推薦序
在現今數位時代,資訊已成為組織最核心的無形資產,然而資安事件頻傳,嚴重威脅企業的永續經營,企業對資安防護的迫切需求,企業必須加強資訊安全管理機制,主動應對資安漏洞風險。尤其在CVE漏洞公告後,駭客攻擊迅速擴散,企業若未及時修補,將暴露於極高風險之中。
本書聚焦「資安漏洞公告 (CVE) 查核」,透過實例演練與JCAATs AI人工智慧稽核軟體的應用,提供學習者實戰操作與專業指導,從OPEN DATA下載、文字探勘到異常比對,協助企業及早偵測高風險漏洞,預防資安事件發生。JCAATs軟體結合機器學習、文字探勘及AI智能技術,為稽核人員提供高效、便捷的工具,無論是資安專責人員、內部稽核或會計師,都能輕鬆掌握資安查核的關鍵能力。
在資安威脅日益嚴峻的當下,這本教材無疑是一個值得信賴的資源,適合所有有志於提升資安稽核技能的專業人士,攜手強化企業資訊防護,邁向永續經營之路。
作者序
資訊(Information)可說是現今最為重要的無形資產,也是組織成功的基礎與命脈。資安事件頻傳,世界經濟論壇全球風險報告將大型網路犯罪與威脅列為未來兩年內的十大風險之一。如何有效保護公司的資產,避免因為資安事件造成重大損失,已成為企業永續經營的重要課題。
ISO 27001:2022資訊安全、網絡安全和隱私保護新版新增了11項控制措施,包括威脅情報和雲端服務的資訊安全等。為強化公司資訊安全管理機制,金管會並明訂上市櫃公司應設置資安長與資安專責單位,以展現對資訊安全的承諾。資安事件頻繁發生,高風險資安漏洞若不及時修補,攻擊者將如入無人之境,深入企業網路環境和多種IT系統胡作非為。調查發現,當CVE漏洞公告後,相關駭客對此漏洞的攻擊活動有暴增現象。而另一調查也發現,在最高風險的Log4j漏洞公告10天之後,仍有高達93%的雲端環境處於有風險狀態,顯示出漏洞公告查核對企業資訊安全稽核的重要性。在面對外在資安環境的劇烈變化,唯有提高專業技能,學習電腦稽核技術,才能有效進行資通安全查核,確保組織內部控制持續有效。
本教材以「資安漏洞公告(CVE)查核」為例,提供完整的實例演練資料,帶領學習者體驗如何利用JCAATs AI人工智慧稽核軟體快速下載相關漏洞情資的OPEN DATA,並透過文字探勘與勾稽比對技術,找出高風險異常,從而提早偵測與預防風險。JCAATs 為Python-Based AI新世代的通用稽核軟體,具有更多的AI人工智慧功能,包括機器學習、文字探勘及OPEN DATA連結器等。歡迎資安長、資安專責人員、會計師、內部稽核人員以及對資訊安全稽核有興趣的深入學習者參與,一起學習與交流!
JACKSOFT傑克商業自動化股份有限公司
ICAEA國際電腦稽核教育協會台灣分會
黃秀鳳總經理/分會長