國際標準
眾多顧客已親身體驗恆逸的好,並成功提升專業競爭力,你也可以!
來看看他們是如何學習、如何努力考取認證的經驗分享多汲取他人的寶貴經驗,將讓您的未來進修之路走得更有效率!快來看看恆逸應援團怎麼說!
來看看他們是如何學習、如何努力考取認證的經驗分享多汲取他人的寶貴經驗,將讓您的未來進修之路走得更有效率!快來看看恆逸應援團怎麼說!
「ISO 27001:2022資訊安全管理系統主導稽核員訓練課程」是非常精實的五天課程,每天9:00 – 18:00,雖然老師常常在5點左右下課,但同學們為了討論、準備隔天的活動及回家作業,也都會討論到6點,甚至有人討論到7-8點。
主要的內容部份,雖然大部份同學是希望考取到證照,及了解別人前往資安稽核時會如何做,我自己本身是希望學習到稽核的實務及理論,誠如學長所述,ISO27001雖然是說資安稽核員的實務課程,但有80%是在說明「稽核」這件事情的實務,然後把資訊安全的情境套用到稽核的實務中,這就是ISO27001的大部份內容了。
我們主要的訓練過程的任務,就是熟悉ISO27001的所有規章和附錄,及如何使用它們:此規章,在一開始說明需要完全符合、及配合外在和內部的希望來進行此規章的使用,並且不能跳過任何一個章節的要求,就進入單位主管應該提供所有的資源來配合進行資安所需要,然後進行風險評鑑,包含風險識別、風險評估、及風險分析,特別是風險分析的部份,需要主管依據危害程度、內外部觀注情形及所擁有的資源,來進行利害分析後定出先後順序。
既有這些分析,那就應該定出要達到的目標及相對應的做法以達到目的,而上述這些部份都應該文件化,讓公司內部及外部都能清楚了解。當稽核員前往稽核是按照上述部份,往主管對內外部議題的反應、提供的資源、風險評鑑、資安目標、進行實際作法處理以達目標…等,再進行「稽核再調查」或是「缺失」的判斷(與ISO27001的條文不符),若有缺失,應該有改正的作為及確保不會再發生,也可能是需要持續改善…等,這部份也成為下次稽核要查核的內容之一。除了依風險程度來決定稽核計畫應該如何制定,前次的稽核結果也應該主要的影響因素,應該要依前次稽核的情形來調整稽核計畫。
上述是很簡單地把所學到ISO27001的條文內容陳述,在課程中,為了讓大家有更深的印象及回到工作場合能更加得心應手,每天都有1-2次模擬情境的練習,讓我能更簡單地記住ISO27001的條文及實際適用的情境,這些情境的分析、及決定是否有缺失或是要如何進行稽核,也正是第5天下午證照考試的方式,讓我們在考試的時候能更順利,如果考試的現場沒有什麼臨時判斷錯誤的大問題的話,這4天半的訓練後,要通過證照考試、及未來把ISO27001的一些學理、判斷方法…等應用到稽核上,應該是ok的。 所以我也建議,目前及未來要擔任稽核工作的人員,應該都去接受此訓練,主要是把稽核工作中,受稽方如何準備、我們如何準備稽核、後續如何處理、形成一個朝向更好的循環,甚至也把資料的情境置入來練習,對於稽核及現階段很重視的資安工作都很有幫助。