一、課程源起
隨著企業快速導入 SaaS、IaaS、PaaS、AI/ML 平台與外包服務,超過 70% 的重大資安事件皆由第三方弱點引發,包括:
- SolarWinds 供應鏈攻擊
- MOVEit 第三方弱點造成 2500+ 機構資料外洩
- Okta 第三方支援廠商被入侵
- Azure、AWS 多次全球性事故衝擊使用者服務
- 國內外大量發生的外包維運廠商帳密被盜用事件
傳統的供應商審查與紙本問卷,已無法應對現今的供應鏈威脅。現代企業必須建立 第三方資安風險管理(TPRM) 的完整流程,包括:
- 供應商風險識別
- 資安控制審查
- 即時暴露面監控(External Attack Surface Monitoring)
- 洩漏帳密偵測
- 雲端架構風險評估(Cloud Shared Responsibility)
- 供應鏈攻擊偵測
- 持續監控與年度再評估
基於此,本課程整合最新攻擊趨勢、國際框架、工具實務與供應鏈治理經驗,協助企業建立可落實、可稽核、可持續的 TPRM 能力。
二、課程目標
1. 建立完整的 TPRM 知識框架
2. 掌握供應商風險識別與評估流程
3. 掌握國際標準對 TPRM 的要求
4. 能評估資安風險
5. 運用 OSINT 進行第三方曝險偵測與監控
- External Attack Surface
- 洩漏帳密、暗網情報、CVE 曝險
- Black Kite / SecurityScorecard / BitSight TPRM工具的分析邏輯
6. 能產出可供稽核的 TPRM 文管與證據
三、適合對象(Target Audience)
- CISO、資訊安全主管
- IT 維運/雲端架構管理者
- 資安風險管理與合規人員
- 需與供應商進行安全審查或調查的人員
四、課程特色(Course Features)
⭐ 1. 三維整合:國際標準 × 攻擊趨勢 × 實務工具
結合 ISO 27001 / NIST 框架、全球攻擊案例與實作工具。
⭐ 2. 大量使用真實供應鏈事件(SolarWinds、MOVEit、Okta)
讓學員理解供應鏈威脅的真實風險。
⭐ 3. 雲端供應商 TPRM 實作(Azure / AWS / SaaS 應用)
學習如何評估大型雲端服務停擺對企業造成的風險。
⭐ 4. OSINT + External Surface 監控實務
包含:
- DNS、IP、Port 曝險掃描
- 洩漏帳密偵測
- 暗網情報
- 社交工程風險
⭐ 5. 建立完整的 TPRM 文管、解讀TPRM報表與可稽核流程
協助企業建立可落地的 TPRM 系統。
⭐ 6. 14 小時完整訓練,兼顧技術與治理
從架構、流程、報表文件到審查與證據產生一次到位。
五、課程內容
1. TPRM 基礎理論與國際趨勢
2. TPRM 架構與完整流程
3. 國際標準中的 TPRM 要求
4. External Attack Surface 監控
5. 洩漏帳密、暗網情資與 CVE 曝險分析
- 洩漏帳密(Credential Leakage)
- Dark Web 情資
- Known Exploited Vulnerabilities(KEV)
- OSINT 工具實務
6. 第三方資安風險評估平台分析
- 這些平台如何計算「風險分數」?
- False positive 與覆蓋範圍
- 哪些分數真正有意義?
7. 持續監控與再評估
8. TPRM 報表產生、文管建立與稽核證據
9.綜合實作:企業完整 TPRM 設計演練
10.第三方風險評估平台工具介紹與比較
11.如何解決第三方風險評估平台工具報表不準的問題
六、先備知識
- 具備基本資訊安全概念(如:存取控制、弱點、帳密風險)
- 曾接觸或了解 IT 維運、雲端服務或外包供應商管理
- 對 ISO 27001、資訊安全管理制度或風險管理有基本認知
- 從事資安、IT、法遵、內控、稽核或供應商管理相關工作經驗
