【統整最多實際案例】個人取得ISO 27001證照的好處?!
培養資安管理思維已不只是企業的事
過去,企業組織可以參考ISO 27001資安管理系列標準作為優化基礎,可以讓企業在重大事故發生前,經由事先預防,把損失降到最低。除了企業通過ISO 27001認證之外,近年來也有越來越多公司會鼓勵員工考取ISO 27001主導稽核員的證照,資安工程師或MIS取得證照的好處 :
確保組織的資安管理系統的有效性
了解資訊安全管理系統的目的、對組織帶來的益處、管理系統與相關標準、管理系統內部稽核、供應商稽核與第三方認證等要求。
提升自我職場競爭力
除了提供公司助益,在個人職業發展上有所幫助,畢竟資安人才的稀缺,取得認證,提升自我競爭力。以下我們整理各行業人士,在接受了ISO 27001資安管理主導稽核員培訓後在職場上發揮什麼優勢
【案例一】稽核不是上網找考古題就能融會貫通的,而是要能透徹了解加以運用
文/莊亦婷 現職/資訊科技業MIS
ISO 27001:2013 資訊安全管理系統主導稽核員訓練是目前很夯的IT必上課程之一,看似跟稽核員才有關係,但實際上不管是稽核員或是IT人員都很適合。稽核員訓練可以更了解資訊安全系統到底要稽核甚麼,而IT人員可以因此課程補強目前公司資安還不足的地方,也能讓增強客戶或供應商對公司的信心。
這五天課程會有甚麼收穫 ? 除了ISO27001的專業知識及條文,每個實作的驗證都讓我印象深刻,並且在回到公司上班可以馬上運用在公司資產盤點、回收報廢…等,還有對於資安權限的要求更嚴謹,甚至我會不自覺地搬出條文來跟同事分享,真的有那種現學現賣的感受!
【案例二】稽核有很大一部分工作與文件管理有關,並不是自己胡亂發想亂擬即可
文/郭思偉 現職/資策會資安所/研究經理
還沒上課前,其實對於資安稽核懵懵懂懂的,而透過老師的講解後,逐漸進入狀況,甚至了解到整個ISO的更大管理框架,依循框架其實不僅適用於資安,也用於品質、永續(環保)等各方面。 在課堂過程中,我比較深刻的是稽核現場的各種角色與任務,雖然課程為主導稽核員,但其實自己連更入門的一般稽核員、觀察員都還沒有實務經驗,但透過課堂上的模擬演練,也比較能感受到真實現場稽核時的氣氛。
另外,稽核有很大一部分工作與文件管理有關,本以為自己草根胡亂發想亂擬即可,等到老師分享真正業界(例如SGS、bsi、TUV等稽核驗證機構)在用的文件後,才豁然開朗,確實受益良多。
【案例三】可以從不同角度檢視自己的資安工作,不再只侷限於從技術角度的檢視
文/ 羅元邦 現職/網路系統工程師
早期MIS工作要求的是有效率及穩定的系統維運,再加上在撥接上網時代,主要是封閉式的內部網路,所以各種攻擊的擴散比較不容易,且以往病毒開發門檻較高,大多是為了炫耀自己技術的駭客開發,不像最近的駭客行為已經商業化運作,攻擊試探的頻率相對提高,防護方式也不像以往單純,只要防毒軟體+防火牆+SPAM就可以阻擋大部分的攻擊,這種趨勢帶來的是市面上不斷推陳出新的資安產品,但如何組合出合適的資安防護方案,已經不是單純技術面或產品面的問題,所以想要從另一種角度去看資安防護如何設計,評估後決定報名ISO 27001:2013主導稽核員課程。
【案例四】ISO 27701是目前國際間最新趨勢,由此可見個資處理的重要性不容小覷
文/ 李祐涵 現職/金融業資安管理人員
ISO 27701是在2019頒布的標準,可視為ISO 27001資訊安全管理系統的擴充,強化資安系統中個人隱私的部分。
其實ISO管理類的課程考試並不容易,最重要的還是要將管理系統內的條款內容弄懂、弄熟,考題通常是給予一個情境,要假設自己如果是稽核員,應該要採取什麼行動,所以基本觀念一定要清楚,只要秉持著當稽核員的原則,再面對情境判斷時就比較有把握。
上這門課除了學到管理系統知識,對於工作上的想法也會有很大的幫助,畢竟ISO 27701算是蠻新的標準,但個資保護議題逐年受到重視,企業在處理個人敏感性資料若稍有不慎,可能造成客怨,甚至是法律問題,不容小覷!
📕想看更多精采案例分享>>>>>請點我
0 意見:
張貼留言