一、課程源起

隨著企業快速導入 SaaS、IaaS、PaaS、AI/ML 平台與外包服務，超過 70% 的重大資安事件皆由第三方弱點引發，包括：

• SolarWinds 供應鏈攻擊
• MOVEit 第三方弱點造成 2500+ 機構資料外洩
• Okta 第三方支援廠商被入侵
• Azure、AWS 多次全球性事故衝擊使用者服務
• 國內外大量發生的外包維運廠商帳密被盜用事件

傳統的供應商審查與紙本問卷，已無法應對現今的供應鏈威脅。現代企業必須建立 第三方資安風險管理（TPRM） 的完整流程，包括：

• 供應商風險識別
• 資安控制審查
• 即時暴露面監控（External Attack Surface Monitoring）
• 洩漏帳密偵測
• 雲端架構風險評估（Cloud Shared Responsibility）
• 供應鏈攻擊偵測
• 持續監控與年度再評估

基於此，本課程整合最新攻擊趨勢、國際框架、工具實務與供應鏈治理經驗，協助企業建立可落實、可稽核、可持續的 TPRM 能力。

二、課程目標

1. 建立完整的 TPRM 知識框架

2. 掌握供應商風險識別與評估流程

3. 掌握國際標準對 TPRM 的要求

4. 能評估資安風險

5. 運用 OSINT 進行第三方曝險偵測與監控

• External Attack Surface
• 洩漏帳密、暗網情報、CVE 曝險
• Black Kite / SecurityScorecard / BitSight TPRM工具的分析邏輯

6. 能產出可供稽核的 TPRM 文管與證據

三、適合對象（Target Audience）

• CISO、資訊安全主管
• IT 維運/雲端架構管理者
• 資安風險管理與合規人員
• 需與供應商進行安全審查或調查的人員

四、課程特色（Course Features）

⭐ 1. 三維整合：國際標準 × 攻擊趨勢 × 實務工具

結合 ISO 27001 / NIST 框架、全球攻擊案例與實作工具。

⭐ 2. 大量使用真實供應鏈事件（SolarWinds、MOVEit、Okta）

讓學員理解供應鏈威脅的真實風險。

⭐ 3. 雲端供應商 TPRM 實作（Azure / AWS / SaaS 應用）

學習如何評估大型雲端服務停擺對企業造成的風險。

⭐ 4. OSINT + External Surface 監控實務

包含：

• DNS、IP、Port 曝險掃描
• 洩漏帳密偵測
• 暗網情報
• 社交工程風險

⭐ 5. 建立完整的 TPRM 文管、解讀TPRM報表與可稽核流程

協助企業建立可落地的 TPRM 系統。

⭐ 6. 14 小時完整訓練，兼顧技術與治理

從架構、流程、報表文件到審查與證據產生一次到位。

五、課程內容

1. TPRM 基礎理論與國際趨勢

2. TPRM 架構與完整流程

3. 國際標準中的 TPRM 要求

4. External Attack Surface 監控

5. 洩漏帳密、暗網情資與 CVE 曝險分析

• 洩漏帳密（Credential Leakage）
• Dark Web 情資
• Known Exploited Vulnerabilities（KEV）
• OSINT 工具實務

6. 第三方資安風險評估平台分析

• 這些平台如何計算「風險分數」？
• False positive 與覆蓋範圍
• 哪些分數真正有意義？

7. 持續監控與再評估

8. TPRM 報表產生、文管建立與稽核證據

9.綜合實作：企業完整 TPRM 設計演練

10.第三方風險評估平台工具介紹與比較

11.如何解決第三方風險評估平台工具報表不準的問題

六、先備知識

• 具備基本資訊安全概念（如：存取控制、弱點、帳密風險）
• 曾接觸或了解 IT 維運、雲端服務或外包供應商管理
• 對 ISO 27001、資訊安全管理制度或風險管理有基本認知
• 從事資安、IT、法遵、內控、稽核或供應商管理相關工作經驗