NO.54 | 2019.04.30
banner
title有備而來 友善列印>>
ISO 27001資訊安全管理系統主導稽核員訓練課程心得_資通安全組 黃嘉章經理

        為執行工研院專案,須研究「資通安全管理法」及其子法「資通安全責任等級分級辦法」,並配合推動及媒合資安產業發展與輔導。資通安全管理法等相關條文都是參考ISO 27001之邏輯架構所演變而來,因此在專案執行上必須對ISO 27001有一定程度之了解,才可順利推行。

        此為為期5天之主導稽核員訓練課程,上課內容涵蓋對條文的解說、實際演練及課後的筆試。第一天,SGS講師在自我介紹後要求每位學員進行自我介紹,並說明報名動機,才發現這次參加的學員都是因為資通管理法的推行才報名的,學員有來自衛生局、醫院、中油、軟體開發商等。資安管理法根據不同等級要求配置一定人數之資安人員,且須取得相關證照。經過一番寒暄後便進入頭兩天的條文說明課程,條文分為組織、管理階層、風險管理、風險評鑑、設備、人員及文件支援、營運、績效管控及改善等大項。

        第3天至第5天上午則進行案件演練,講師用實際案例及題目不斷演練及說明,使學員瞭解條文間的相關性及其真正涵意,上課方式採分組討論的方式進行,讓學員先表示自己的看法,再互相交換心得,畢竟在真實的稽核現場是沒有人會跟你說正確答案的,稽核員必須根據對環境的掌控及條文的要求做出正確的判斷,所以培養自我正確判斷之技巧是必須的。

        接下來就是最重要的筆試,分為4大題型,總分要63分以上才算通過,且每一大題都要拿超過一半以上的分數才會及格,考試時間為2小時,基本上考試的時間非常緊迫,沒有太多的時間思考,交卷後講師說要經過4至8週才會知道考試結果,因考卷改完後還須送到IRCA (International Register of Certificated Auditors)複查,所以才要等待這麼久的時間。

        這次受訓過程並不輕鬆,每天從上午9點至下午6點,課程內容非常緊湊,每晚都有功課要做,隔天上課時會討論。要在5天的時間內熟悉所有的條文、稽核技巧及稽核流程對講師和學員都是一大挑戰。最後,希望能將這次訓練課程學到的觀念和知識能有效的運用在專案的執行上,若同仁對課程內容有興趣也歡迎一起討論。