威脅情報生命週期:六個步驟
情報 vs 資料:很多組織搞混了這兩件事
彼得在觀察各種組織的資安成熟度時,發現一個很普遍的現象:有資料(Data),但沒有情報(Intelligence),有時會翻成情資(情報資料)
AI 的兩面刃:社會衝擊與影響評估的必要性
先說一個讓彼得印象深刻的例子
記得看過一個新聞某研究團隊開發了一套 AI 系統,專門辨識與疾病相關的蛋白質結構,目的是加速藥物開發。聽起來很棒。但同樣這套系統,在稍微調整方向之後,在短短幾小時內生成了超過 40,000
GRC 遇上網路安全:兩個部門,一場早該發生的婚禮
夢裡看似真實的場景
昨天彼得做了一個夢:公司的合規部門花了六個月做 ISO 27001 的差距分析,產出一份厚厚的報告;與此同時,資安部門正在忙著應對一個真實的勒索軟體事件,根本沒時間看那份報告。兩個部門都在「管理風險」
NIST CSF 聯邦實踐指南:一套框架,八種玩法
先說清楚一件事
NIST CSF 這個框架,很多人聽過,但真的搞清楚怎麼「用」的人,可能比想像中少得多。它不是一份檢查清單,不是「做完就合規」
NIST AI RMF:給 AI 風險管理的一套務實語言
「自願」,但不代表「可以不理」
NIST 在 2023 年 1 月發布的 AI 風險管理框架(AI
AI 系統影響評估:從治理文件到真正的風險防線
評估不是表格,是一種思維框架
近年來,「AI 影響評估」這個詞在治理圈裡愈來愈常被提及。但彼得觀察到一個令人憂慮的現象:許多組織把影響評估當成一份需要填寫的表格,填完歸檔,任務完成。這種心態,正是最危險的治理盲點。
準確率之外:對 AI TEVV 框架的五個深層觀察
當「準確率」成為治理盲區
在某些可能且反覆出現的場景是這樣的:高層拿到一份 AI 系統評估報告,看到「準確率 94%」,點頭核准上線。幾個月後,
ISO/IEC 42001:從合規框架到真正的 AI 治理能力
2023 年 12 月,ISO/IEC 42001 正式發布,成為全球第一個專為 AI 系統管理設計的國際標準。對許多人來說,
Vibe Coding心得篇
習Vibe Coding也快半年,主要目標是建立全自動AI稽核員與資安官,取代我自己的工作。開玩笑地,其實是去稽核客戶時,能夠協助客戶看到問題,以及協助判別與AI 標準的符合性,以及安全性。
這二周我利用Anthropic claude
NIST CSF v2.0治理功能誤解
有些人對於NIST CSF v2.0治理功能有些誤解,主要還是用NIST CSF v1.1的概念去思考。在過去網路安全政策與治理在組織是以支援性質(supporting activities)存在,