感謝公司讓我受訓五天精實的課程，讓我更了解資訊安全管理系統建置的目的，以及ISMS系列標準、要求、目標及概念。

一開始自我介紹，才發現3/4的同學都才要面臨要導入或驗證階段，對於ISO 27001並不是很了解，只有我和另一位同學公司已經取得驗證多年經驗，老師還開玩笑說我是資深受稽方，講師上課很生動有趣，會和學員交流不枯燥，這次重拾書本當回學生的感覺真好，每天都很充實在吸收知識，理解到知識是力量的真理，之後會想再去學習ISO 27001相關課程，例如ISO/IEC 27701、個資法等等。

前二天的課程內容老師將ISO 27001:2022的0~10主條文及第8條文延伸的控制措施附錄A都講解一遍，並帶入一些老師自身經驗，讓我們理解ISMS系統是以規劃Plan-執行Do-檢查Check-行動Act（PDCA）循環並持續改善。

並安排活動分組讓我們進行討論，練習4.1,4.2條文要訂定內外部議題以及關注方之要求，我們這組用B級特定非公務機關（公立區域醫院）為案例，外部議題是關注與蒐集威脅情資，內部議題是規劃資安教育訓練及持續認知，關注方是上級單位及顧客，風險評估可能會遭受外部攻擊、違反法規被罰款、個資外洩等等，建議要加強教育訓練並落實查核。

別組是用機房為案例，這些模擬情境都跟本公司很類似，因這幾年有實戰經驗所以演練起來特別熟悉感也有共鳴，從中體會到ISO 27001就是在識別風險、降低風險並持續改善的流程。

透過分組演練、討論、模擬稽核、案例研討等方式，熟悉稽核員的工作內容及稽核過程受稽方及稽核方應注意事項，最後一天模擬閉幕會議，稽核方開出許多NC(Nonconformity, 簡稱NC)及觀察，受稽方要想辦法反駁，老師會幫二方計分，硬坳的過程真是有趣極了！

此次受訓最大的收獲，就是對於條文和控制措施之規定更能理解其要求，還有稽核員的稽查重點方向，往後在面對稽核時，可先對應條文以及控制措施，如遇不合理之要求可以反駁，希望我之後可以用學到的知識事前幫公司審視資安問題，以避免或減少一些事後矯正或矯正措施。

後記：最後還有很開心的事，投稿課後心得之後才放榜，我有考上主導稽核員的證照，真的很開心。