登入會員
品牌介紹
關於我們
企業徵才
客服中心
會員專區
與我連絡
申訴信箱
FAQ
電子報
書目下載
圖書總覽
服務推薦
教學網
考用網站
首頁
書目下載
會員專區
與我連絡
飛躍六十 迎向百年
法律/政治
法律
政治、公共事務
財經/商管/觀光
財經、商管、統計
觀光、餐旅、休閒
文/史/哲/期刊
辭書、總類
語言、文學
歷史、哲學、宗教
藝術、設計、文創
學術期刊
理工/醫護
理工
醫護暨生命科學
農林漁牧
教育/心理/傳播
教育
心理、諮商與輔導
社會、傳播(影視)
小五南/中等教育
小五南
電機與電子群
餐旅群
家政群
商業與管理群
英文
藝術群
農業群
食品群
【延後出貨公告】 「適逢本公司年度盤點,五南官網均可正常下單購買,惟11/25(二)後的網站訂單,預估將延至12/2(二)下午後出貨,造成不便敬請見諒。」
庫存量不足。
可訂購時通知我
分享
財經、商管、統計
-
管理
-
科技管理
資安法到ISO 27001的稽核攻防:AI神隊友助力
作 者:
陳育毅
、
蔡孟琳
、
周鎂錥
出版社別:
五南
出版日期:2025/12/25(1版1刷)
ISBN:978-626-423-971-4
E I S B N:9786264239677
書 號:1F2R
頁 數:736
開 數:20K
剩餘庫存:0本
剩餘庫存量非即時庫存量,若仍有購買需求請洽詢客服或業務分機824、889。
定 價:1080元
優惠價格:972元
滿額優惠折扣
11/20-1/10 五南全書系書展!全站滿599再95折
聯合推薦 數位發展部資通安全署 蔡福隆署長 鴻海研究院 李維斌執行長 教育部資訊及科技教育司 吳穎沺司長 教育部資訊及科技教育司 李月碧、黃士峰、裴善成專門委員 內政部資訊服務司 黃國裕司長 勞動部資訊處 劉醇錕處長 交通部交通科技及資訊司 王東琪副司長 國家衛生研究院資訊中心 莊育秀主任 SGS 管理與保證事業群 何星翰營運總監 財團法人中華民國國家資訊基本建設產業發展協進會 王俊凱執行長 ISAC 中華民國大專校院資訊服務協會 黃明達理事長 ISAC 中華民國大專校院資訊服務協會 包蒼龍副理事長 臺北科技大學計算機與網路中心 王永鐘主任 東華大學圖書資訊處 陳偉銘處長 成功大學計算機與網路中心 李南逸主任
章節主題包含: 1.核心業務及其重要性 2.資安政策及推動組織 3.專責人力與經費配置 4.資訊資產盤點風險評估 5.資通系統服務委外辦理 6.資安維護計畫及績效 7.資安防護及控制措施 8.資通系統發展維護安全 9.資安事件通報應變 10.資通系統防護基準檢核 11.圍棋布局 vs. ISO 27001 12.ISO 27001新增控制項 13.ISO 27001證書不等於保證 14.鑑往知來CI X DG X AI
陳育毅 現職 教育機構資安驗證中心主任 國立中興大學資訊管理學系專任教授 經歷 行政院國家資通安全會報網際防護體系 「認知教育及人才培育組」委員 國立中興大學計算機及資訊網路中心主任 國立中興大學資訊管理學系特聘教授 美商智旺科技公司首席顧問 蔡孟琳 現職 國立屏東大學資訊管理學系助理教授 學經歷 國立中興大學資訊工程學系博士 教育機構資安驗證中心協同主持人 周鎂錥 現職 教育機構資安驗證中心 學經歷 國立中興大學資訊管理學系碩士班 鼎新知識學院講師 鼎新電腦ERP顧問
推薦序
1. 核心業務及其重要性
1.1 稽核項目關聯法規
1.2 探討稽核項目變更意義
1.3 稽核經驗分享
1.4 以AI 強化BCP 演練的提案
2. 資安政策及推動組織
2.1 稽核項目關聯法規
2.2 探討稽核項目變更意義
2.3 稽核經驗分享
2.4 以NotebookLM 強化資安政策落實與追蹤
3. 專責人力與經費配置
3.1 稽核項目關聯法規
3.2 資安專職人員的職務內容
3.3 善用AI 提升資通安全教育訓練之籌劃
3.4 一般人員需要對CIA 有概念
3.5 經由比喻更能理解密碼與帳號安全的重要性
3.6 辨識社交工程手法、認識即時通訊的不安全
3.7 常見的惡意軟體與勒索攻擊
3.8 區分個人使用與公務使用的設備責任與規範
3.9 認識IoT 物聯網安全
3.10 面對雲端服務風險應有的認知
3.11 人為疏失與制度防線
3.12 離職交接與內部人員風險
3.13 以NotebookLM 強化制度對應與文件補強
4. 資訊資產盤點風險評估
4.1 稽核項目關聯法規
4.2 探討稽核項目變更意義
4.3 稽核經驗分享 4 -17
4.4 以NotebookLM 或ChatGPT 強化稽核前評估
5. 資通系統服務委外辦理
5.1 稽核項目關聯法規
5.2 探討稽核項目變更意義
5.3 稽核經驗分享
5.4 以NotebookLM 完善設計委外RFP 資安要求
6. 資安維護計畫及績效
6.1 稽核項目關聯法規
6.2 善用AI 進行資安維護計畫滾動修正
6.3 稽核經驗分享
6.4 以NotebookLM 協助滾動修訂資安維護計畫
7. 資安防護及控制措施
7.1 稽核項目關聯法規
7.2 資安防護應辦事項執行原則(教育體系宣導)
7.3 稽核經驗分享
7.4 請ChatGPT 協助判讀檢測報告
8. 資通系統發展維護安全
8.1 稽核項目關聯法規
8.2 探討稽核項目變更意義
8.3 稽核經驗分享
8.4 請ChatGPT 指點OWASP Top 10 開發迷津
8.5 針對SSDLC 的情境化學習
9. 資安事件通報應變
9.1 稽核項目關聯法規
9.2 稽核經驗分享
9.3 請ChatGPT 指點系統日誌管理方案
10. 資通系統防護基準檢核
10.1 對資通系統防護基準有更多認識
10.2 資通系統防護基準之存取控制
10.3 資通系統防護基準之事件日誌與可歸責性
10.4 資通系統防護基準之營運持續計畫
10.5 資通系統防護基準之識別與鑑別
10.6 資通系統防護基準之系統與服務獲得
10.7 資通系統防護基準之系統與通訊保護
10.8 資通系統防護基準之系統與資訊完整性
10.9 以AI 協作開發落實資通系統防護基準要求
11. 圍棋布局vs. ISO 27001
11.1 從「金角銀邊」認識ISO 27001 起手式
11.2 一盤棋的每一個戰場都是關注方的投射
11.3 全局意識決定資訊安全管理系統之範圍
11.4 全局視野與戰略協同的資訊安全管理系統
11.5 資訊安全政策之「勢」
11.6 資安目標應具全局價值與可量測性
11.7 風險評鑑如何展開
11.8 文件化資訊控制是資安管理的「一本道」
11.9 運作規劃與控制:積小勝成就資安大勝
11.10 監督、量測、分析及評估
11.11 內部稽核即是進行「階段性全局分析」
11.12 管理審查是資安管理的「收官階段」
11.13 落實「覆盤」精神的矯正預防與持續改善
12. ISO 27001 新增控制項
12.1 ISO 27001:2022 新增11 個控制項
12.2 威脅情資(A.5.7)
12.3 使用雲端服務之資訊安全(A.5.23)
12.4 營運持續之ICT 備妥性(A.5.30)
12.5 實體安全監視(A.7.4)
12.6 組態管理(A.8.9)
12.7 資訊刪除(A.8.10)
12.8 資料遮蔽(A.8.11)
12.9 資料洩露預防(A.8.12)
12.10 監視活動(A.8.16)
12.11 網頁過濾(A.8.23)
12.12 安全程式設計(A.8.28)
13. ISO 27001 證書≠保證
13.1 形式合格≠防禦到位
13.2 資訊備份(A.8.13)
13.3 存錄(A.8.15)
13.4 營運持續之ICT 備妥性(A.5.30)
13.5 監視活動(A.8.16)
13.6 組態管理(A.8.9)
13.7 變更管理(A.8.32)
13.8 使用者端點裝置(A.8.1)
13.9 資料洩露預防(A.8.12)
13.10 網路區隔(A.8.22)
14. 鑑往知來CI × DG × AI
14.1 「農業領域關鍵基礎設施」的資安風險
14.2 資安的前提應先釐清「資料治理」
14.3 農業場域的AI 應用vs.資料治理
14.4 農業AI 與資料契約架構
14.5 可信任AI
14.6 探討ISO 42001 重點控制項與LLM 攻擊模式
近年來,資安情勢瞬息萬變,AI 與新興科技的應用既帶來效率,也衍生更多複雜威脅。政府與產業共同面對的挑戰,不再只是「遵循法規」,而是如何在有限資源下,持續強化防護韌性、培育足夠且具備實戰力的人才。目前資通安全署推動的施政重點即包含「全社會資安防禦韌性」與「人才培育」。 陳育毅主任將多年來教育體系資安稽核與管理的豐富經驗撰寫成書,從《資安法》到ISO 27001,完整串起政策、治理、風險評估與實務操作,更將AI 引入稽核與演練,提供了具體而可操作的方法。本書前10 章完整對應《資安法》實地稽核項目構面1 至構面9,以及資通系統防護基準所要求的各項控制,涵蓋以AI 驅動演練強化應變韌性、將政策與組織治理轉化為可驗證的任務與績效、運用AI 自動化比對法規條文與佐證以提升品質與效率、落實資產盤點與風險評估以建立證據導向的防護機制,以及從系統分級、委外契約到SSDLC 的開發安全管控,形成一套完整的實戰框架。這些章節不僅是知識的整理,更提供了實際操作的檢核表、演練腳本與AI 輔助範例,使得非資訊背景的管理者也能快速上手。這正是我們在政府端推動職能轉換時最需要的實務攻略:治理優先、工具化、可驗證。 我國面對的資安挑戰日益複雜,近年資安署透過資安人力職能轉換訓練計畫、政府資安職能訓練發展藍圖,以及新增公務人員資安類科等措施,期望加速培育多元背景的人才,並吸引更多產學界優秀人士投入公部門與產業防護的第一線。然而,這樣的任務並非政府單一部門可以獨力完成,需要教育界、產業界與研究單位共同投入,才能形成人才的持續供應與知識的滾動更新。而這部兼顧法規、國際標準與新興科技應用的資安管理鉅作,正是對國家資安人力發展的重要呼應,也體現出學研界對提升資安管理人才素養的積極參與及承擔。 數位發展部資通安全署 蔡福隆署長 2025.10.6 在資安管理實務中,稽核是專業能力的展現,專業帶動協作是有效成就資安韌性的重要手段。在稽核現場,專業度往往是建立信任、推動協作的基礎。當稽核人員展現出真正的專業判斷和實用建議時,被稽核單位才會從防備轉為配合。陳育毅主任將多年在資安驗證中心累積的稽核實務經驗,系統化呈現為一套可被複製、可被驗證的協作方法:引導稽核人員有節奏地以第三方角度切入,模擬、探測與揭露弱點,也協助資安人員有效利用文件佐證並以演練驗證,讓雙方在共同目標下發揮各自專業。這使得本書成為少有能真正促進稽核協作,而且能落地操作的實務指南。書中不僅把稽核項目與法規、ISO 條文之關聯脈絡釐清,更將各項要求轉化為「現場可執行」的協作流程與驗證方法。稽核不再是單向的檢視,而是雙向的知識交流與能力共建。 此外,本書把AI 當作「神隊友」,具體示範如何用AI 生成情境強化BCP 演練,以及用NotebookLM、ChatGPT 將龐雜的政策、程序自動轉成執行清單與稽核證據,使得稽核工作不再是昂貴、耗時的專案,而成為常態化、可量化的治理活動。這些創新實務有效改變稽核傳統容易產生對立的形象,讓原本被視為「必要之惡」的稽核工作,轉型為組織持續改善的重要支撐。 本書的章節安排體現了從理論到實務的完整路徑:從建立共識的政策推動,到可操作的人力配置與資產盤點,再到具體的委外管理與事件處理,最終延伸至ISO 27001 新版控制項的深度解析。特別值得一提的是「證書≠保證」的務實反思,提醒我們避免形式化合規的陷阱。 在AI 快速發展的時代,本書進一步提醒所有決策者:要在數位轉型的快速變遷中維持組織韌性,必須將「可驗證的執行證據」、「協作式稽核落地」、「可信任AI」融入組織治理的核心,讓稽核成為組織持續改善的驅動力。對於任何關心組織資安韌性的資安長或資訊主管,本書提供了將合規要求轉化為可驗證防護能力的協作思維,引導組織將稽核從「檢查程序」提升為「學習能力」,並將資安從「風險管控」提升為「組織韌性」的核心競爭力。 鴻海研究院 李維斌執行長 2025.9.9 在推動單位組織資安治理的過程中,常面臨一些實務問題,例如:制度文件寫得完整,卻缺乏能被驗證的證據;政策方向訂得清楚,卻在現場執行中產生落差。而本書正是針對這個長久以來的「制度與落實鴻溝」,提供了清楚解方。 在本書中,陳育毅主任從多年的稽核攻防經驗出發,強調「資安要說得清、拿得出、做得到」。無論是營運持續計畫的還原測試紀錄,還是SSDLC的輸入檢查與驗證程序,都示範了如何把制度化為能被追溯的證據鏈,避免資安治理淪為口號。更值得一提的是,書中提出了「情境化學習」與「案例式演練」的觀念,強調教育訓練不只是例行公事,而是透過實際案例、互動模擬,讓開發人員在第一行程式碼就能理解安全需求,讓一般同仁在日常操作中養成風險意識,透過文化內化的過程,才能真正讓資安長遠扎根,而這也呼應了教育體系在資安人才培育上的使命:教育與治理必須並進,才能形成完整而有效的防護體系。 此外,在工具應用上,本書巧妙引入了AI 的角色。ChatGPT 可以把抽象的漏洞風險轉換成可執行的測試清單,NotebookLM 可以即時比對文件與法規,補強制度缺口,甚至連SOP 與演練流程,都能透過AI 更快生成並優化。這不僅減輕了資訊團隊的負擔,也讓稽核前的自我檢視更有效率。 資安人才培育與國家韌性是緊密連結的,本書闡述的「制度如何落地」、「稽核如何有據」、「文化如何內化」,提出不少案例與方法,恰好能成為教育推廣與人才養成的重要教材與策略參考。我相信,任何想把資安從合規提升到韌性的組織與教育機構,都能從本書獲得深刻的啟發。 教育部資訊及科技教育司 吳穎沺司長 2025.9.18
想像一下,資訊安全是一盤超大型的圍棋對戰秀:黑子是駭客,戴著墨鏡、叼著牙籤,隨時準備打劫滲透;白子則是我們的資安小分隊,手裡拿著ISO 27001 的祕笈,開局就來個「金角銀邊」穩住陣腳。棋盤上每個角落都像是伺服器、資料庫或雲端戰場,一旦落子不小心,就可能被對方一招吃掉。所以啊,這場棋不只是比誰腦袋清楚,還比誰更會布局,畢竟資安世界沒有悔棋鍵,只有持續演練、監控,最後才能笑著收官。 11.1 從「金角銀邊」認識ISO 27001 起手式 資安管理制度的推動,就像下一盤棋,高手與新手的差別,往往不在於他們落了多少子,而是布局是否謀定而後動。在圍棋的布局和序盤階段非常講究「金角銀邊」的價值,意指在序盤階段應優先守住角落的勢,是資源最有效率的投入地點;其次是邊,再逐步向中央推進。因此,高手總是從角開始下手,建立根基、擴展邊陲,最後才向腹地進攻,達成全盤統一的戰略目標。同樣思維放在ISO 27001導入過程,也是很有意思的。 ISO 27001 的導入亦然。若不先掌握自己所處的環境、優勢、邊界與敵我力量配置,而是貿然推進制度建置,很可能會事倍功半。但是,許多組織常常錯把「導入認證」視為行政作業,匆促決定導入範圍、設計風險評鑑工具,卻未深究:組織核心營運的風險熱點在哪?對我們資訊安全管理成敗影響最大的是哪些外部趨勢?哪些人、哪些制度、哪些結構是推動資安的助力或阻力?而這些,正是ISO 27001 的4.1 節提到的起手式。 4.1 瞭解組織及其全景 組織應決定與其目的有關且影響達成其資訊安全管理系統預期成果能力之外部及內部議題。 ISO 27001 的4.1 節一開始就指出,組織應理解其內外部議題以決定資訊安全管理系統應達成的成果。這條文的設計目的,是引導組織在任何制度建構之前,先進行「理解全景」的過程,猶如棋局開盤:你是否看清了這盤棋的地形?是否知道對手的布局?你手中的子先落在哪裡會產生最大的影響力與延伸力?也就是說,4.1 就像資安作戰地圖的繪製起點,不是簡單的組織簡介,而是對內外的辨識與戰略洞察,要求組織針對兩個面向全面盤點,進一步分析這些議題如何實際影響資安管理目標的達成。 ⼀、外部議題可能包括: 法規、標準(如《資安法》、GDPR、NIST 等) 利害關係人(如顧客、股東、政府、供應商) 產業趨勢(如數位轉型、雲端化、零信任架構) 威脅情境(如駭客集團活動、APT 攻擊趨勢) 宏觀風險(如地緣政治、氣候災害對資通設備的影響) 二、內部議題可能包括: 組織結構與治理架構 系統架構與資訊流程現況 人員資安素養與權責分工 預算、人力、工具的資源配置 既有政策、程序與作業慣性 4.1 是整套ISO 27001 的精神導引,是一種洞察預判,先弄清楚整盤棋,布局才不會亂、資源才不會錯投。但是,以往有些組織為了快速通過認證而只「框個小角落」、「選個安全範圍」,僅納入非核心系統或少數部門,有如在棋局中偏安一隅,錯過了布局全盤的先機與氣勢。 11.2 ⼀盤棋的每⼀個戰場都是關注方的投射 前一節提到,一盤好棋在開局之初講究布局、講究勢能、講究重心的正確選擇。當然,一盤棋真正困難的地方不只是開局,而是每一個角落都可能同時是戰場。而這正是ISO 27001 在4.2 節將重點放在「瞭解關注方之需要及期望」所傳達的管理智慧。 許多組織在導入資安制度時,很容易陷入一種錯覺:只要內部管好、制度上軌、技術到位,就可以守住資安這片江山。但事實是,這盤棋從來不只是你自己在下。資訊安全是一盤多戰場棋局,每一個關注方,都像是在棋盤邊上觀戰、發聲,甚至偶爾下子。這些關注方的需求與期望,無一不影響整體布局的合理性與有效性。譬如: 主管機關的政策動向,可能突然要求演練與通報流程,迫使制度調整。 客戶的SLA 要求,會影響備援與可用性設計的預算與資源。 員工的接受度與日常操作習慣,會直接決定制度落地的可行性。 IT 團隊的工作壓力與能力,也會影響事件處置流程的實效性。 用棋局來比喻,每一個關注方不論是主管機關、內部同仁、委外廠商、客戶、第三方單位,皆關注著你這整盤棋如何影響到他們的利益與信任你的棋子下得好不好、布局是否合理,關注方都會有所感知,有些人看你制度完不完整,有些人關心資料有沒有外洩,有些人則關注你能不能持續服務不中斷。每一個關注方,其實都可能是你的戰場之一。 4.2 瞭解關注方之需要及期望 組織應決定下列事項: (a) 與資訊安全管理系統有關之關注各方。 (b) 此等關注方之相關要求事項。 (c) 此等要求事項中之哪些要求事項,將透過資訊安全管理系統因應。 資訊安全,看似是一門技術與制度的學問,實則是對關係、信任與風險的全盤管理。若你沒看到各種關注方的需要與期望或忽略其要求,如同下棋時看漏了一場局部戰爭,最終可能導致全局潰敗。瞭解關注方之需要及期望,就是理解這盤棋的每一條邊、每一個角、每一處薄勢,掌握這些細節,才能真正下一盤資安好棋。 以圍棋的觀念來看這一盤棋,有好幾個戰場,每個小戰場可能對棋盤上其他地方有很大的影響,都會有戰略和戰術。組織在推動資安管理時,要清楚有哪些與資訊安全管理系統有關之關注各方(通常以關注度、影響力分類四個象限),相關要求事項也要透過資訊安全管理系統因應。
0
1
