威脅情報生命週期:六個步驟
情報 vs 資料:很多組織搞混了這兩件事
彼得在觀察各種組織的資安成熟度時,發現一個很普遍的現象:有資料(Data),但沒有情報(Intelligence),有時會翻成情資(情報資料)
Peterking
AI 的兩面刃:社會衝擊與影響評估的必要性
先說一個讓彼得印象深刻的例子
記得看過一個新聞某研究團隊開發了一套 AI 系統,專門辨識與疾病相關的蛋白質結構,目的是加速藥物開發。聽起來很棒。但同樣這套系統,在稍微調整方向之後,在短短幾小時內生成了超過 40,000
GRC 遇上網路安全:兩個部門,一場早該發生的婚禮
夢裡看似真實的場景
昨天彼得做了一個夢:公司的合規部門花了六個月做 ISO 27001 的差距分析,產出一份厚厚的報告;與此同時,資安部門正在忙著應對一個真實的勒索軟體事件,根本沒時間看那份報告。兩個部門都在「管理風險」
NIST CSF 聯邦實踐指南:一套框架,八種玩法
先說清楚一件事
NIST CSF 這個框架,很多人聽過,但真的搞清楚怎麼「用」的人,可能比想像中少得多。它不是一份檢查清單,不是「做完就合規」
NIST AI RMF:給 AI 風險管理的一套務實語言
「自願」,但不代表「可以不理」
NIST 在 2023 年 1 月發布的 AI 風險管理框架(AI