駭客的攻擊方式，從單一攻擊到發展至更為成熟的網路犯罪，手法越來越多，除了防禦機制需要不斷更新，更需要一套適合的資安法規來因應不斷變化的資安威脅，這也是各國資通法令的發展趨勢。
隨著台灣資通法的立法，內容跟規範讓資安管理比ISO 27001提高，不禁讓我們思考，對於那些人力不足、技術管理網路環境的企業，資通法是帶來幫助，還是如同以往般應付稽查性質的例行作業方式，反而增加了資訊人員管理負擔。
因此我們可以發現因為人力資源不足，而委外辦理的供應鏈資訊服務隨之增加，也更容易發生難以預防的資安問題。
所以本研究想以透過個案方式，並以資安法要求規範做驗證，除了分析對於供應鏈安全是否能有效管理，也提出可能性的建議調整方案。

Hackers' attack methods, from a single attack to a more sophisticated cybercrime，There are more and more tactics,so new defense mechanisms are needed to respond. Therefore, enterprises need a set of suitable information security regulations to cope with the ever-changing information security threats.
The same is true for the trend of countries around the world. With the legislation of Taiwan's Information and Communication Act, the content and specifications have improved information security management compared to ISO 27001.
Let's think about whether the Information Access Law will help those companies with insufficient manpower and technology to manage the network environment, or will it be the usual way of coping with auditing routine operations, which also increases the burden of information personnel management.
Therefore, we can find outsourced supply chain information services due to insufficient human resources，With the increase, there have also been an endless stream of information security incidents.Therefore, this study intends to verify through the case-by-case method and the requirements of the Information Security Law. In addition to analyzing whether the security of the supply chain can be effectively managed, it also proposes a possible adjustment plan.

目錄
論文審定書i
誌謝ii
摘要iii
Abstractiv
圖次vii
表次viii
第一章、研究背景、動機、目的1
第一節、研究背景1
第二節、研究動機2
第三節、研究目的3
第二章、文獻探討4
第一節、有關供應鏈攻擊模式探討4
供應鏈攻擊模式4
第二節、我國資通安全法令與規範5
ISO/CNS 27000系統系列資安標準5
資通安全管理法與子法6
第三章、研究設計及方法7
第一節、研究設計7
第二節、研究方法8
資訊系統委外管理9
研究個案說明9
第三節、法令探討11
法令概觀ISO27001及與規範項目11
法令概觀:資通安全法及規範項目12
第四節、供應鏈攻擊手法探討及分析13
技術面探討供應鏈攻擊防範之有效性分析13
ISO27001規範項目說明15
資通安全法規範項目說明18
資安健診及日誌管理分析18
資安威脅情資應用、社交工程演練21
WAF、APT、EDR、SOC資安監控23
GCB組態基準、VANS政府資安弱點通報27
各國資通法令分析30
第四章、個案研究及資料分析32
第一節、個案一:供應鏈資安事件32
第二節、個案二:供應鏈攻擊事件35
個案二供應鏈攻擊過程及記錄36
第三節、個案對於供應鏈資通法令防範探討41
本案供應鏈攻擊與ISO27001有關之條文及控制項42
本案供應鏈攻擊與資通法有關之條文42
ISO27001及資通法對於供應鏈攻擊技術性項目分析43
第四節、資料結果分析48
研究分析及問題解決方向48
ISO及資通法與供應鏈法規及技術性列表分析48
研究結果53
第五章、結論及未來研究方向58
委外越多，造成的資安風險越高?58
資通法於專職(責)人力所面臨的實際問題59
資通法應明訂有關第三方稽核事項60
ZERO TRUST的重要性61
建議及未來研究方向62
參考文獻63

參考文獻
1.國家資通安全發展方案(110年至113年)民國110年02月23日發行
資料來源：行政院國家資通安全會報
(https://nicst.ey.gov.tw/Page/296DE03FA832459B/e5eb620d-dae2-40ae-85d5-264955863506)
2.ISO/CNS 27000系統系列資安標準,專題報導 期別:第125期 出版日期:107年6月15日(https://fsms.bsmi.gov.tw/cat/epaper/0706.html)
3.ISO/IEC 27000系列, 資料來源：維基百科
(https://zh.wikipedia.org/wiki/ISO/IEC_27000%E7%B3%BB%E5%88%97)
4.資通安全管理法,民國107年06月06日,資料來源：全國法規資料庫
(https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030297)
5.資安管理法,資通安全管理法草案,民國 106 年 04 月 28 日、資通安全管理法及子法彙整版(1100914更新)民國110年09月14日
(https://nicst.ey.gov.tw/Page/EB237763A1535D65)
6.陳仕弘,我國資通安全管理法之探討-以規範對象為中心,The Discussion about Governing Object of the R.O.C Information Communication Security Managemnnt Act,嶺東科技大學,民國108年6月
7.Wikipedia,Supply chain attack
https://en.wikipedia.org/wiki/Supply_chain_attack
8.NISTIR 8276 Key Practices in Cyber Supply Chain Risk Management:
Observations from Industry
https://csrc.nist.gov/News/2021/nistir-8276-key-practices-in-c-scrm
9.調查局首度揭露國內政府委外廠商成資安破口的現況,資料來源:iThome網站https://www.ithome.com.tw/news/139504(2020-08-19發表)