 高度依賴第三方服務的企業
交付物: 供應商審計報告 + 風險清單
週期性審計套裝
持續審計節奏——套裝 A 至 D
完成基線評估後,許多客戶會按月、季、半年或年度保留博迅的審計計畫。各套裝將目錄服務組合為可預期的交付節奏。
月度審計套裝
每月- ▸日誌與異常行為審計
- ▸告警回應審計
- ▸月度管理報告
需要持續監控的企業
月度審計簡報 + 管理儀表板
季度審計套裝
每季- ▸人員權限(JML)審計
- ▸IT 資產台帳審計
- ▸資訊安全風險評估
- ▸季度管理報告
大多數企業的標準選擇
季度綜合審計報告 + 改進追蹤表
半年度審計套裝
每半年- ▸滲透測試
- ▸備份復原演練
- ▸雲端平台安全審計
- ▸半年度綜合報告
中大型企業及高風險產業
半年度審計報告 + 週期總結
年度審計套裝
每年- ▸合規審計
- ▸SOC / ISO 認證審計支援
- ▸年度綜合資訊安全審計
- ▸年度總結與下一年規劃
所有企業——年度合規與管理報告
年度審計白皮書 + 下一年審計計畫
您將獲得
結構化、可執行的發現項
50–80 小時
典型中小企業專案工作量
17
完整目錄中的審計服務
4
週期性套裝節奏
8
支援的亞太市場
- ✓工具掃描(Microsoft Defender、Secure Score、漏洞工具)
- ✓利害關係人訪談與文件審查
- ✓附執行摘要的風險排序書面審計報告
- ✓優先順序整改路線圖(快速見效項 + 策略投資)
- ✓與 IT 領導層的簡報會議及可選審計後諮詢
工作方式
結構化審計流程——無意外
範圍界定與存取
界定審計邊界、存取要求與監管框架。商定唯讀憑證與工具部署計畫。
發現與訪談
自動發現、工具掃描,以及對 IT、資訊安全與業務利害關係人的結構化訪談。
分析與發現項
對照最佳實務與各司法管轄區合規要求分析發現項。依業務影響對差距進行風險評級。
報告與路線圖
交付完整審計報告及優先順序改進路線圖。與您的 IT 及管理團隊進行簡報。
常見問題
關於 IT 評估與審計的常見問題
能否審計覆蓋多個亞太國家的 IT 環境? +
可以。博迅提供統一範圍與報告,並為香港、新加坡、中國、印度、台灣、馬來西亞、越南和泰國提供依司法管轄區的合規說明。遠端發現與必要時的現場工作相結合,透過我們的區域服務中心協調。
中小企業專案審計與完整目錄有何區別? +
中小企業專案審計為固定價格參與(核心版起步 USD 3,800),涵蓋 IT 使用者不足 20 人的九大基線領域。完整目錄列出 17 項專項審計服務,面向企業及受監管計畫——依範圍、頻率與環境複雜度報價。
週期性套裝與基線審計有何關係? +
大多數客戶先完成中小企業或全面基線審計,再轉入套裝 B(季度)或套裝 D(年度)以持續治理。套裝 A 適合持續日誌監控;套裝 C 以半年節奏增加滲透測試與雲端審計。
你們對照哪些合規框架進行評估? +
我們依您的營運市場與產業要求,將發現項對應至 PDPO(香港)、PDPA(新加坡、馬來西亞、泰國)、PIPL 與 MLPS 2.0(中國)、DPDP Act(印度)、ISO 27001、SOC 1/2、GDPR 及 CIS Controls。
相關服務
延伸您的資訊安全與合規計畫
許多審計發現項可自然延伸至託管服務、滲透測試或諮詢專案。