這次上CISM課程，主要是為了解資安管理為何，並依據以下四大方針，資訊安全治理、資訊安全風險管理、資訊安全計劃、事故管理來上課。老師是一位很有實戰經驗的講師，上課不時分享自己的實務經驗，但不論資安主管或是過稽核員的身分，這些經驗對我都很陌生，因此上這課程對我幫助很多。

本身工作資安領域有些微接觸，例如防火牆、WAF等資安設備架構、維運及設定，尚無法確切了解其法規的限制與定義。資訊安全風險管理這章節中有提到系統性地檢驗組織的資訊安全風險，考慮其威脅、弱點以及影響，主要是ISO27001品質中的設計、實現連貫而且全面的資訊安全控管套件，與其他風險管理方案，例如風險避免或風險轉移等來處理無法接受的風險，並用總體管理的流程，在現有基礎上資訊安全管理控管可以持續的符合組織的資訊安全需求。

老師也一直提到滲透測試的重要性，一間公司在於資訊安全防禦，常常會有些狀況無法模擬與被駭客的入侵經驗，需透過第三方滲透測試來發現其資訊系統中的種種弱點是資安或是系統人員需要去解決與分析處裡的。

另資訊安全治理也是蠻燒腦，對於資安流程的評估、指導、監視及如何溝通等措施該如何進行，這些資安理念，都是需要靠高階長官對資安的高度參與，來要求組織經費預算與人力配置，才得以推行資安治理來逐漸成熟其品質。

在事件管理部分，公司中常有UHD部門負責，但當問題發生時不僅僅是資訊部門該承擔的，其他部門需一同應對才行，否則恐發生數據外洩、個資侵犯等種種問題發生。

老師也舉例備援演練的案例，案例解釋為何備援機房需建置於30公里外，主要是因為當發生災難時，不會同時影響該地域性，以利資訊人員能迅速抵達。過程中花費的時間、問題發生時的SOP，以及人員配置都是要考量進去的。

在權限的部分，組織內的個人與群組須瞭解職責，有行動職責之人也有執行該行動的權限，以滿足營運策略及持續性需求，並須符合法規中的定義，來建立框架，評估其可用性。

資源管理則須了解何謂GRC，並進行營運衝擊分析、確認現況，並進行風險管理以辨識並訂應有的控制範圍。須了解各種角色及責任，以推動與執行，確保有效的KPI、KRI及KCI，並對齊企業營運方向與目標；營運持續與災難復原計畫等，還有其溝通與諮詢的重要性。因資安範圍非常廣，須了解組織的全景，來辨識資訊資產、分級與其價值，人員需辨識、分析、評估風險，以了解如何處理，進而評鑑與確認。

系統開發與委外風險性也需重視，這門課讓我更需去了解公司的策略、管理目標，要了解到各項資安技術，確保有無落實與衡量，當事故發生後的調查與經驗學習也是很重要的。

老師上課都用循序漸進的方式，並分享經驗讓學生能更快了解其章節的理念，當中很多不了解之處老師都會透過另一種解說讓我們更加了解，這門課程對於經驗不足的我來說確實是蠻吃力的，但也對資安治理管理等有更進一步的深度了解，當中很多經驗也是需要自行去面對來因應與學習的。最後，謝謝老師的熱忱指導讓我受益良多。