37. 題組背景描述如附圖。關於該公司與資安檢測團隊於滲透測試之前置 工作，下列敘述何者「不」正確？
(A) 簽訂保密協議（ Non-Disclosure Agreement ），要求測試細節與結果 未經授權不可任意揭露
(B) 招開起始會議（ Kickoff Meeting ）溝通雙方於專案之目標與期望， 並說明團隊分工、測試計畫、方法論與程序
(C) 執行預測試（ Early Testing ）以評估測試目標之可能範圍、弱點類 型、時間與投入資源，以利測試計畫產出
(D) 簽訂滲透測試契約使檢測團隊取得測試許可，內容需包含：測試 目標、時間、方法、限制、規範與聯繫方式等，並說明受測服務 可能遭受之影響

? 詳細解析：為什麼 (C) 是錯誤的？

• (C) 執行預測試（Early Testing）—— 邏輯錯誤

  • 錯誤點：在簽訂正式契約與取得明確授權之前，絕對不可以執行任何形式的測試（包含所謂的預測試）。

  • 正確程序：評估測試目標、範圍、弱點類型與投入資源，應該是在**「專案規劃階段」**透過訪談、文件審查或場域會勘來達成，而非「先打看看再說」。在沒有合法授權（Get out of jail free card）的情況下進行測試，可能觸發妨害電腦使用罪等法律風險。

✅ 其他正確選項分析（符合 PT 前置作業標準）

• (A) 簽訂保密協議（NDA）

  • 重要性：滲透測試會接觸到系統最脆弱的點。如果測試結果、漏洞路徑或敏感資料外洩，將造成二次傷害，因此 NDA 是法律上的基本紅線。

• (B) 召開起始會議（Kickoff Meeting）

  • 重要性：這是確立雙方期望、溝通測試時間（避免營運高峰期）與緊急聯繫窗口的重要場合，確保測試過程受控。

• (D) 簽訂滲透測試契約與取得許可

  • 重要性：契約是檢測團隊的「免死金牌」。必須明確定義測試範圍（Scope）與測試限制（例如不可進行 DoS 攻擊、不可刪除資料庫），並告知受測端可能產生的效能衝擊。