ISO/IEC 27001 資安國際標準在台灣已是普世的一套資安認證機制，除了持續維持 ISO/IEC 27001 認證有效性外，我們開始思考如何繼續「有感的」強化公司的資訊安全。於是，我們在 2024 年年底，突破重重困難，取得台灣金融業第一張 NIST CSF 認證。

透過美國國家標準與技術研究院 (NIST) 提出的 Cybersecurity Framework 網路安全架構，我們以 NIST CSF 的核心框架及五個實施層級，檢視公司資安治理成熟度，找到我們在資安管理上的短板，進而依照風險等級及公司資源，分階段強化，建構更完善的資安管理架構。

關於導入 NIST CSF 認證過程的辛酸血淚，將透過本次演講進行分享，希望大家帶給大家一下啟發及收穫。

AI 技術快速發展，企業面臨更複雜的資安威脅。本議程將剖析 AI 帶來的四大挑戰：技術發展速度、系統脆弱性、資料真實性與持續警覺性，並探討如何透過 CTEM (持續威脅暴露管理)、ZTA (零信任架構) 及 CSPM (雲端安全態勢管理) 強化防禦能力。

此外，將分享如何結合 SOC+MDR+SOAR 打造資安監控應變平台，並透過 EASM (曝險管理)、BAS (資安攻防模擬) 及 IR 演練，提升曝險管理與資安韌性。本次分享將幫助企業掌握 AI 資安趨勢，建立更完整的防護策略，確保營運安全與數位轉型發展。

“AI世代下的資訊安全挑戰”指的是在人工智慧（AI）技術日益普及的背景下，資訊安全領域面臨的新挑戰與風險。隨著AI的快速發展，這些技術被廣泛應用於各行各業，從數據分析到自動化系統，但也因此帶來了一系列新的安全問題。

AI驅動的攻擊：黑客可能利用AI來執行更複雜的攻擊，例如機器學習演算法生成的假資訊（如深度假冒技術）或自動化的網絡釣魚攻擊，這些都比傳統攻擊更具威脅。

數據隱私與監控：AI通常需要大量數據來進行訓練和優化，這可能會涉及到敏感資料的處理，帶來隱私洩漏和數據濫用的風險。

自動化的風險評估與防護漏洞：儘管AI可以自動化網絡安全防護，但如果AI系統本身存在漏洞，或其訓練資料不完全或有偏見，可能會導致錯誤的判斷和防護。

法規與倫理挑戰：隨著AI應用的擴展，如何平衡創新與規範，保護用戶隱私以及防止濫用，成為全球面臨的主要議題。

資安對於台灣來說，不僅是企業的責任，更是國家安全的基石。然而，資安議題大多集中於技術層面或攻擊手法，往往忽略了防守方在日常運營中所面臨的真正挑戰。在資安預算和資源有限的情況下，如何運用前瞻性思維，合理分配資源並最大化防禦效果，這個關鍵問題至今較少有深入討論。

在這場演講中，我將深入探討如何建立與時俱進的防守心態，根據企業特徵選擇並運用有效的戰術與工具，並揭示當前最新的攻擊手法。讓我們暫時拋開熟悉的框架，將焦點回到實際防禦思維的建構和防禦策略的部署，透過真實案例與親身經驗的分享，帶來的不僅是理論，而是具體可行、立即可用的策略與方法。我深信，無論您是企業負責人、資安專業人士，還是對資安未來發展充滿熱情的業界人士，都能從中獲得寶貴的啟發，並將每一分資源發揮到極致。

這場演講引用愛德華‧德博諾的「六頂思考帽」模型，並調整其概念，使其適用於現代CISO（首席資訊安全官）及資安領導者的思維框架。隨著數位威脅加劇及科技與業務的深度融合，CISO的角色早已不再僅限於技術專業，更需涵蓋策略思維、財務洞察、風險管理、法規遵循及領導力等多元職能。

演講將透過白、黃、綠、黑、藍、紅六頂思考帽，深入剖析CISO如何在日常資安治理中靈活運用不同視角，以增強決策力、推動跨部門合作並建立資安文化。例如，白帽代表數據驅動的專業知識，協助CISO分析威脅情報並評估系統弱點；黃帽則強調正向的溝通能力，幫助CISO將技術術語轉化為易於理解的資訊，推動全體參與的資安文化。這些思維相輔相成，使CISO在複雜的網絡環境中能夠有效管理資源、控制風險並保持法規合規性。

聽眾將獲得一套實用的結構化工具，以幫助CISO在應對數位威脅時提升韌性，並在日常決策中與企業戰略保持一致。透過靈活應用六頂思考帽，CISO將能夠將資安意識融入全體員工之中，為企業建立更穩固的數位生態系統。

醫療機構存在許多敏感個資，提升數位韌性與加強資安治理，是邁向次世代醫療資訊的關鍵。近年來政府開放醫療系統上雲，逐步完善國際資料交換架構，各家醫院承擔風險的能力也要與時俱進。在資源有限的情況下，軟硬體的迭代速度與系統架構全面更新，對醫療產業的資安管理是極大的挑戰。在尚未全面佈署資安產品之前，從個人到組織，如何建構一個標準檢視流程，讓瑞士乳酪起司的空洞消失，是組織永續經營的關鍵。講師將以資安稽核的實務經驗，分享組織常見的管理缺失，並提供原創的"資安起司檢核表"，適合各行各業，以最貼近日常的互動，避免讓員工成為無辜的內鬼。

Peter Drucker’s concept of “what gets measured, gets done” underscores the critical role of measurement in setting priorities and achieving objectives. By deciding what to measure, we define what truly matters, enabling a sharper focus on the actions that drive success. Without clear metrics, it’s impossible to track progress or ensure the job is done right. Metrics provide the structure, clarity, and accountability needed for effective decision-making and meaningful results.

In cybersecurity, the challenge of measurement is even greater. The constantly shifting threat landscape, the intangible nature of digital risks, and rapidly evolving technologies make it especially hard to quantify success or gauge performance. That’s why metrics are so vital—they bring clarity to uncertainty, help assess efforts, prioritize risks, and ultimately enable organizations to meet their goals.

生成式人工智慧 (GenAI) 正在迅速改變各行各業的商業活動，但也伴隨著全新的安全挑戰與風險。在本次分享中，我們將深入探討 GenAI 應用所面臨的風險以及應對策略，並聚焦於建立一個完善的安全框架，以有效應對不斷演變的威脅。我們希望透過這次分享，幫助參與者掌握實用的方法，協助保護技術資產，同時推動企業的可持續發展與創新。誠邀您參與，與我們共同探索如何在充分發掘 GenAI 潛力的同時，保障您的組織安全無虞。

資安治理不僅是技術與風險管理的課題，更深刻融入組織文化、政策制定與人才發展。透過實際案例，本次分享將探討企業如何結合運營需求與業務目標，逐步實現從資安維運（Security Operations）到資安治理（Security Governance）的轉型。

以 CISO 角度來看，人才培育與專業認證是提升資安成熟度的關鍵。專業認證可幫助快速導入資安框架與最佳實務，並協助企業與客戶及關注方順利接軌，強化風險管理與合規性，提升資安管理體系。資安治理須與企業長期策略對齊，並持續改進。企業應強化風險預測與事件應變能力，運用標準化管理框架（如 ISO 27001、NIST CSF + CDM）及治理機制（如 GRC），確保資安體系具備強大的應變能力，應對各類資安挑戰。

本次演講將聚焦於「資通安全風險管理」的核心策略，探討如何打造韌性的資安防禦，以應對不斷升級的數位威脅。隨著企業加速數位化，面臨的網路攻擊頻率和複雜性日益增加，本演講透過合勤投控的實務經驗，帶領聽眾深入了解現今主要的資安威脅，包含社交工程、端點安全、雲端安全及系統弱點管理等議題。演講內容將展示企業如何透過精密的風險評估，辨識高風險資產並實施有效的應對措施，尤其是在零信任架構及供應鏈風險管理方面，提供具體的實施策略，確保企業能夠有效防禦潛在威脅。

預期聽眾將獲得以下收穫：深入理解如何辨識和應對企業最常見的網路威脅，掌握最新的安全防護技術應用指引，並透過案例學習資安策略整合的最佳實踐。本次演講將有助於聽眾增進在資安防護上的全局觀，進一步提升企業在數位時代下的韌性與競爭力。

為強化上市櫃公司資安管理，依現行規定，上市櫃公司發生重大資安事件時，應即時發布重訊，且若損失達一定金額，即達到股本 20% 或新台幣 3 億元以上，應召開重訊記者會。如何計算損失，勢必成為資安長，資訊長，及風險管理人員當務之急．這場演講將介紹科技風險管理的最新趨勢 - CRQ 網絡風險定量分析。著重介紹廣為美國上市公司採用的 FAIR 研究機構的 CRQ 方法論。演講將簡介 FAIR CRQ 方法論，說明 CRQ 在法令遵循、溝通風險、協助決策、強化科技風險治理的發展性。提供聽眾與上市公司方法論位前開法令變革做好準備。