資安不止屬於技術範疇,而是攸關企業存亡的營運議題,2022 年政府更把資安要求納入產業法令,促使企業卯足全力整備資安能量,更多精彩內容盡在本論壇,一起做好準備。
2022 年,資安風險法規的落實成為董事會高度關注的焦點。金管會推動上市櫃公司設置資安長與資安專責人員,百億市值以上企業成為上市櫃公司第一波導入領頭羊。在 「公司治理 3.0」 永續發展藍圖,證交所新增 「上市上櫃公司風險管理實務守則」,作為上市櫃公司強化資安與 ESG 之參考。
在疫情期間,美國 《富比士》 千大排名企業 (Fortune 1000) 新增風險管理委員會,朝向企業韌性管理發展。這呼應國際資安管理微趨勢,從資安 / IT 部門到全公司管理,從技術導向到風險聚焦、從成熟度模型到資安態勢。
資安治理如何與資安管理職掌分工?在組織的框架下,資安治理在關鍵管理議題扮演督導的角色,為實務推動者面臨的難題。
近年來各種因素導致資訊科技風險不斷地變化,如何有效率地評估組織內的資訊安全風險,是資安維運人員、資訊管理人員以及管理層都必須關注的地方,要如何設計與實作一個具備可用性的關鍵風險指標 (KRI) 與關鍵績效指標 (KPI) 來幫助組織發現、認識、處理資安風險是一件很值得探討的事
為了想要使各種不同層面的資安人員都能即時地掌握當下組織的資安風險現況,我們將分享實際設計資安風險儀表板的概念與經過,以及我們實作後發現的效益,讓大家集思廣益,設計出屬於自己的指標與風險儀表板
議題中將會分享
- KPI、KRI 到 KGI
- 從日誌開始,到整合成為資安風險儀表板的想法
- 風險儀表板利用的資源
- 設計風險指標的經過
- 實際應用案例
超級變變變,組織在變更管理上經常變出風險,本議程將聊聊新版 ISO27001:2022 中所提及之組態管理、變更管理與資料外洩防護之關聯與要點 ,並探討國際上最佳實務作法,並結合管理觀念與技術實務,希望聽眾能夠於議程中了解並參考國際上所認可之組織 (如 ISACA / ISC2 / CIS / NIST) 所提出的觀念與流程,同時也能夠接軌國際資安觀點。同時期望聽眾能夠自己在組織擬定管理策略去決定管理與技術之解決方案,能夠真正解決組織風險,並強化資安人員資安管理觀念,提升組織資安成熟度。
Risk management without “Risk Analysis” is like driving in the dark without lights. It is like a person who has the knowledge and skill to drive a car but without direction and visibility to the danger along the way. Similarly, organizations often headstrong into implementing cyber risk management programs without clear visibility into their risks landscape. Oftentimes, Risk Analysis is done based on the subjectivity of the IT and cybersecurity professionals, which can vary from person to person and limit to the technology component. Furthermore, to make risk management even more difficult, as cybersecurity is a young industry, there is no agreement on the definition of risk, i.e. vulnerabilities, threat agents, CVE, or IOC. Therefore, risk analysis is inconsistent, risk decisions are misled, and risk appetite is misaligned. FAIR is a Risk Analysis methodology, an add-on component, to address consistency and repeatability in the Risk Management and ISMS processes.
