章節主題包含：
1.核心業務及其重要性
2.資安政策及推動組織
3.專責人力與經費配置
4.資訊資產盤點風險評估
5.資通系統服務委外辦理
6.資安維護計畫及績效
7.資安防護及控制措施
8.資通系統發展維護安全
9.資安事件通報應變
10.資通系統防護基準檢核
11.圍棋布局 vs. ISO 27001
12.ISO 27001新增控制項
13.ISO 27001證書不等於保證
14.鑑往知來CI X DG X AI

陳育毅
現職
教育機構資安驗證中心主任
國立中興大學資訊管理學系專任教授
經歷
行政院國家資通安全會報網際防護體系
「認知教育及人才培育組」委員
國立中興大學計算機及資訊網路中心主任
國立中興大學資訊管理學系特聘教授
美商智旺科技公司首席顧問

蔡孟琳
現職
國立屏東大學資訊管理學系助理教授
學經歷
國立中興大學資訊工程學系博士
教育機構資安驗證中心協同主持人

周鎂錥
現職
教育機構資安驗證中心
學經歷
國立中興大學資訊管理學系碩士班
鼎新知識學院講師
鼎新電腦ERP顧問

推薦序
1. 核心業務及其重要性
1.1 稽核項目關聯法規
1.2 探討稽核項目變更意義
1.3 稽核經驗分享
1.4 以AI 強化BCP 演練的提案

2. 資安政策及推動組織
2.1 稽核項目關聯法規
2.2 探討稽核項目變更意義
2.3 稽核經驗分享
2.4 以NotebookLM 強化資安政策落實與追蹤

3. 專責人力與經費配置
3.1 稽核項目關聯法規
3.2 資安專職人員的職務內容
3.3 善用AI 提升資通安全教育訓練之籌劃
3.4 一般人員需要對CIA 有概念
3.5 經由比喻更能理解密碼與帳號安全的重要性
3.6 辨識社交工程手法、認識即時通訊的不安全
3.7 常見的惡意軟體與勒索攻擊
3.8 區分個人使用與公務使用的設備責任與規範
3.9 認識IoT 物聯網安全
3.10 面對雲端服務風險應有的認知
3.11 人為疏失與制度防線
3.12 離職交接與內部人員風險
3.13 以NotebookLM 強化制度對應與文件補強

4. 資訊資產盤點風險評估
4.1 稽核項目關聯法規
4.2 探討稽核項目變更意義
4.3 稽核經驗分享 4 -17
4.4 以NotebookLM 或ChatGPT 強化稽核前評估

5. 資通系統服務委外辦理
5.1 稽核項目關聯法規
5.2 探討稽核項目變更意義
5.3 稽核經驗分享
5.4 以NotebookLM 完善設計委外RFP 資安要求

6. 資安維護計畫及績效
6.1 稽核項目關聯法規
6.2 善用AI 進行資安維護計畫滾動修正
6.3 稽核經驗分享
6.4 以NotebookLM 協助滾動修訂資安維護計畫

7. 資安防護及控制措施
7.1 稽核項目關聯法規
7.2 資安防護應辦事項執行原則(教育體系宣導)
7.3 稽核經驗分享
7.4 請ChatGPT 協助判讀檢測報告

8. 資通系統發展維護安全
8.1 稽核項目關聯法規
8.2 探討稽核項目變更意義
8.3 稽核經驗分享
8.4 請ChatGPT 指點OWASP Top 10 開發迷津
8.5 針對SSDLC 的情境化學習

9. 資安事件通報應變
9.1 稽核項目關聯法規
9.2 稽核經驗分享
9.3 請ChatGPT 指點系統日誌管理方案

10. 資通系統防護基準檢核
10.1 對資通系統防護基準有更多認識
10.2 資通系統防護基準之存取控制
10.3 資通系統防護基準之事件日誌與可歸責性
10.4 資通系統防護基準之營運持續計畫
10.5 資通系統防護基準之識別與鑑別
10.6 資通系統防護基準之系統與服務獲得
10.7 資通系統防護基準之系統與通訊保護
10.8 資通系統防護基準之系統與資訊完整性
10.9 以AI 協作開發落實資通系統防護基準要求

11. 圍棋布局vs. ISO 27001
11.1 從「金角銀邊」認識ISO 27001 起手式
11.2 一盤棋的每一個戰場都是關注方的投射
11.3 全局意識決定資訊安全管理系統之範圍
11.4 全局視野與戰略協同的資訊安全管理系統
11.5 資訊安全政策之「勢」
11.6 資安目標應具全局價值與可量測性
11.7 風險評鑑如何展開
11.8 文件化資訊控制是資安管理的「一本道」
11.9 運作規劃與控制：積小勝成就資安大勝
11.10 監督、量測、分析及評估
11.11 內部稽核即是進行「階段性全局分析」
11.12 管理審查是資安管理的「收官階段」
11.13 落實「覆盤」精神的矯正預防與持續改善

12. ISO 27001 新增控制項
12.1 ISO 27001:2022 新增11 個控制項
12.2 威脅情資(A.5.7)
12.3 使用雲端服務之資訊安全(A.5.23)
12.4 營運持續之ICT 備妥性(A.5.30)
12.5 實體安全監視(A.7.4)
12.6 組態管理(A.8.9)
12.7 資訊刪除(A.8.10)
12.8 資料遮蔽(A.8.11)
12.9 資料洩露預防(A.8.12)
12.10 監視活動(A.8.16)
12.11 網頁過濾(A.8.23)
12.12 安全程式設計(A.8.28)

13. ISO 27001 證書≠保證
13.1 形式合格≠防禦到位
13.2 資訊備份(A.8.13)
13.3 存錄(A.8.15)
13.4 營運持續之ICT 備妥性(A.5.30)
13.5 監視活動(A.8.16)
13.6 組態管理(A.8.9)
13.7 變更管理(A.8.32)
13.8 使用者端點裝置(A.8.1)
13.9 資料洩露預防(A.8.12)
13.10 網路區隔(A.8.22)

14. 鑑往知來CI × DG × AI
14.1 「農業領域關鍵基礎設施」的資安風險
14.2 資安的前提應先釐清「資料治理」
14.3 農業場域的AI 應用vs.資料治理
14.4 農業AI 與資料契約架構
14.5 可信任AI
14.6 探討ISO 42001 重點控制項與LLM 攻擊模式