1.?? ?利用CAATs電腦輔助稽核技術進行資通安全作業查核重點

2.?? ?ISO 27001資訊安全管理系統:2022新版與權限管理相關控制條文

3.?? ?查核實務探討：ERP權限管理方式與使用者角色衝突查核

4.?? ?查核案例分析：權限控管失效案例分析

5.?? ?AI人工智慧稽核軟體JCAATs簡介

6.?? ?稽核人員對ERP系統帳號權限控管的查核重點與技巧

7.?? ?SAP 權限管理架構與SOD風險矩陣應用與權限衝突檔產生範例

8.?? ?JCAATs指令實習：比對Join、.isin()、多對多Many-to-Many、監督式機器學習學習Train、預測Predit等指令使用技巧

9.?? ?資通安全AI智能電腦稽核專案步驟與專案規劃

10.?? ?JCAATs SAP ERP 稽核資料取得與資料倉儲解決方案

11.?? ?上機演練一：查核是否有預設帳號密碼未變更者

12.?? ?上機演練二：查核同一帳號是否有多位員工共用之情形

13.?? ?上機演練三：離職員工帳號未鎖定

14.?? ?上機演練四：高風險角色查核

15.?? ?上機演練五：使用者權限衝突查核

16.?? ?上機演練六：帳號盜用高風險預測性查核實務案例演練

17.?? ?JCAATs機器學習指令內建演算法：支持向量機(SVM)

18.?? ?JBOT：資訊安全持續性稽核機器人實務應用範例



?

推薦序



　　不當的權限控制和使用者角色衝突可能給組織帶來嚴重風險。SAP是最廣泛應用的ERP系統，自R3版至最新的HANA版，擁有?大而複雜的資料表格，理解和掌握相當具挑戰性。尤其在ERP系統的職務區隔和存取控制方面，有效稽核是至關重要的。



　　教材提供了實際SAP ERP演練資料和系統權限設定與管理的案例，讓讀者學習權限衝突的基本原則以及ERP角色與權限設定方式，並特別引入了由Python語言開發的新一代稽核軟體「JCAATs」，獨立於原有ERP系統，讓讀者能夠實際操作如何有效查核高風險角色與權限衝突，輕鬆進行SAP ERP大數據資料分析，提升作業效率和效果。



　　傳統的口頭詢問和手動檢查方法已經過時，稽核人員急需提升技能，掌握使用AI稽核工具的能力，方能更有效地強化資訊安全管理，真正理解並應用所學，是一套難得的實務應用教材，適合推薦給資安主管、資安專責人員、會計師、內部稽核人員，以及有意提升ERP資安稽核能力的專業人士和學術界師生共同加入學習行列。



作者序



　　權限控制不當和使用者角色衝突可能對組織造成嚴重風險。2022新版ISO 27001資訊安全管理標準，許多控制措施與職務區隔及存取控制相關。傳統口頭詢問和手動系統檢查已經過時，稽核人員需要提升查核技能，學習使用AI稽核工具，以協助更有效地管理資訊安全。



　　AI人工智慧時代來臨，需選用正確工具，才能迎向新的機會與挑戰。筆者從事AI人工智慧稽核相關工作多年，JCAATs 為 AI 語言 Python 所開發的新一代稽核軟體，可同時於PC或MAC環境執行，除具備傳統電腦輔助稽核工具(CAATs)的數據分析功能外，更包含許多人工智慧功能，如文字探勘、機器學習、資料爬蟲等，讓稽核分析可以更加智慧化。



　　本教材以SAP ERP系統權限設定與管理為稽核重點，引導學員使用JCAATs AI稽核工具上機進行權限管理查核實際演練，指導學員學習系統權限衝突基本原則，與ERP系統角色與權限設定，了解何謂高風險角色與權限衝突，並教授進階技巧如比對(Join) 多對多(Many-To-Many)、SOD風險矩陣和AI機器學習預測性查核等，快速識別高風險使用者角色衝突，並可提前預測可能被盜用的高風險帳號，進一步進行風險預警。



　　本教材由具備國際專業的稽核實務顧問群精心編撰，並經ICAEA國際電腦稽核教育協會認證，附帶完整的實例練習資料。此外，學員還可以通過申請取得AI稽核軟體JCAATs的試用教育版，帶領您體驗如何利用AI稽核軟體JCAATs快速有效進行資安權限查核，提升查核效果與效率，落實資訊安全有效管理，歡迎資安主管、資安人員、會計師、內稽以及對資安稽核有興趣的學習者參與，一同學習和交流。

?