之前花了三天的時間介紹各種SANS Institute相關資源，SANS的研究與資源真的是包羅萬象包山包海，但是資訊安全這麼廣大的領域，資訊安全研究可不是SANS一家獨大喔！今天要來介紹另一家名氣比較小，但是仍然有豐富資源的獨立研究機構 ：IANS

IANS的全名是Institute for Applied Network Security，雖然不像SANS那麼龐大，有GIAC核發資安證照、有STI提供碩士學士課程，但身為資安研究機構，它將自己定位成協助CISO資安長的主要資源。所謂的CISO (Chief Information Security Officer)是資安長，作為向上對CIO和高級管理階層報告、向下管理資安團隊的重要人物，在任何企業組織的重要性相當於孔明軍師，既需要具備技術層面的真功夫，又需要熟悉管理層面、法遵法規和營運的考量。例如最近熱門的議題資安韌性Cyber Resilience，它的技術層面是麼達成的？怎麼應用？從管理的層面上需要如何注意考量？對企業組織帶來的影響為何？可以解決什麼問題？這些都是CISO需要了解、對上說明，對下指導，所以IANS提供適當資源協助CISO做決策。

各項活動

從網站上的Events點選進去，可以看到活動分為幾大類，其中對我們最有幫助、可以學習並申報CPE學分的是：Forums、CISO Roundtables、Symposium、 Webinar。Webinar是我們介紹好多次的網路研討會，因為IANS有自己的成員，所以不用擔心又是看到資安廠商來賣產品，而是專注於資安議題的研討；Symposium討論會和一般一個小時左右的網路研討會不同，而是利用半天的時間深入探討技術與運作上的資安議題，這些討論會都有影片紀錄放在Symposium Replay這個地方， 我特別推薦David Kennedy講的「Leveraging MITRE ATT&CK」，對於企業為什麼需要了解個框架，及如何運用MITRE ATT & CK，有深入的解析；CISO Rounbtables是資安長圓桌會議，主要是讓不同的資安長認識交流，彼此分享、討論；Forums是為期兩天的座談會，每天有主題演講、分組課程/議程、新技術介紹等等活動，在新技術介紹的課堂上偶爾會帶到資安產品，畢竟資安廠商會想趁這個機會宣傳自己領先對手、獨特的新技術，但是IANS和廠商間的默契很好，課堂上還是以講解技術為主，想要深入了解產品，可以趁休息時間到旁邊的贊助商攤位詢問。

這些活動都是免費的，而且IANS會提供完成證明，讓參與者申報CPE學分，網路研討會和討論會回放影片都可以從網站上看，而因為COVID-19疫情影響，原本一年四季各處巡迴舉辦的種種活動也都變成線上舉辦，更方便大家參與學習。

閱讀資料

IANS也有出版白皮書報告和各種研究報告，有一種名為Ask-An-Expert Wrtieups報告是由IANS成員訪問業界專家，針對特定資安議題撰寫的報告；另一種是由IANS成員針對當前資安議題，獨立撰寫的Faculty Report，其他還有很多閱讀資料，但是一般人好像無法獲取，不知道是否要訂閱什麼會員？因為我個人對讀報告寫介紹來申報CPE學分不感興趣，這部分就有待其他人嘗試分享了。

IANS是獨立的研究機構，它的faculty成員來自業界知名專家，兼具學術與業界資訊，而且和資安廠商的關係良好，課程研討集中在資安議題，不賣產品不推銷，值得我們利用它的資源來學習、賺CPE學分。

*下面提供兩個連結幫助大家熟悉CISO的角色

《CISO的必備絕活》資安人科技網
https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=5283

《資安長之必須(1)-CISO－關鍵領導要角的職責與資格》原文出自「CIO IT經理人」雜誌 2019年2月號
http://www.cc.ntu.edu.tw/chinese/epaper/0048/20190320_4811.html