上完課後,我可以運用這一個控制措施的理念,去推行到整個單位內的資安管理層面  ─ 恆逸教育訓練中心 ─ 學員證言網站

 

國際標準

眾多顧客已親身體驗恆逸的好,並成功提升專業競爭力,你也可以!

來看看他們是如何學習、如何努力考取認證的經驗分享多汲取他人的寶貴經驗,將讓您的未來進修之路走得更有效率!快來看看恆逸應援團怎麼說!

莊珮歆

  • 文章分類:國際標準
  • 參訓課程:ISO 27001:2022主導稽核員轉版訓練課程
  • 取得證照: ISO 27001:2022資訊安全管理系統主導稽核員

上完課後,我可以運用這一個控制措施的理念,去推行到整個單位內的資安管理層面 

自己本身持有ISO27001:2013主導稽核員證照,為符合法規要求,並確保單位內的系統能夠遵循PDCA循環,需要參加ISO 27001:2022主導稽核員轉版訓練課程,以導入最新的資訊安全管理系統(ISMS),並學習如何管理單位的資訊系統及相關作業程序,以持續精進組織內的資安防護以及外部的稽核。

  

這次的課程為期兩天,看似上課時間不長,內容卻相當扎實。在這次上課中,講師首先開宗明義地解說ISO 27001新版與舊版差別,不只ISO 27001的標準名稱變了,還新增了11個控制措施,變為93項控制措施。在新版標準中,也使用了五種屬性標籤,包含控制類別、資安特性、網路安全概念、執行能力及安全領域等,每一個控制措施都有對應的屬性標籤。屬性標籤在新版標準中是全新的概念,一開始聽到時,還不太理解標籤所代表的意思,在講師以例子去闡述這些標籤所要表達的意思時,就比較能理解了。

  

接著講師提及到這次更新版中最貼近我們工作內容的部分-控制措施,稽核團隊依照ISO27001標準稽核時,需要檢視單位是否有符合標準內的控制措施。因此,組織須確保對於標準內的控制措施都有符合,才能做到有效的資安防護。

 

講師首先講述每個控制措施的概念,並以深入淺出的方式說明相關案例,讓我們更能了解到控制措施在資訊安全管理系統中所扮演的角色。例如講述到威脅情報相關的控制措施時,講師先是舉例組織通常會使用何種方式來蒐集情資,而這些情資又可以分成哪幾類。對於這些情資,組織需要如何處理及應用,以及相關的文件紀錄該如何保存。

 

在還沒上課前,如果只是單純看到此控制措施的紙本文字,可能無法將這個概念有效地運用在單位裡的資訊系統,但上完課後,發現這些控制措施影響的層面很廣,我們可以運用這一個控制措施的理念,去推行到整個單位內的資安管理層面。   

 

除了講師教學的部分外,在課程中也有小組討論的環節。組員有著不同背景,在討論中,能夠以不同角度切入問題點,更能激發出多種解決問題的方式。討論時,小組成員也會彼此分享單位內資安管理如何運作,同時也可以借鏡其他單位的管理模式,作為改善的一種方式。上完這堂課後,讓自己對於新版ISO27001有更深入的了解,也能夠有效且持續維持單位內系統的資安防護。

 

 

 

看看其他人怎麼說

看更多