希望透過分享目前各產業於供應鏈安全已建立及將建立之供應商衡量框架，從中異中求同分享供應鏈安全的關鍵領域，亦從同中求異分享各產業之業態落差，進而協助聽者從諸多框架中掌握商業策略推行的合規進入障礙及合規投入成本 (作為供應商)，更期許能夠協助聽者了解對於供應商資訊安全風險管理之實務與作為 (作為採購方)。

在過去，城牆是保護城市的主要防禦措施。但即使有最堅固的城牆，商人和民眾仍需要經常進出城市。這也為攻擊者提供了機會，得以偽裝成商人或民眾進入城市，進行內部破壞及獲取情報。

在現代，資訊安全也面臨相同問題。企業和機構必須經常與供應商、合作夥伴和客戶進行互動。近幾年，針對供應鏈和邊界的入侵行為變得越來越頻繁，成為一個日益嚴重的議題。

為了幫助資安人員和主管更好地了解這些問題，本議程整理了相關資安事件，並精選紅隊演練與事件處理案例進行分析，幫助參與者更能理解類似攻擊的來龍去脈，並找到正確的因應之道。

近幾年來網路攻擊事件頻發讓企業更加關注於資訊安全領域，藉由建立完善的資安規範及落實來加強保護企業本身，但在這樣的情況下駭客也逐漸將目標轉移為企業的供應鏈，並藉由供應商的破口發起側翼攻擊，進而對企業主造成威脅。

身處這般環境下企業主要如何去強化供應鏈的資安(Third Party Risk Management, TPRM)，甚至提前防範供應鏈造成的危險，將是企業主需要正視的一個考驗。

因此，才需要藉由全方位的資安風險管理平台來針對供應商的各個資安面相加以強化，在提升企業自身資安防備的同時，也能防範間接攻擊的風險。

供應鏈資安在這幾年來造成了許多資安事件，但事情可能比想像中的更為複雜，除了資訊單位在採購軟硬體設備時，需要注意資訊安全以外，包含人事、總務、甚至行銷與客服也都有可能會有資安議題。包含物聯網裝置、雲端服務的導入，以及資料的委外處理，都有可能造成嚴重的資安事件。在採購任何的服務、產品之前，業主應有適當的資安意識與規範要求供應商，確保整體流程的資安防護能力；同樣的供應商也應有自主要求，確保提供的產品與服務的安全品質；從供應商的選商、驗收到長期維運合作等，都是供應商資安管理的重要程序。我們將以資安的角度切入分析業主、供應商間角色及權利義務區分，透過實際案例探討，業主及供應商的各自的權利及義務，讓聆聽者更了解如何減輕來自供應鏈的資安風險。