CISM國際資訊安全經理人認證上課心得:了解資安治理的觀念 ─ 恆逸教育訓練中心 ─ 學員證言網站

 

資訊安全

眾多顧客已親身體驗恆逸的好,並成功提升專業競爭力,你也可以!

來看看他們是如何學習、如何努力考取認證的經驗分享多汲取他人的寶貴經驗,將讓您的未來進修之路走得更有效率!快來看看恆逸應援團怎麼說!

羅元邦

  • 文章分類:資訊安全
  • 參訓課程:CISM 國際資訊安全經理人認證課程

CISM國際資訊安全經理人認證上課心得:了解資安治理的觀念

今年會報名CISM國際資訊安全經理人認證課程這門課程,主要是因應公司要求兼任資安專責主管,所以一方面考慮考取相關證照,一方面也想了解資安主管應該要做甚麼?因為沒有相關經驗,原則上就是把自己當成一張白紙,聽講師說明再跟自己公司現狀進行比對驗證。

 

自己主要是負責公司資訊系統Infrastructure建置及維護,上課一開始就秉持多聽少說的原則,去了解資安經理人應有的觀念及作為,因為上課內容跟公司業務執行有差距,聽課的過程中,需要不斷去比對現狀跟課程的差異,並評估公司如何導入資安治理,及哪些點有導入的可能,過程中幸好班上有非常有經驗的同學不斷分享自己的經驗,讓我能更精確的理解實務上如何操作。

 

課程中提到資安經理人最主要的工作就是協助公司導入資安治理,IT技術部分反而不是重點,這部分跟公司當初要求我兼任資安專責主管的原因是無關的,這可能也是一般公司老闆認知上的謬誤,總認為跟資訊有關的就全部應該是資訊主管負責,其實前幾年去上恆逸ISO 27001-2013的課程,就有感覺資安其實應該是管理議題,但上了CISM發現我低估了它的層級,原來它應該上升到治理議題,課程中提到的部分內容,都需要提報到董事會同意及達成共識,進而要求管理階層配合,這部分還有很長的一段路要走,目前的方式會傾向由我負責,但我並不參與管理決策及討論,所以也只能優先評估技術上如何改善,需要管理面的配合,再提報上去,跟上課內容的解決順序是完全相反。

 

上完課程後,評估沒有那個環境支持投入相關證照的取得及延續,因此沒有報考考試,但個人認為這個課程還是有所收穫,最起碼可以了解到資安治理vs資安管理的差異,資安管理的範圍多著重於資訊單位,但資安治理除了一般常見的資訊相關風險外,還需從組織營運角度出發,將客戶、供應鏈管理、法務、財務、ESG...與組織營運策略相關的因素及風險納入考慮,並且以人為本。目前都還沒走到資安管理,更別提資安治理了,雖然課程沒有即時性的效益,但也開闊了自己的眼界,不是只從技術面角度去思考資安這個議題。

 

 

看看其他人怎麼說

看更多