運用AI人工智慧協助SAP ERP資安權限管理電腦稽核實例演練（附試用教育版軟體使用權90天＋教學演練資料）

＜內容簡介＞

透過JCAATs進行ERP 權限管理資安查核，找出角色衝突等高風險帳號。

錯誤的權限控制和使用者角色衝突，可能對組織帶來嚴重風險。2022年的新版ISO 27001資訊安全管理標準涉及眾多控制措施，特別強調職務區隔和存取控制。然而，傳統的口頭詢問和手動系統檢查已經過時，稽核人員迫切需要提升查核技能，掌握使用AI稽核工具的能力，以更有效地管理資訊安全。

本教材引領學員使用JCAATs AI稽核工具進行權限管理查核的實際演練，同時深入教授進階技巧如比對(Join) 多對多(Many-To-Many)、SOD風險矩陣和AI機器學習預測性查核等，讓您能夠快速識別高風險的使用者角色衝突，並透過AI人工智慧，提前預測可能被盜用的高風險帳號，以進一步進行風險預警。
本教材經ICAEA國際電腦稽核教育協會認證，提供完整的實例練習資料。學員並可以透過申請取得AI稽核軟體JCAATs 90天試用教育版使用權。
歡迎資安主管、資安人員、會計師、內稽，以及所有對資安稽核充滿好奇的學習者參與，一同共學與交流。


★目錄：

運用AI人工智慧協助SAP ERP資安權限管理電腦稽核實例演練
1. 利用CAATs電腦輔助稽核技術進行資通安全作業查核重點
2. ISO 27001資訊安全管理系統:2022新版與權限管理相關控制條文
3. 查核實務探討：ERP權限管理方式與使用者角色衝突查核
4. 查核案例分析：權限控管失效案例分析
5. AI人工智慧稽核軟體JCAATs簡介
6. 稽核人員對ERP系統帳號權限控管的查核重點與技巧
7. SAP 權限管理架構與SOD風險矩陣應用與權限衝突檔產生範例
8. JCAATs指令實習：比對Join、.isin()、多對多Many-to-Many、監督式機器學習學習Train、預測Predit等指令使用技巧
9. 資通安全AI智能電腦稽核專案步驟與專案規劃
10. JCAATs SAP ERP 稽核資料取得與資料倉儲解決方案
11. 上機演練一：查核是否有預設帳號密碼未變更者
12. 上機演練二：查核同一帳號是否有多位員工共用之情形
13. 上機演練三：離職員工帳號未鎖定
14. 上機演練四：高風險角色查核
15. 上機演練五：使用者權限衝突查核
16. 上機演練六：帳號盜用高風險預測性查核實務案例演練
17. JCAATs機器學習指令內建演算法：支持向量機(SVM)
18. JBOT：資訊安全持續性稽核機器人實務應用範例


＜作者簡介＞

黃秀鳳 Sherry
現 任
傑克商業自動化股份有限公司 總經理
ICAEA國際電腦稽核教育協會 台灣分會 會長
台灣研發經理管理人協會 秘書長
專業認證
國際ESG稽核師(ICEA)
國際ERP電腦稽核師(CEAP)
國際鑑識會計稽核師(CFAP)
國際內部稽核師(CIA) 全國第三名
中華民國內部稽核師
國際內控自評師(CCSA)
ISO 14064:2018 溫室氣體盤查主導稽核員
ISO 14067:2018碳足跡標準主導稽核員
ISO 27001:2022資訊安全主導稽核員
ICEAE國際電腦稽核教育協會認證講師
ACL Certified Trainer
ACL稽核分析師(ACDA)
學 歷
大同大學事業經營研究所碩士
主要經歷
超過500家企業電腦稽核或資訊專案導入經驗
中華民國內部稽核協會常務理事/專業發展委員會 主任委員
傑克公司 副總經理/專案經理
耐斯集團子公司 會計處長
光寶集團子公司 稽核副理
安侯建業會計師事務所 高等審計員


★內文試閱：

•作者序

權限控制不當和使用者角色衝突可能對組織造成嚴重風險。2022新版ISO 27001資訊安全管理標準，許多控制措施與職務區隔及存取控制相關。傳統口頭詢問和手動系統檢查已經過時，稽核人員需要提升查核技能，學習使用AI稽核工具，以協助更有效地管理資訊安全。
AI人工智慧時代來臨，需選用正確工具，才能迎向新的機會與挑戰。筆者從事AI人工智慧稽核相關工作多年，JCAATs 為 AI 語言 Python 所開發的新一代稽核軟體，可同時於PC或MAC環境執行，除具備傳統電腦輔助稽核工具(CAATs)的數據分析功能外，更包含許多人工智慧功能，如文字探勘、機器學習、資料爬蟲等，讓稽核分析可以更加智慧化。
本教材以SAP ERP系統權限設定與管理為稽核重點，引導學員使用JCAATs AI稽核工具上機進行權限管理查核實際演練，指導學員學習系統權限衝突基本原則，與ERP系統角色與權限設定，了解何謂高風險角色與權限衝突，並教授進階技巧如比對(Join) 多對多(Many-To-Many)、SOD風險矩陣和AI機器學習預測性查核等，快速識別高風險使用者角色衝突，並可提前預測可能被盜用的高風險帳號，進一步進行風險預警。
本教材由具備國際專業的稽核實務顧問群精心編撰，並經ICAEA國際電腦稽核教育協會認證，附帶完整的實例練習資料。此外，學員還可以通過申請取得AI稽核軟體JCAATs的試用教育版，帶領您體驗如何利用AI稽核軟體JCAATs快速有效進行資安權限查核，提升查核效果與效率，落實資訊安全有效管理，歡迎資安主管、資安人員、會計師、內稽以及對資安稽核有興趣的學習者參與，一同學習和交流。

JACKSOFT傑克商業自動化股份有限公司
ICAEA國際電腦稽核教育協會台灣分會
黃秀鳳總經理/分會長
2023/09/14

•推薦序

不當的權限控制和使用者角色衝突可能給組織帶來嚴重風險。SAP是最廣泛應用的ERP系統，自R3版至最新的HANA版，擁有庞大而複雜的資料表格，理解和掌握相當具挑戰性。尤其在ERP系統的職務區隔和存取控制方面，有效稽核是至關重要的。
教材提供了實際SAP ERP演練資料和系統權限設定與管理的案例，讓讀者學習權限衝突的基本原則以及ERP角色與權限設定方式，並特別引入了由Python語言開發的新一代稽核軟體「JCAATs」，獨立於原有ERP系統，讓讀者能夠實際操作如何有效查核高風險角色與權限衝突，輕鬆進行SAP ERP大數據資料分析，提升作業效率和效果。
傳統的口頭詢問和手動檢查方法已經過時，稽核人員急需提升技能，掌握使用AI稽核工具的能力，方能更有效地強化資訊安全管理，真正理解並應用所學，是一套難得的實務應用教材，適合推薦給資安主管、資安專責人員、會計師、內部稽核人員，以及有意提升ERP資安稽核能力的專業人士和學術界師生共同加入學習行列。

•摘文

運用AI人工智慧協助SAP ERP資安權限管理電腦稽核實例演練(附試用教育版軟體使用權90天+教學演練資料)

如何利用CAATs進行資通安全作業查核權限？包含：
一、系統管理面：
系統使用權限查核、系統事件查核、個人電腦查核（更新、密碼、分享、備份等）等
二、資料庫管理面：
存取授權與權限表查核、備份控制查核、資料實際存放安全性等
三、網路、網際網路、電子商務：
網路安全查核（防火牆、各種封包查核、異常連線IP）、員工使用網路情況、網路交易查核
四、ERP系統：
權限控管查核、流程控管查核、備份查核、績效查核、資料庫查核

控制不當和使用者角色衝突可能對組織造成嚴重風險。2022新版ISO 27001資訊安全管理標準，許多控制措施與職務區隔及存取控制相關。傳統口頭詢問和手動系統檢查已經過時，稽核人員需要提升查核技能，學習使用AI稽核工具，以協助更有效地管理資訊安全。

以JCAATs 指令實習: 比對(Join) 多對多(Many-To-Many)、SOD風險矩陣和AI機器學習預測性查核等指令使用，針對ERP權限管理是否適當進行控制查核，檢核是否有須深入追查之權限管理失當帳號。
系統權限衝突基本原則，與ERP系統角色與權限設定，了解何謂高風險角色與權限衝突，快速識別高風險使用者角色衝突，並可提前預測可能被盜用的高風險帳號，進一步進行風險預警。
上機實作演練包含：透過JCAATs AI稽核軟體之SAP ERP資料連結器模組取得權限管理查核相關資料，透過權限衝突元則建立SOD風險矩陣，並練習查核是否有預設帳號密碼未變更者、共用帳號、離職員工帳號未鎖定、高風險角色、使用者權限衝突等查核，並透過JCAATs內建監督式機器學習指令，內建各種適合稽核使用之機器學習演算法如支持向量機(SVM)等，進行帳號盜用高風險預測性查核實務案例演練。