自 2018 年起，美國「國家標準技術研究所」 (National Institute of Standards and Technology，簡稱 NIST) 推動「網路安全管理架構」產業標準 (Cybersecurity Framework，簡稱 CSF) 1.1 版至今，2024 年 2 月已公布 CSF 2.0 版。

國內少數上市櫃公司設置資安治理委員會，或定義專屬性角色與執掌。資安治理框架與原則仍在發展中，就便是 ISO 27014 是資安治理的框架，並非為可認驗證的標準。根據第一手的觀察經驗，國內資安風險管理尚未到位，是否資安治理是解方還是安慰劑？如果資安治理指引企業資安藍圖 (Roadmap)，到底我們在制定資安藍圖出了什麼問題？這跟 CSF 資安標準、資安供應鏈的議題有什麼關係？

本議程主要重點：

* 資安治理框架與原則之演進

* CSF 2.0 草案：資安治理功能

* 結論：資安治理是解方還是安慰劑？

在這個數位狂潮的時代，資安治理成為確保企業生存與發展的關鍵重要課題。企業該如何建構最適合自身的資安治理藍圖，實踐資安架構及管理方針以及如何將這些實踐應用於不同的業務環境中。ISO 27001 作為國際認可的資訊安全管理系統標準，為企業提供了一個全面且有效的框架，以應對不斷增長的資訊安全挑戰。此次演講，將由賽門鐵克資安專家與您分享 企業該怎麼做才能滿足關注方要求落實 ISO 27001 的實踐關鍵和最佳對策。同時分享最新的賽門鐵克解決方案，助您建立強健的資安體系並有效應對各類安全威脅。

企業面臨的最大資安挑戰是什麼？答案因人而異，但有一個無可爭辯的事實：「看不見的東西，卻最可能傷害你」。網路威脅潛伏在數位時代的深處，不斷演化，準備襲擊毫無戒心的受害者。它們最常透由易入侵的脆弱設備、高風險設備、無法納管的 Agentless 設備等手段來發動攻擊，根據經驗證實，這些裝置在網路中佔高達 50%。

面對當今不斷演變的威脅環境，僅專注於邊界防禦是不夠的，駭客已將他們的攻擊策略轉向瞄準網路內部，利用暴露於內部威脅和供應鏈攻擊等漏洞。資安治理的焦點亦須轉向 IoT、IoMT、OT 以及脆弱 IT 裝置與網路相互連線的高風險領域，其中許多裝置從本質上來說就已是不安全。

採取新式資安策略防止駭客突破防禦網至關重要。我們將在這場會議闡明有效的威脅偵測和應對解決方案的重要性以及如何保護企業有效對抗潛伏在數位陰影中的隱形危險。"

這場演講對科技風險管理提供了全面的介紹，從基礎概念、國際規範到管理框架，幫助聽眾建立對該領域的初步認識。講者將探討全球金融機構與美國上市公司在科技風險管理作法，強調在數位轉型時代主動管理科技風險的重要性。此外，演講將分享推動科技風險管理時可能遭遇的挑戰，如何利用科技風險管理提高業務效率、流程透明度和決策品質，以及 2024 年需關注的科技風險。最後，強調建立成熟的風險管理文化對於增進企業與監管機構之間信任的重要性，提供風險管理、內控、資訊安全及法遵專業人員理論與實務，以確保組織在面對科技挑戰時保持韌性和創新。

為強化上市櫃公司資安管理，依現行規定，上市櫃公司發生重大資安事件時，應即時發布重訊，且若損失達一定金額，即達到股本 20% 或新台幣 3 億元以上，應召開重訊記者會。如何計算損失，勢必成為資安長，資訊長，及風險管理人員當務之急．這場演講將介紹科技風險管理的最新趨勢-CRQ 網絡風險定量分析。著重介紹廣為美國上市公司採用的 FAIR 研究機構的 CRQ 方法論。演講將簡介 FAIR CRQ 方法論，說明 CRQ 在法令遵循、溝通風險、協助決策、強化科技風險治理的發展性。提供聽眾與上市公司方法論位前開法令變革做好準備。

近年來資訊科技創新而演變出新型態的商業模式，為提供所服務的客戶科技新體驗，例如：金融科技的技術發展，無論是 Fintech 或傳統金融機構，對個人身分識別資訊控制者或處理者的既有作業程序及資料保護風險將造成劇烈影響。各個產業面臨 ICT、數位轉型甚至是元宇宙帶來的商業挑戰，在資訊治理的議題上，安全議題與組織營運風險應同樣地受到重視。而過去經常使用 ISMS 管理系統「失效」的靜態風險評估，勢必往上無法滿足公司治理階層對營運目標的要求，往下也無法即時監第一線作業人員的安全控制成效！如何面對公司內控三道防線且更好地控管營運風險，發展動態的決策模型和治理策略將勢在必行。